Проблема защиты информации в современном ЦОДе и способы ее решения

ТЕНДЕНЦИИ ЦОД
ОБЛАЧНЫЕ
СРЕДЫВИРТУАЛИЗАЦИЯ
СООТВЕТСТВИЕ
ТРЕБОВАНИЯМ

ПРИОРИТЕТЫ
50%
55%
58%
59%
62%
65%
66%
66%
68%
69%
70%
76%
0% 10% 20% 30% 40% 50% 60% 70% 80%
Инициативы повышения энергоэффективности/экологичности
Возможность использования новых приложений
Централизация ИТ-сервисов
Консолидация оборудования
Повышение масштабируемости
Консолидация ЦОД
Расширение возможностей управления
Виртуализация
Снижение эксплуатационных затрат
Хранение данных/резервное копирование
Сокращение простоев
Повышение уровня безопасности
Основные причины инвестиций в технологии центров обработки данных
Процент респондентов, выставивших балл 6 или 7
Стимулы
Источник: Стратегии развертывания центров обработки данных:
Исследование североамериканских компаний, Infonetics, февраль 2011 г.
Повышение уровня безопасности

АДЕКВАТНОСТЬ
МОЖЕТ решить проблемы
виртуализации и перехода на
облачные среды
МОЖЕТ сократить циклы обновления
центров обработки данных
МОЖЕТ решить проблемы
соответствия нормативным
требованиям
МОЖЕТ обеспечить отличие вашего
подхода от предложений
конкурентов
МОЖЕТ увеличить объем сделок
МОЖЕТ повысить ваш статус
доверенного советника
БЕЗОПАСНОСТЬ
Превращение ВОЗМОЖНОСТИ в РЕАЛЬНОСТЬ

C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 5
• Сегментация физических и виртуальных ресурсов
• Виртуализация и различные гипервизоры
• Защита в сетях хранения данных
• Контроль приложений
• Утечки данных
• Соответствие требованиям
• Доступность и обеспечение
бесперебойного
функционирования
• Переход к облачным вычислениям

• Множество продуктов, политик, неуправляемых и чужих
устройств, а также доступ в облака

Бизнес-контекст
УПРАВЛЕНИЕ
Вычисления
В
ы
ч
и
с
л
е
н
и
я
С
е
т
ь
Х
р
а
н
е
н
и
е
Сеть Хранение Управление
УНИФИЦИРОВАННЫЙ
ЦЕНТР ОБРАБОТКИ
ДАННЫХ
БЕЗОПАСНОСТЬСегментация Защита от угроз Прозрачность
АПРОБИРОВАННАЯ
АРХИТЕКТУРА
Data Center
Security CVD
Виртуальный мультисервисный
центр обработки данных
Физическая | Виртуальная | Облачная среда

Сегментация
• Установление границ: сеть, вычисления, виртуальные ресурсы
• Реализация политики по функциям, устройствам, организациям
• Контроль доступа к сетям, ресурсам. приложениям
Защита от угроз
• Блокирование внутренних и внешних атак
• Контроль границ зоны и периметра
• Доступ к управляющей информации и ее
использование
Прозрачность
• Обеспечение прозрачности использования
• Применение бизнес-контекста к работе сети
• Упрощение отчетности по операциям и соответствию
нормативным требованиям

• Одно приложение на сервер
• Статическая
• Выделение ресурсов вручную
• Множество приложений на сервер
• Мобильная
• Динамическое выделение
ресурсов
• Множество пользователей на
сервер
• Адаптивная
• Автоматическое масштабирование
ГИПЕРВИЗОР
VDC-1 VDC-2
НАГРУЗКА В
ФИЗИЧЕСКОЙ
СРЕДЕ
НАГРУЗКА В
ВИРТУАЛЬНОЙ
СРЕДЕ
НАГРУЗКА
В ОБЛАЧНОЙ
СРЕДЕ
Cisco Nexus® 1000V, Nexus 1010, VM-FEX
UCS для виртуализованных сред
NetApp, EMC
Сеть
Вычисления
Хранение
Cisco Nexus 7K/6K/5K/4K/3K/2K
Cisco UCS для оборудования без
установленного ПО
EMC, NetApp
Мультиконтекстное устройство ASA, ASA 1000V,
виртуальное устройство WSA/ESA
VSG
Периметр
Зона
Cisco ASA5585, ASA-SM, IPS4500,
WSA
---
Проекты Data Center Security CVD Виртуальный мультисервисный центр
обработки данных (VMDC)

