Cisco: Архитектура защищенного ЦОДа

1C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены.

Проблема защиты информации в современном ЦОДе и способы ее решения

ТЕНДЕНЦИИ ЦОД

ОБЛАЧНЫЕ СРЕДЫВИРТУАЛИЗАЦИЯ

СООТВЕТСТВИЕ ТРЕБОВАНИЯМ

C97-714039-00 © Cisco и/или ее дочерние компании, 2012 г. Все права защищены. 3

При изменении ландшафта ЦОДДавление со всех сторон

Глобальная доступность

Использованиересурсов

Защита окружающей

среды

Соответствие нормативным требованиям

Оптимизацияэксплуатации

ЦОДГибкость сервисов

Быстрое выделение ресурсов

Производительностьприложений

Доступк сервисам

Совместно работающиеприложения

Пользователи

Внутренние пользователи

Мобильные пользователи

Атакующие

Внешние пользователи


Где бы мы не находились

ВиртуализацияОблачная среда

Традиционный центр обработки

данных

Виртуализованный центр

обработки данных (VDC)

Виртуализо-ванные

настольные системы

Внутренние, частные облачные среды

Виртуальные частные облачные среды (VPC)

Общедоступные облачные среды

ВЫНАХОДИТЕСЬ

ЗДЕСЬ?

Консолидация ресурсов

Виртуализация среды

Автоматизация предоставления

услуг

Стандартизация операций


Сложности обеспечения ИБ в ЦОД• Сегментация физических и виртуальных ресурсов

• Виртуализация и различные гипервизоры

• Защита в сетях хранения данных

• Контроль приложений

• Утечки данных

• Соответствие требованиям

• Доступность и обеспечениебесперебойногофункционирования

• Переход к облачным вычислениям


Начинать надо не с технологий и продуктов!

• Потребности бизнеса

Какие операции хочет осуществлять ваша организация с сетью?

• Анализ риска

Каково соотношение риска и затрат?

• Политика безопасности

Каковы политические правила, стандарты и рекомендации по удовлетворению потребностей бизнеса и снижению риска?

• Лучший отраслевой практический опыт

Каковы надежные, хорошо понятные и рекомендуемые лучшие практические приемы обеспечения безопасности?

• Операции обеспечения безопасности

Реакция на инциденты, мониторинг, сопровождение и аудит соответствия системы.

Технологии безопасности

Операции безопасностиРазрешение инцидентов, мониторинг

и сопровождение, проверки соответствия

Лучший отраслевой

опыт

Нужды бизнеса

Анализ риска

Политика безопасностиПолитические правила, принципы,

стандарты


ЦОД – это часть целого!

• Множество продуктов, политик, неуправляемых и чужих устройств, а также доступ в облака

Бизнес-контекст

УП

РА

ВЛ

ЕН

ИЕ

ВычисленияВычисления

Сеть

Хранение

Сеть Хранение УправлениеУНИФИЦИРОВАННЫЙ

ЦЕНТР ОБРАБОТКИ ДАННЫХ

БЕЗОПАСНОСТЬСегментация Защита от угроз Прозрачность

АПРОБИРОВАННАЯ АРХИТЕКТУРА

Data Center Security CVD

Виртуальный мультисервисный центр обработки данных

Правильный подход к защите ЦОД

Физическая | Виртуальная | Облачная среда


Основные приоритеты обеспечения безопасности ЦОД

Сегментация

• Установление границ: сеть, вычисления, виртуальные ресурсы

• Реализация политики по функциям, устройствам, организациям

• Контроль доступа к сетям, ресурсам. приложениям

Защита от угроз

• Блокирование внутренних и внешних атак

• Контроль границ зоны и периметра

• Доступ к управляющей информации и ее

использование

Прозрачность

• Обеспечение прозрачности использования

• Применение бизнес-контекста к работе сети

• Упрощение отчетности по операциям и соответствию

нормативным требованиям

На всех уровнях ЦОД

Периметр ЦОД

Сеть хранения данных (SAN)