ТРАДИЦИОННАЯ
СЕТЕВАЯ МОДЕЛЬ
ТЕКУЩАЯ МОДЕЛЬ
SDN В ЦОДАХ
БУДУЩАЯ
ОТКРЫТАЯ
МОДЕЛЬ
Сеть узлов Виртуализация
SDN
Application Centric
Infrastructure
Виртуализированные МСЭ
Cisco ASA 1000V / VSG
Cisco ONE / eXtensible
Network Controller
Cisco vESA / vWSA
Imperva WAF / Citrix
NetScaler
Традиционные
решения по защите
ЦОД
Межсетевой экран
«север-юг»
Предотвращение
вторжений
Cisco ACI
Cisco Application
Programmable Interface
Controller (APIC)
Cisco ASAv

Сегментация с помощью
матрицы коммутации
UCS Fabric Interconnect
Сегментация сети
Физическая среда
Виртуальная среда (VLAN, VRF)
Виртуализованная среда (зоны)
Сегментация с помощью
межсетевого экрана
Динамический
аварийный/рефлективный список ACL
Мультиконтекстная
сеть VPN
Сегментация с учетом
контекста
Метки для групп безопасности (SGT)
Протокол безопасной передачи (SXP)
ACL-списки для групп безопасности
TrustSec
Реализация согласованных политик независимо от физических и
виртуальных границ для защиты данных стационарных и мобильных
систем.

7%
17%
76%
Трафик между ЦОДами
Восток – Запад
Север–Юг
ТЕНДЕНЦИИ ТРАФИКА ЦЕНТРОВ ОБРАБОТКИ ДАННЫХ

Физическаясреда
Cisco® ASA 5585-X
Модуль ASA SM для
Cisco Catalyst 6500
• Проверка всего трафика центра обработки данных в
устройстве обеспечения безопасности периметра сети
• Высокая скорость для всех сервисов, включая всю систему
предотвращения вторжений (IPS), благодаря единой среде
передачи данных между зонами доверия
• Разделение внешних и внутренних объектов сети (трафик
«север-юг»)
Трафик «север - юг». Проверка всего входящего и
исходящего трафика центра обработки данных
Виртуальная/
многопользовательская
среда
Виртуальный межсетевой экран ASA 1000V контролирует
границы сети
Виртуальный шлюз безопасности (VSG) контролирует зоны
Виртуальный шлюз
безопасности Cisco
(VSG)
Cisco ASA 1000V
Виртуальный
межсетевой экран
Трафик «восток-запад». Создание безопасных зон доверия
между приложениями и пользователями в центре обработки
данных
• Разделение пользователей в многопользовательских средах
• Разделяет приложения или виртуальные машины у одного
пользователя

Область применения
Performance
Max Firewall
Max IPS
Max IPSec VPN
Max IPSec/SSL VPN Peers
Platform Capabilities
Max Firewall Conns
Max Conns/Second
Packets/Second (64 byte)
Base I/O
Max I/O
VLANs Supported
HA Supported
Internet Edge/
Campus
ASA 5585 SSP-20
10 Gbps
3 Gbps
2 Gbps
10,000
1,000,000
125,000
3,000,000
8 GE + 2 10 GE
16 GE + 4 10 GE
250
A/A and A/S
Campus/
Data Center
ASA 5585 SSP-40
20 Gbps
5 Gbps
3 Gbps
10,000
2,000,000
200,000
5,000,000
6 GE + 4 10GE
12 GE + 8 10GE
250
A/A and A/S
Data Center
ASA 5585 SSP-60
35 Gbps
10 Gbps
5 Gbps
10,000
2,000,000
350,000
9,000,000
6 GE + 4 10GE
12 GE + 8 10GE
250
A/A and A/S
Internet Edge/
Campus
ASA 5585 SSP-10
4 Gbps
2 Gbps
1 Gbps
5000
750,000
50,000
1,500,000
8 GE + 2 10 GE
16 GE + 4 10 GE
250
A/A and A/S

Конфиденциальная информация CiscoC97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 15
Сервисный модуль ASAУстройство ASA 5585
Обеспечивает плотность в 8 раз выше, чем продукты
конкурирующих производителей
В 4 раза большее количество сеансов
В 2 раза большее количество соединений в секунду
В 2 раза более высокая эффективность защиты
В 6 раз ниже потребление электроэнергии
Выход за рамки традиционных решений благодаря
лидирующим в отрасли системным возможностям
64 Гбит/с
1,2 млн соединений в секунду
1000 виртуальных контекстов
4000 сетей VLAN
Cisco® ASA 5585-X v9.0 с функцией кластеризации
Сегментация с использованием
межсетевого экрана

Возможность ASASM FWSM
Списки ACL реальных IP-адресов/ Да Нет
Глобальные списки ACL
IPv6 по технологии Fast-Path Да (16 Гбит/с) Нет (80 Мбит/c)
Максимальная пропускная способность
объединительной панели 10 Гбит/с 1 Гбит/с
Кол-во записей управления доступом 2 миллиона 80 тысяч
Записи
Инъекция очищенного трафика на маршруте Нет Да
Сеть VPN Полная поддержка Только управление
после FCS

Сервисы МСЭ, IPS и VPN для ЦОД
Производительность
• 35 Gbps производительности МСЭ
• Производительность МСЭ и IPS 10 Gbps
• Мастабируется до 10,000 VPN-пользователей
Защита инвестиций
• Масштабируемая аппаратная платформа
Мультисервисная безопасность от лидера
• Защита от современных угроз с Botnet Traffic Filtering и
аппаратно-ускоренной IPS
с сервисом глобальной корреляции
• Безопасный доступ с Cisco AnyConnect™
Высокопроизводительная и масштабируемая
аппаратная платформа

• CTX
ASA Context Mode
• vPC
Virtual PortChannel
• VDCs
Nexus 7000 Series Virtual
Device Contexts
• VSS
Cisco Catalyst 6500 Series
Virtual Switching System
• VXI
Cisco Virtualization
Experience Infrastructure
Высокопроизводительные
Firewall, VPN и IPS для
ЦОД
Поддержка и
интеграция

• Разделение контекстов VDC является
сертифицированным отраслевым
механизмом защиты от утечки
информации
Лаборатории NSS для сред,
соответствующих стандартам PCI
FIPS 140-2
Стандарт Common Criteria Evaluation and
Validation Scheme — сертификат №10349

ASA 5585-S10P10
ASA 5585-S20P20
ASA 5585-S40P40
ASA 5585-S60P60
Производительностьимасштабируемость
ЦОДЛокальная сетьФилиал
Удовлетворение требований клиентов
FWSM ASASM

• С версии ASA 9.0:
• До 8 ASA в кластере
• обновление ПО без остановки
сервиса
• Управление потоками трафика для
обеспечения инспекции
• Отсутствие единой точки отказа
• Синхронизация состояний внутри
кластера для аутентификации и
высокой доступности
• Централизованное управление и
мониторинг
• Можно начинать с двух МСЭ
• Inter DC Clustering (с ASA 9.1.4)
2x10GbEDataTrafficPortChannel
ClusterControlLink

Security
Admin
Port
Group
Service
Admin
Virtual Network
Management Center
• Консоль управления VSG
• Запуск на одной из VMs
Virtual Security Gateway
• Программный МСЭ
• Запускается на одной из VMs
• Сегментация и политики для
всех VMs
Nexus 1000V with vPath
• Распределенный virtual
switch
• Запускается как часть
гипервизора
Физический
сервер
• UCS или
• Другой x86
server

• Проверенная безопасность,
обеспечиваемая Cisco®: согласованность
физической и виртуальной безопасности
• Модель объединенной безопасности
̶ Виртуальный шлюз безопасности Cisco
Virtual Secure Gateway (VSG) для
пользовательских защищенных зон
̶ Cisco ASA 1000V для управления
периметром пользовательской сети
• Прозрачная интеграция
̶ С помощью коммутатора Cisco Nexus®
1000V и Cisco vPath
• Гибкость масштабирования для
удовлетворения потребностей в облачных
средах
̶ Внедрение нескольких экземпляров для
развертывания в масштабе ЦОД
Пользователь БПользователь А
VDC
Виртуальное
приложение vApp
Виртуальное
приложение vApp
Гипервизор
Cisco Nexus® 1000V
Cisco vPath
VDC
Центр управления виртуальными сетями Cisco®
(VNMC)
VMware vCenter
Cisco
VSG Cisco
VSG
Cisco
VSG
Cisco ASA
1000V
Cisco ASA
1000V
Cisco
VSG