Виртуализация

1

2

4

Инфраструктура ЦОД3

Сервера и приложения5

Облака6


• Одно приложение на сервер• Статическая• Выделение ресурсов вручную

• Множество приложений на сервер• Мобильная• Динамическое выделение

ресурсов

• Множество пользователей на сервер

• Адаптивная• Автоматическое масштабирование

ГИПЕРВИЗОРVDC-1 VDC-2

Соответствие продуктов потребностямНАГРУЗКА В

ФИЗИЧЕСКОЙ СРЕДЕ

НАГРУЗКА В ВИРТУАЛЬНОЙ

СРЕДЕ

НАГРУЗКАВ ОБЛАЧНОЙ

СРЕДЕ

Cisco Nexus® 1000V, Nexus 1010, VM-FEXUCS для виртуализованных сред

NetApp, EMC

СетьВычисленияХранение

Cisco Nexus 7K/6K/5K/4K/3K/2KCisco UCS для оборудования без

установленного ПОEMC, NetApp

Мультиконтекстные МСЭ, виртуальные МСЭ,

виртуальное устройство защиты приложений

VSG

ПериметрЗона

Традиционные МСЭ и IPS

Защита приложений

Проекты Data Center Security CVD Виртуальный мультисервисный центр обработки данных (VMDC)



Сегментация с помощью матрицы коммутации

UCS Fabric Interconnect

Сегментация сетиФизическая средаВиртуальная среда (VLAN, VRF)Виртуализованная среда (зоны)

Сегментация с помощью межсетевого экрана

Динамический аварийный/рефлективный список ACL

Мультиконтекстнаясеть VPN

Сегментация с учетомконтекста

Метки для групп безопасности (SGT) Протокол безопасной передачи (SXP)

ACL-списки для групп безопасности

TrustSec

Реализация согласованных политик независимо от физических и виртуальных границ для защиты данных стационарных и мобильных систем.


Сегментация с помощью межсетевого экрана

Фи

зич

еска

я с

ред

а

Физическиймежсетевой экран

Модуль МСЭ для коммутатора

• Проверка всего трафика центра обработки данных в устройстве обеспечения безопасности периметра сети

• Высокая скорость для всех сервисов, включая всю систему предотвращения вторжений (IPS), благодаря единой среде передачи данных между зонами доверия

• Разделение внешних и внутренних объектов сети (трафик «север-юг»)

Трафик «север - юг». Проверка всего входящего и исходящего трафика центра обработки данных

Ви

рту

аль

на

я /

м

но

гоп

ол

ьзо

ва

тел

ьск

ая

сред

а

Виртуальный межсетевой экран контролирует границы сети

Виртуальный шлюз безопасности контролирует зоныВиртуальный шлюз

безопасности (VSG)

Виртуальный межсетевой экран

Трафик «восток-запад». Создание безопасных зон доверия между приложениями и пользователями в центре обработки данных

• Разделение пользователей в многопользовательских средах

• Разделяет приложения или виртуальные машины у одного пользователя


Безопасность в виртуальной среде

Контроль виртуальной сети

Контроль трафика между ВМ

Безопасность виртуального уровня доступа

Сохранение контроля за уровнем доступа

Обеспечение выполнения виртуальных политик

Обеспечение выполнения политик контроля доступа в виртуальной среде

Выполнение политик в физической и виртуальной средах

Эксплуатация и управление

Единая среда для управления физической и виртуальной ИТ-инфраструктурами

Защита виртуальной среды

OS

App

Виртуальный сервер

Зона 1 Зона 2

OS

App

OS

App

OS

App

OS

App

OS

App

Виртуальныйкоммутатор

Физические МСЭ и IPS


Можно и через физический МСЭ

• Маппирование зон в виртуальные контексты

• Сегментация виртуальной инфраструктуры

• Направление трафика VM в контексты МСЭ

• Сегментация сетевоготрафика внутри зоны

Системный трафик

Трафик VM

Трафик управления

6100 Fabric A6100 Fabric B

Physical Firewall

Context B

Context C

Nexus1000v VEM

Nexus1000v VEM


Место виртуального шлюза ИБ

SecurityAdmin

Hypervisor

HypervisorPort Group

ServiceAdmin

Virtual Network Management Center• Консоль управления VSG• Запуск на одной из VMs

Virtual Security Gateway• Программный МСЭ• Запускается на одной из VMs• Сегментация и политики для

всех VMs

Виртуальный коммутатор• Распределенный virtual switch• Запускается как часть

гипервизора

Физический сервер• UCS или• Другой x86

server


Защита пользовательского периметра сети с помощью виртуального МСЭ• Проверенная безопасность,

обеспечиваемая Cisco®: согласованность физической и виртуальной безопасности

• Модель объединенной безопасности

�̶ Виртуальный шлюз безопасности Virtual Secure Gateway (VSG) для пользовательских защищенных зон

�̶ Виртуальный МСЭ для управления периметром пользовательской сети

• Прозрачная интеграция

�̶ С помощью виртуального коммутатора

• Гибкость масштабирования для удовлетворения потребностей в облачных средах

�̶ Внедрение нескольких экземпляров для развертывания в масштабе ЦОД

Пользователь БПользователь А

VDCВиртуальное приложение vApp

Виртуальное приложение vApp

Гипервизор

Nexus® 1000V

vPath

VDC

Центр управления виртуальными сетями (VNMC)

VMware vCenter

VSGVSG VSG

vFWvFW

VSG


Сегментация с учетом контекста

Динамический контент

Пользователи и устройства

Ресурсы и запросы

Маркировка трафика данными о контексте в рамках единой политики(устройство, группа, роль), невосприимчивая к изменениям сети

Несвязанная политика

Бизнес-политика

X

Распределенная реализация

Метка групп безопасностиМЕТКА



Маркировка в рамках политики

Идентификация Классификация Назначение Распространение

Идентификатор: Пользователь, устройство

Роль: Кадровая служба компании

Метка: SGT 5 Совместное использование: сетевые переходы

Приложения, данные и сервисы

Отсутствие привязки политики, в результате чего определение отделяется от реализации

Классификация объектов: системы и пользователи

Контекст: роль системы или роль пользователя, устройство, местоположение и метод доступа

Распространение классификации на основе контекста с использованием меток групп безопасности

Межсетевые экраны, маршрутизаторы и коммутаторы используют метки групп в интеллектуальной политике

Коммутатор Маршрутизатор Межсетевой

экран ЦОДКоммутатор ЦОД Серверы



Контроль доступа с использованием групп безопасности

• Контроль доступа основанный на Группах Безопасности позволяет:Сохранять существующий логический дизайн на уровне доступа

Изменять / применять политику для соответствия текущим бизнес-требованиями

Распределять политику с центрального сервера управления

SGACL802.1X/MAB/Web Auth.

Финансы(SGT=10)

Кадры(SGT=11)

Я контракторМоя группа ИТ

Контрактор& ИТ

SGT = 5

SGT = 100




Защита

Недовольные сотрудники

- Системы предотвращения вторжений- Контроль приложений

Хакеры

Киберпреступники

Организованная преступность

Защита компаний от внешних и внутренних угроз


IPS Защита для критически важных центров обработки данных• Обеспечивает аппаратное ускорение проверки,

производительность, соответствующую реальным условиям эксплуатации, высокую плотность портов и энергоэффективность в расширяемом шасси

• Обеспечивает защиту от внешних и внутренних атак

FWNG / App FW Межсетевой экран с учетом приложений и контекста• Обеспечивает проверку с аппаратным ускорением,

производительность, соответствующую реальным условиям эксплуатации, высокую плотность портов и энергоэффективность в расширяемом шасси