• Защищает трафик между
виртуальными машинами одного
заказчика
• Layer 2 МСЭ для защиты трафика
«восток-запад»
• Списки доступа с сетевыми
атрибутами и атрибутами
виртуальной машины
• Фильтрация на базе первого пакета
с ускорением через vPath
• Защита границы сети заказчика
• Шлюз по умолчанию и Layer 3 МСЭ
для защиты трафика «север-юг»
• МСЭ функционал включает списки
доступа, site-to-site VPN, NAT, DHCP,
инспекцию, IP audit, VXLAN шлюз.
• Все пакеты проходят через Cisco
ASA 1000V
Cisco® VSG Cisco ASA 1000V
Безопасность
Intra-Tenant
на границе
Nexus 1000V
vPath
Hypervisor

Компания X Компания Y
Виртуальная
машина 1
машина 2
машина 3
Cisco VSG
Cisco® ASA 1000V Cisco ASA 1000VВиртуализованные web-серверы
физическая среда компании X
сервер 1
сервер 1
машина 4
машина 5
Физическое
устройство
Cisco ASA
Сеть IPsec VPN для связи между объектами
• Компания X намерена развернуть свои web-серверы в облаке,
• Компания X также располагает локально размещенными физическими
серверами
• Разработчикам компании X необходим доступ к web-серверам в
виртуализованной среде.
• В процессе настройки устанавливается VPN-туннель между объектами.
Пример использования:

Компания X Компания X’ (клон)
машина 1
машина 2
машина 3
Cisco VSG
Cisco® ASA 1000V Виртуализованные web-серверы
машина 1
машина 1
• Компания X клонирует своего пользователя, в результате чего IP-адреса двух
пользователей перекрываются.
• ASA 1000V позволяет клиентам изолировать сети с перекрывающимися адресами,
используя динамическое преобразование сетевых адресов (NAT) при
сохраняющемся обмене данными с внешней сетью.
Внешняя сеть

Компания X
машина 1
машина 2
машина 3
Cisco
VSG
Cisco® ASA 1000V Виртуализованные web-серверы
машина 1
машина 1
Виртуальные машины быстро запускаются и останавливаются в виртуальных средах.
Для этих виртуальных машин необходимо динамическое назначение IP-адресов.
Ducati выполняет функцию DHCP-сервера и выделяет IP-адреса при получении
запроса от любой виртуальной машины у пользователя.
Компания Y

Cisco® ASAv
Проверенное аппаратное решение безопасности от Cisco
теперь в виртуализированной среде
Открытая архитектура
Multi-hypervisor
Multi-vswitch
Открытые API
Гибкая модель
лицензирования

Кластеризация и
мультиконтекст
ASAvАппаратная
ASA
Transparent
Не-vPATH
Кластеризация
Мультиконтекст
ASA1000V

Функционал ASA
ASAv
Нет кластеризации и
мультиконтестности
• Соответствие функционала физической ASA
• Масштабирование через виртуализацию
• До 10 vNIC интерфейсов
• Программная криптография
• SDN и традиционные методы управления
• Масштабируется до 4 vCPUs и 8 GB памяти
• Возможность поддерживать 1 политику на
физических и виртуальных ASA

Динамический контент
Пользователи и
устройства
Ресурсы и запросы
Маркировка трафика данными о контексте в рамках единой политики
(устройство, группа, роль), невосприимчивая к изменениям сети
Несвязанная политика
Бизнес-политика
X
Распределенная
реализация
Метка групп безопасностиМЕТКА

Идентификация Классификация Назначение Распространение
Идентификатор:
Пользователь, устройство
Роль: Кадровая служба
компании
Метка: SGT 5 Совместное использование:
сетевые переходы
Приложения, данные и
сервисы
Отсутствие привязки политики, в результате чего определение отделяется от реализации
Классификация объектов: системы и пользователи
Контекст: роль системы или роль пользователя, устройство, местоположение и метод доступа
Распространение классификации на основе контекста с использованием меток групп безопасности
Межсетевые экраны, маршрутизаторы и коммутаторы используют метки групп в интеллектуальной
политике
Коммутатор Маршрутизатор Межсетевой
экран ЦОД
Коммутатор ЦОД Серверы

• Контроль доступа основанный на Группах Безопасности позволяет:
Сохранять существующий логический дизайн на уровне доступа
Изменять / применять политику для соответствия текущим бизнес-
требованиями
Распределять политику с центрального сервера управления
SGACL
802.1X/MAB/Web Auth.
Финансы(SGT=10)
Кадры(SGT=11)
Я контрактор
Моя группа ИТ
Контрактор
& ИТ
SGT = 5
SGT = 100

Защита
Недовольные сотрудники
- Устройство обеспечения безопасности IPS 4500
- Контроль приложений Cisco® ASA CX
Хакеры
Киберпреступники
Организованная преступность
Защита компаний от внешних и внутренних угроз

Cisco IPS 4500 /
Sourcefire NGIPS
Защита для критически важных центров
обработки данных
• Обеспечивает аппаратное ускорение проверки,
производительность, соответствующую реальным условиям
эксплуатации, высокую плотность портов и энергоэффективность в
расширяемом шасси
• Обеспечивает защиту от внешних и внутренних атак
Cisco ASA NGFW
Sourcefire NGFW
Межсетевой экран с учетом приложений и
контекста
• Обеспечивает проверку с аппаратным ускорением,
производительность, соответствующую реальным условиям
эксплуатации, высокую плотность портов и энергоэффективность в
расширяемом шасси
• Обеспечивает защиту от внешних и внутренних атак

Модель Средняя производительность Список
IPS-4510-K9 3 Гбит/с $79,995
IPS-4520-K9 5 Гбит/с $135,995
10 Гбит/c для будущих разработок
Конкурентоспособное решение с оптимальным соотношением
«цена/качество» для центра обработки данных

Показатель Значение
Cisco® IPS
4510
Cisco IPS
4520
Средняя
производительность
проверки
Реальный трафик
Cisco использует пять сторонних
тестов, которые показывают состав
смешанного трафика
развертываний.
3 Гбит/с 5 Гбит/с
Максимальная
производительность
проверки
Реальный трафик
Cisco использует пять сторонних
тестов, которые показывают состав
смешанного трафика
развертываний.
5 Гбит/с 10 Гбит/с
Максимальное
количество
подключений
Динамично функционирующим
центрам обработки данных
требуется большое количество
подключений.
3,800,000 8,400,000
Кол-во подключений
в секунду
Беспроблемная обработка
всплесков
подключений.
72,000 100,000
Среднее время
задержки
Большинство сбоев транзакций
происходит из-за проблем с TTL.
<150 микросекунд <150 микросекунд
Эффективны решения,
ориентированные
на устранение уязвимостей.
Более 25 000 угроз Более 25 000 угроз

• Гибкая интеграция в программное
обеспечение
NGIPS,NGFW, AMP
• Гибкая интеграция в аппаратное
обеспечение
Масштабируемость: 50 Мбит/с -> 60
Гбит/с
Стекирование для масштабирования,
кластеризация для отказоустойчивости
• Экономичность
Лучшие в своем классе для систем
предотвращения вторжения, межсетевых
экранов нового поколения
от NSS Labs
До 320 ядер RISC

Зоны высокого
риска
Низкое
развертываний
0
10
20
30
40
50
60
70
80
90
Behind VPN
Concentrator
In front of
Public Facing
Web
Application
In front of
primary Data
Center
In Network
Core
Perimeter
behind FW
Perimeter in
front of FW
Between
different
business units
Between
Corporate
Campuses
Between
different
business
functions
За VPN-
концентратором
Перед
общедоступным
web-
приложением
Перед
основным
ЦОД
В ядре сети Периметр
перед
межсетевым
экраном
Между
различными
подразделе-
ниями
Большинство
клиентов
выполняют
развертывания только
по периметру
Зоны высокого
риска
Низкое
развертываний
Низкое количество
развертываний в
зонах высокого риска =
большие возможности
Периметр за
межсетевым
экраном
Между
комплексами
зданий
предприятия
Между
различными
отделами

Cisco ASA FWNG
Оборудование Интеграция Программное обеспечение
Несколько форм-факторов
Учет контекста
• Наиболее полный контроль: приложения,
пользователи и устройства
• Наиболее широко развернутый удаленный
доступ
• Веб-безопасность бизнес-класса
Учет угроз
• Защита от совершенно новых угроз
• Анализ глобальных данных из нескольких
источников угроз
• Анализ репутации с помощью
человеческого и компьютерного
интеллекта
Надежный анализ с учетом состояния и широчайший набор элементов управления с
учетом контекста

Высокоскоростная проверка контента
123.45.67.89
Johnson-PC
Операционная система: Windows 7
имя хоста: laptop1
Пользователь: jsmith
IP 12.134.56.78
12.122.13.62
SQL
Реальность: сегодня основой безопасности
является предотвращение угроз
Реальность сегодня:
612 нарушений
безопасности
в 2012 г.
• 92% происходит от
внешний агентов
• 52% используют какую-
либо из форм хакерства
• 40% приходится на долю
вредоносных программ
• 78% атак не отличаются
высокой сложностью
Утечка данных Verizon в 2013 г.
Отчет о расследовании