• Обеспечивает защиту от внешних и внутренних атак

Варианты защиты от угроз



МСЭ нового поколения (FW NG)

FW NG

Оборудование Интеграция Программное обеспечение

Несколько форм-факторов

Учет контекста

• Наиболее полный контроль: приложения, пользователи и устройства

• Наиболее широко развернутый удаленный доступ

• Веб-безопасность бизнес-класса

Учет угроз

• Защита от совершенно новых угроз• Анализ глобальных данных из нескольких

источников угроз• Анализ репутации с помощью

человеческого и компьютерного интеллекта

Надежный анализ с учетом состояния и широчайший набор элементов управления с учетом контекста


Known Attackers

Bots

Web Attacks

Undesirable Countries

Web Fraud

App DDoS

Scrapers

Phishing Sites

Comment Spammers

Vulnerabilities

© Copyright 2012 Imperva, Inc. All rights reserved. 24

А что с угрозами на прикладном уровне?


Dynamic Profiling

Сигнатуры атак

HTTP Protocol Validation

Защита Cookie

Web Fraud DetectionПредотвращение мошенничества

Защита от технических

атак

Защита от атак на бизнес-логикуК

ор

рел

яц

ия

ата

к

Геолокация IP

Репутация IP

Anti-Scraping Policies

Bot Mitigation Policies

Механизмы защиты WAF


WebApplicationFirewall

Сервер управления (MX)

Пользователи

Web сервера

Web сервера

WebApplicatio

nFirewall

Web сервера

WebApplicatio

nFirewall

Как контролировать атаки между виртуальными машинами?


Прозрачность

Управление и отчетность• Центр управления ИБ• Центр управления виртуальными сетями

Сбор информации• NetFlow / sFlow

Координация политик• Identity Services Engine (ISE)• Маркировка для групп безопасности (SGT)

Поддержание соответствия нормативным требованиям и получение информации об операциях внутри центра обработки данных


Что объединяет всех?!

СЕТЬ

Видимость всего трафика

Маршрутизация всех запросовИсточники всех данных

Контроль всех потоков

Управление всеми устройствами

Контроль всех пользователей

Контроль всех потоков


NetFlow – это редко используемый источник данных ИБ


Поведенческий анализ


sFlow\NetFlow:Cisco Switches, Routers, и

ASA 5500

Сенсоры NetFlow/sFlowСенсоры NetFlow/sFlow

Консоль управления

• Наблюдаемость и управление• Агрегация от 25 FlowCollector-ов —

До 1.5 миллионов потоков в секунду

NetFlow генерируется на:• Cisco switches, routers, ASA 5500• FlowSensors на участках, которые не имеют Netflow

FlowCollector

Identity:ISE

Приложения:NBAR/AVC наCisco Routers

• Агрегация потоков, анализ, разбор содержания

• Хранит и анализирует до 2,000 источников потоков и до 120K потоков в секунду

• ISE, NBAR/AVC обеспечивают контекст

SMC

FCКонтекст угроз

Анализ сетевых аномалий

Контроль сетевой и виртуальной инфраструктуры

© 2013 Lancope, Inc. All rights reserved.

ИнтернетМосква

Казань

Тверь

ASR-1000

Cat6k

UCS сNexus 1000v

ASACat6k

3925 ISR

3560-X

3850Stack(s)

Cat4kЦОД

WAN

DMZ

Доступ

Xen, VMware, Hyper-V


Просто анализ аномалий: без контекста

Что делает 10.10.101.89?