КАТЕГОРИИ ПРИМЕРЫ
SOURCEFIRE
СИСТЕМЫ
ПРЕДОТВРАЩЕНИЯ
ВТОРЖЕНИЙ И
МЕЖСЕТВЫЕ ЭКРАНЫ
НОВОГО ПОКОЛЕНИЯ
СТАНДАРТНАЯ
СИСТЕМА
ПРЕДОТВРАЩЕН
ИЯ ВТОРЖЕНИЙ
СТАНДАРТНЫЙ
МЕЖСЕТЕВОЙ
ЭКРАН НОВОГО
ПОКОЛЕНИЯ
Угрозы Атаки, аномалии ✔ ✔ ✔
Пользователи AD, LDAP, POP3 ✔ ✗ ✔
Веб-приложения Facebook Chat, Ebay ✔ ✗ ✔
Протоколы приложений HTTP, SMTP, SSH ✔ ✗ ✔
Передача файлов PDF, Office, EXE, JAR ✔ ✗ ✔
Вредоносное ПО Conficker, Flame ✔ ✗ ✗
Серверы C&C Интеллектуальная система безопасности C&C ✔ ✗ ✗
Клиентские приложения Firefox, IE6, BitTorrent ✔ ✗ ✗
Сетевые серверы Apache 2.3.1, IIS4 ✔ ✗ ✗
Операционные системы Windows, Linux ✔ ✗ ✗
Маршрутизаторы и коммутаторы Cisco, Nortel, Wireless ✔ ✗ ✗
Мобильные устройства iPhone, Android, Jail ✔ ✗ ✗
Принтеры HP, Xerox, Canon ✔ ✗ ✗
VoIP-телефоны Avaya, Polycom ✔ ✗ ✗
Виртуальные машины VMware, Xen, RHEV ✔ ✗ ✗

Dynamic Profiling
Сигнатуры атак
HTTP Protocol Validation
Защита Cookie
Web Fraud Detection
Предотвращение
мошенничества
Защита от
технических
атак
Защита от атак на
бизнес-логику
Корреляцияатак
Геолокация IP
Репутация IP
Anti-Scraping Policies
Bot Mitigation Policies

Web
Application
Firewall
Сервер
управления (MX)
Пользователи
Web
сервера
Web
сервера
Web
Application
Firewall
Web
сервера
Web
Application
Firewall

WAN
маршрутизатор
Tenant A
Физическая
инфраструктура
Виртуализованный
/облачный
ЦОД
Коммутатор
Виртуализированные
сетевые сервисы
Cisco Nexus
1000V
vPath VXLAN
Multi-Hypervisor (VMware, Microsoft, RedHat*, Citrix*)
ASA
1000V
Cloud
Firewall
Cisco
Virtual
Security
GatewayCitrix
NetScale
r
VPX
Imperva
SecureSpher
e
WAF
Cloud
Services
Router
1000V
Network
Analysis
Module
(vNAM)
vWAAS
Cisco Nexus
1000V
• Распределен
ный
коммутатор
• Согласованно
сть с NX-OS
VSG
• Контроль на
уровне VM
• Zone-based
FW
ASA 1000V
• МСЭ
периметра,
VPN
• Инспекция
протоколов
vWAAS
• WAN
оптимизация
• Трафик
приложений
CSR 1000V
(Cloud Router)
• WAN L3 шлюз
• Маршрутизац
ия и VPN
• Citrix
NetScaler
VPX virtual
ADC
• Imperva Web
App Firewall
Ecosystem
Services
Zone
A
Zone
B
Сервера
Email /
Web
Security
(vESA
/vWSA)

Управление и
отчетность
• Cisco® Security Manager (SM)
• Центр управления виртуальными
сетями Cisco (VNMC)
Сбор информации
• Cisco NetFlow
Координация политик
• Cisco Identity Services Engine (ISE)
• Маркировка для групп безопасности Cisco TrustSec (SGT)
Поддержание соответствия нормативным требованиям и получение
информации об операциях центра обработки данных

БEЗОПАСНОСТЬ
СЕТЬ ВЫЧИСЛЕНИЯ
Атрибуты виртуальной машины
Профили
Профили
портов
vCenter
Администратор
сервера
N1KV
сети
CSM
VNMC
Физическая среда Виртуальная среда
NetFlow
сети
Cisco® NetFlow