Политика Время начала

Тревога Источник Source Host Groups

Цель Детали

Desktops & Trusted Wireless

Янв 3, 2013 Вероятная утечка данных

10.10.101.89 Атланта, Десктопы

Множество хостов

Наблюдается 5.33 Гб. Политика позволяет максимум до 500 Мб



Получение контекста

Политика Время старта

Тревога Источник Группа хостов источника

Имя пользователя

Тип устройства

Цель

Desktops & Trusted Wireless

Янв 3, 2013

Вероятная утечка данных

10.10.101.89 Атланта, Десктопы

Джон Смит Apple-iPad Множество хостов



Получение контекста от МСЭ / роутера

• Проверка настроек межсетевых экранов и сетевого оборудования

• Расследование инцидентов

• Troubleshooting



Соответствие требованиям по ИБ: 4-й приоритет!


Классификация требований

Общие требовани

яКонкретные требования


Новый приказ ФСТЭК по ПДн• №21 от 18.02.2013 «Об утверждении

Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»

• Отменяет Приказ ФСТЭК от 05.02.2010 №58

• Меры по защите ПДн в ГИС принимаются в соответствии с требованиями о защите информации, содержащейся в ГИС


Новый приказ ФСТЭК по ГИС• №17 от 12.02.2013 «О защите

информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»

• Все новые и модернизируемые системы должны создаваться по новому приказу, а не по СТР-К

Старые системы «живут» по СТР-К

• Меры по защите ПДн в ГИС принимаются в соответствии с требованиями о защите информации, содержащейся в ГИС


ЗСВ: Защита среды виртуализации • Меры по защите среды виртуализации должны исключать

несанкционированный доступ к персональным данным, обрабатываемым в виртуальной инфраструктуре, и к компонентам виртуальной инфраструктуры и (или) воздействие на них, в том числе к средствам управления виртуальной инфраструктурой, монитору виртуальных машин (гипервизору), системе хранения данных (включая систему хранения образов виртуальной инфраструктуры), сети передачи данных через элементы виртуальной или физической инфраструктуры, гостевым операционным системам, виртуальным машинам (контейнерам), системе и сети репликации, терминальным и виртуальным устройствам, а также системе резервного копирования и создаваемым ею копиям


ЗСВ: набор мерСодержание мер УЗ4 УЗ3 УЗ2 УЗ1

ЗСВ.1 Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации

+ + + +

ЗСВ.2 Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин

+ + + +

ЗСВ.3 Регистрация событий безопасности в виртуальной инфраструктуре + + +ЗСВ.4 Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная

передача) потоками информации между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры

ЗСВ.5 Доверенная загрузка серверов виртуализации, виртуальной машины (контейнера), серверов управления виртуализацией

ЗСВ.6 Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных

+ +ЗСВ.7 Контроль целостности виртуальной инфраструктуры и ее конфигураций + +ЗСВ.8 Резервное копирование данных, резервирование технических средств, программного

обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры

+ +

ЗСВ.9 Реализация и управление антивирусной защитой в виртуальной инфраструктуре + + +ЗСВ.10 Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной

инфраструктуры) для обработки персональных данных отдельным пользователем и (или) группой пользователей

+ + +


В качестве заключения


А мы не забыли про сети хранения?• Коммутаторы SAN

Ролевое управление доступом (RBAC)

Защищенное управление

Контроль доступа

Зонирование FC

Поддержка VSAN

Поддержка FC-SP и FCIP

Port Security

Поддержка SLAP, FCAP, FCPAP и RFC3723

iSCSI

• Storage Media Encryption

Безопасность управления SAN

Протокол безопасности

SAN

Безопасность доступа к SAN

Целостность и безопасность данных

Безопасность доступа к системам хранения

Безопасность IP SAN

(iSCSI/FCIP)

Сеть Хранения

iSCSI

Target


Подходы одинаковые везде• Безопасность сетей хранения

VLAN VSAN

ACL hard/soft zoning

Ethernet Port Security FC Port Security

IPSec FCSec, как часть FC-SP

• Безопасность виртуализации

VLAN виртуальные контексты (virtual device context)

ACL атрибуты виртуальных машин

Ethernet Port Virtual PortChannel

• Есть нюанс – сертифицированные СЗИ

Ориентироваться на них или нет?


Единый подход к решению задачИнтернет-периметр

РАСПРЕДЕЛЕНИЕСеть

храненияASA 5585-X ASA 5585-X

VDCNexus 7018 Nexus 7018

ЯДРО

= вычисления

= сеть

= безопасность

Nexus серии7000



Зона

Унифицированнаявычислительная

система

Nexus 1000V VSG

Многозонная структура

Catalyst 6500

СЕРВИСЫ

VSS

Межсетевой экран ACE

Модуль анализа сети

(NAM)

Система предотвращения вторжений (IPS)

VSSVPCVPCVPCVPCVPCVPCVPCVPC

Серверная стойка 10G Серверная стойка 10 G Унифицированные вычисления

Унифицированный доступ


Зрелость перехода к внешнему ЦОД

Самостоятельные некритичные сервисы

Управляющие некритичные сервисы

Управляющие критичные сервисы


При аутсорсинге меньше контроля!

Своя ИТ-служба

Хостинг-провайдер

IaaS PaaS SaaS

Данные Данные Данные Данные Данные

Приложения Приложения Приложения Приложения Приложения

VM VM VM VM VM

Сервер Сервер Сервер Сервер Сервер

Хранение Хранение Хранение Хранение Хранение

Сеть Сеть Сеть Сеть Сеть

- Контроль у заказчика

- Контроль распределяется между заказчиком и владельцем внешнего ЦОД

- Контроль у владельца внешнего ЦОД


Если вы решились• Стратегия безопасности во внешнем ЦОД

Пересмотрите свой взгляд на понятие «периметра ИБ»

Оцените риски – стратегические, операционные, юридические

Сформируйте модель угроз

Сформулируйте требования по безопасности

Пересмотрите собственные процессы обеспечения ИБ

Проведите обучение пользователей

Продумайте процедуры контроля аутсорсера

Юридическая проработка взаимодействия с аутсорсером

• Стратегия выбора внешнего ЦОД-партнера

Чеклист оценки ИБ для внешнего ЦОД


Критерии выбора внешнего ЦОД• Финансовая устойчивость аутсорсера

• Схема аутсорсинга

XaaS, hosted service, MSS

• Клиентская база

• Архитектура

• Безопасность и privacy

• Отказоустойчивость и резервирование

• Планы развития новых функций


А где гарантии?!• Финансовые гарантии

• Завершение контракта

• Интеллектуальная собственность

Стратегия развития

Формирование доверительных отношений

Защищенная инфраструктура распределенных сетевых сервисов

Защищенные подключения и доступ

Защищенное увеличение емкости

Защищенный доступ для пользователей, работающих в офисе, и мобильных пользователей

Защищенные приложения на распределенной платформе


Подтверждение соответствия нормативным требованиям

Безопасное расширение в среды XaaS

SaaS

IaaS

PaaS

Защищенный доступ

Филиал

Мобильные пользователи

Внутренние пользователи

Защищенное подключение

51

Игроки рынка ИБ ЦОДов


Основные результаты

Структура и технологии ЦОД меняютсяЭти изменения сильно сказываются на системе обеспечения безопасности

Необходимо выстраивать долговременнуюстратегию создания защищенных ЦОД без границ

Нормативные требования регуляторов по ИБ непросто применить к современным подходам построения распределенных ЦОДов

1

2

3


Где вы можете узнать больше?

Участвуйте в наших семинарах

Пишите на [email protected]

Позвоните или приходите к нам

… а также подпишитесь на

http://www.facebook.com/CiscoRu

http://twitter.com/CiscoRussia

http://www.youtube.com/CiscoRussiaMedia

http://www.flickr.com/photos/CiscoRussia

http://vkontakte.ru/Cisco

http://blog.cisco.ru/

http://blogs.cisco.ru/

http://blogs.cisco.ru/

Благодарим за внимание!

[email protected]

Documents

Cisco: Архитектура защищенного ЦОДа