• Позволяет выполнять логическую сегментацию виртуальных машин
и применять политики к этим логическим кластерам виртуальных
машин  снижение сложности реализации политик
Корень
Пользователь
А
Пользователь
Б
ЦОД 3
ЦОД 2
ЦОД 1
Приложение
1
Приложение
2
Категория 2
Уровень
пользователя
Уровень
vDC
Уровень
виртуального
приложения
vApp
Уровень
категории

• Cisco® ASA 1000V поддерживает политики, основанные на атрибутах сети
• Cisco VSG поддерживает политики, основанные на атрибутах сети и атрибутах виртуальной
машины (VM)
Правило
Условие для
источника
Условие для
точки назначения
Действие
Тип атрибута
Сеть
машина
Специальный
Атрибуты виртуальной машины
Имя экземпляра
Полное имя ОС гостя
Имя зоны
Имя родительского приложения
Атрибуты виртуальной
машины
Имя профиля порта
Имя кластера
Имя гипервизора
Атрибуты сети
IP-адрес
Сетевой порт
Оператор
eq
neq
gt
lt
range
Оператор
Not-in-range
Prefix
member
Not-member
Contains
Условие

• Гибкая модель безопасность
Cisco Virtual Secure Gateway (VSG)
для внутризоновой защиты
Cisco ASA 1000V для контроля между
зонами
• Прозрачная интеграция
С Cisco Nexus 1000V и Cisco vPath
• Единый контроль доступа с
помощью Cisco ISE
• Контроль аномалий в сети с
помощью Sourcefire Virtual
Appliance и Cisco CTD
• Расширение защитных функций
Cisco vESA/vWSA, Imperva WAF
Tenant
A
vAp
p
Гипервизор
Cisco Nexus 1000V
Cisco vPath
VDC
Cisco Virtual Network Management Center
(VNMC)
VMware vCenter
Cisco
VSG
Cisc
o
VSG
Cisco ASA
1000V
Cisco ASA
1000V
Cisc
o
VSG
Cisc
o
VSG
vAp
p
Tenant
BVDC

LAN Switch
(vSwitch)
Security
Gateway
(VSG)
Identity
Services
(vISE)
Adaptive
Security
(vASA)
WAN
Acceleration
(vWAAS)
Mobility
Services
(vMSE)
Wireless LAN
Control
(vWLC)
Cloud Services
Router
(vCE)
Network
Analysis
(vNAM)
Video
Cache
Network
Management
(PRIME NCS)
Network
Analytics
(vDNA)
.. Многие известные сетевые сервисы уже оптимизированы
или разработаны заново для виртуальной реализации

Корпоративное
облако
Private/Hosted/Managed
Cisco
Nexus1000V
vSwitch
Облако провайдера
Public/Utility/Community
N1KV InterCloud
Другие
потребите
ли
L2 Virtual Private
Cloud
Nexus 1000V InterCloud
Коммутация Nexus | Маршрутизация IOS | Сетевые сервисы
Интеграция VM Manager API интеграции с облаком ASP
VNMC
InterCloud
Сценарии
• Всплески (события, сезонность, вывод на
рынок…)
• Обновление/миграция
• Непрерывность/избежание катастроф
• Защита от «наездов»
Преимущества
• Согласованность сети/сервисов/политик
• Защита и шифрование
• Единая точка управления
• Выбор между провайдерами
Защищенное гибридное облако = Защищенное расширение частного облака в публичное

TrustSec
Enabled
Enterprise
Network
Identity
Services
Engine
NetFlow: Switches, Routers,
и ASA 5500
Контекст:
NBAR/AVC
Cisco Cyber Threat Detection - повышает эффективность и действенность анализа
и обеспечивает ключевое понимание внутренней активности в сети
Телеметрия NetFlow
Cisco Switches, Routers и ASA 5500
Данные о контексте угрозы
Cisco Identity, Device, Posture, Application

ASA 5585
vPath
Hypervisor
Aggregation
Nexus 1000VVirtual Security
Gateway
Secure
Container
Virtual Flow
Sensor
Flow
Collector
StealthWatc
h
Managemen
t Console
Cisco NetFlow
1. Инфицированные хосты открывают
соединения и экспортируют данные
2. Ифраструктура генерирует записи
события используя Netflow
3. Сбор и анализ
данных Netflow
4. Сигнал тревоги о возможной
утечке данных
3. Сбор и анализ данных
Netflow

Испытано в лаборатории и утверждено архитектором.
Интернет-
периметр
РАСПРЕДЕЛЕНИЕ
Сеть
хранения ASA 5585-
X
ASA 5585-
X
VDC
Nexus 7018 Nexus 7018
ЯДРО
Nexus
серии
7000
Nexus
серии
5000
Nexus
серии
2100
Зона
Унифицированная
вычислительная
система
Nexus
1000V
VSG
Многозонная
структура
Catalyst
6500
СЕРВИСЫ
VS
S
Межсетевой
экран ACE
Модуль
анализа сети
(NAM)
Система
предотвращения
вторжений (IPS)
VS
S
VPCVPCVPCVPCVPCVPCVPCVPC
Физический центр
Безопасность,
апробированные
архитектуры Cisco (CVD)
Виртуальный центр
Виртуализованный
мультисервисный центр
обработки данных (VMDC)
Проверено. Совместимость | Масштабируемость | Надежность

CSM NetFlow VNMCISE
ASA 5585-X ASA 1000V VSG Nexus 1000V TrustSec
IPS4500 ASA CX WSA

УНИФИЦИРОВАННЫЙ
ЦЕНТР ОБРАБОТКИ
ДАННЫХ
БЕЗОПАСНОСТЬ
АПРОБИРОВАННАЯ
АРХИТЕКТУРА
Средний
уровень
Высокий
уровень
Низкий
уровеньТекущие возможности

Интернет-
периметр
РАСПРЕДЕЛЕНИЕ
Сеть
хранения
ASA 5585-X ASA 5585-X
VDC
Nexus 7018 Nexus 7018
ЯДРО
= вычисления
= сеть
= безопасность
Nexus
серии
7000
Nexus
серии
5000
Nexus
серии
2100
Зона
Унифицированная
вычислительная
система
Nexus
1000V
VSG
Многозонная
структура
Catalyst
6500
СЕРВИСЫ
VSS
Межсетевой
экран
ACE
Модуль
анализа сети
(NAM)
Система
предотвращения
вторжений (IPS)
VSSVPCVPCVPCVPCVPCVPCVPCVPC
Серверная стойка 10G Серверная стойка 10 G Унифицированные
вычисления
Унифицированный доступ

* Продемонстрировано на VMworld 2011
* Продемонстрировано на VMworld 2011
Cisco®
VSG
Cisco ASA
1000V
• Защита виртуальной инфраструктуры на разных
уровнях (категория, виртуальное приложение,
виртуальный ЦОД и пользователь)
• Динамическое масштабирование в ходе
эксплуатации
• Поддержка мобильности виртуальной машины
• Предотвращение избыточного трафика в
физическую инфраструктуру; независимо от VLAN
• Управление виртуальной машиной на основе
контекста для Cisco VSG
виртуальных
сред
Cisco
ASA-SM
Cisco
ASA 5500-X
серии
внутренних
сегментов
сети
• Сегментированная внутренняя сеть
• Политика, применяемая к VLAN
• Использование виртуальных контекстов
Cisco
ASA 5500-X
серии
Интернет-
периметр
сети
• Фильтрация внешнего трафика
• Широкая поддержка протоколов приложений
• Защита доступа к VPN и нейтрализация угроз

Формирование
доверительных отношений
 Защищенная инфраструктура
распределенных сетевых сервисов
Защищенные подключения и доступ
 Защищенное увеличение емкости
 Защищенный доступ для
пользователей, работающих
в офисе, и мобильных пользователей
Защищенные приложения на
распределенной платформе
 Защита от угроз
 Подтверждение соответствия
нормативным требованиям
Безопасное расширение в среды XaaS
SaaS
IaaS
PaaS
Защищенный
доступ
Филиал
Мобильные
пользователи
Внутренние
пользователи
Защищенное
подключение
62

Структура и технологии ЦОД меняются
Эти изменения сильно сказываются
на системе обеспечения безопасности
Cisco располагает долговременной стратегией
создания защищенных ЦОД без границ
Сосредоточьтесь на развитии своего бизнеса, а
Cisco поможет построить ЦОД, удовлетворяющий
потребностям вашей компании
1
2
3

http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussia
http://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco
http://blog.cisco.ru/

Благодарим за
внимание!
security-request@cisco.com

Проблема защиты информации в современном ЦОДе и способы ее решения

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Viewers also liked

Viewers also liked (20)

Similar to Проблема защиты информации в современном ЦОДе и способы ее решения

Similar to Проблема защиты информации в современном ЦОДе и способы ее решения (20)

More from Cisco Russia

More from Cisco Russia (20)

Проблема защиты информации в современном ЦОДе и способы ее решения