思科数据中心安全解决方案

思科数据中心安全解决方案 Cisco Hongtao Xu hongtxu@cisco.com

议程数据中心面临的安全挑战思科数据中心安全解决方案数据中心边界威胁防御方案数据中心内部安全隔离方案对数据中心的访问安全数据中心的安全管理总结

数据中心变迁历程物理WORKLOAD 虚拟化WORKLOAD 云化 WORKLOAD 单服务器单应用静态手工配置单服务器多应用移动动态配置单服务器多租户弹性自动扩展 HYPERVISOR VDC-1 VDC-2 CONSISTENCY(一致性): 策略, 功能，安全，管理 * Virtual only, ** Announced

安全是排在第一位的驱动力 Increase Security Drivers Percent of Respondents Rating 6 or 7 Source: Data Center Deployment Strategies: North American Enterprise Survey, Infonetics, February 2011. http://www.infonetics.com/pr/2012/Enterprise-Data-Center-Security-Survey-Highlights.asp PRIORITY

数据中心安全建设中需要关注的课题数据中心威胁防范: 保护数据中心免受感染、攻击及入侵 ,数据中心可用性和安全性是非常重要的,任何中断都可能导致严重的商业后果防止数据泄漏与盗窃:敏感及关键数据需要保护免受盗窃或者不合法的传播信息的安全访问控制: 从传统商务到电子商务的转变意味着增加对敏感信息的访问，同时也增加了风险法规遵从和安全管理: 企业必须遵从相关的安全条例，以保障敏感和隐私信息的安全

边界模块（互联网、第三方接入 Extranet Zone Application Policy Management Internet-Edge Zone Extranet Zone Internet Edge Zone Intranet Zone Intranet Zone 应用策略管理网络交换总线 NSB 安全管理多媒体服务区 Security Management 一般应用服务器区核心生产服务器区网络管理 Legacy Systems Zone App-M/L Zone App-M/L Zone App-High Zone Multi-Media Zone 准生产服务器区开发测试服务器 OA 服务器数据库区 Network Management 系统管理 System Management 数据管理核心SAN 交换模块 16 16 16 16 16 16 16 16 NAS/FCIP/iSCSI Premium Platinum Gold Silver Tape Library Optical Library Centralized Tiered Storage Pool 数据中心安全逻辑架构电信运营商：SDH/ATM/MSTP/DWDM 运维与安全管理模块安全管理容灾模块广域网接入模块 Data Center Operation & Management Platform 数据中心的边界安全对数据中心的访问安全对数据中心的访问安全数据中心内部安全 DB Storage Pool Apps Storage Pool 外部网存储池开发存储池 OA存储池准生产网存储池 FC Data Management

思科智能边界威胁防御思科安全智能运营中心 Cloud EmailSecurity Cloud WebSecurity Cisco Registered Envelope Service 邮件安全垃圾邮件、病毒防范边界设备更新安全WEB浏览云安全服务驻点边界设备恶意软件防护 IPS ESA WSA ASA 策略执行 branchOffice Coffee Shop Mobile User Data Center Office

数据中心边界安全举例：网上交易边界安全 Internet 互联网电信网通链路负载均衡设备链路负载均衡设备边界防火墙高并发连接高每秒新建连接攻击防护防火墙1 WEB区 IDS 应用监控防火墙高级应用监控高并发连接 WWW DNS 6509-02 6509-01 APP区防火墙2 6509-12 6509-11 IDS Application server 后端防火墙高吞吐低延迟防火墙3 分布层分布层 DB区核心核心

思科数据中心防火墙—ASA5585-X 40Gbps Firewall 10Gbps IPS 350,000 CPS 20Gbps Firewall 5Gbps IPS 200,000 CPS 10Gbps Firewall 3Gbps IPS 125,000 CPS 4Gbps Firewall 2Gbps IPS 50,000 CPS 20Gbps Firewall 300,000 CPS

思科ASA 5585-X 高性能的统一威胁控制防火墙/入侵防御/VPN的高性能结合，独立硬件资源

Cisco 独立的IPS平台 IPS 4520 IPS 4510 IPS 4360 Performance, Scalability, Adaptivity IPS 4345 Branch Office Internet Edge Campus Data Center

数据中心边界防护：其他边界防护数据中心广域网边界第三方接入边界 NAT ACL 广域网防火墙路由器广域网防火墙路由器广域网地级中心地级中心地级中心

数据中心边界安全：应用安全 WSA WEB 安全内部主机上网的安全代理服务器更新的安全代理防数据泄露僵尸网络侦测 Enterprise Network Internet Core WSA 应用安全服务区 Aggregation Services Access servers

中安全等级中风险等级2 高安全等级低风险等级4 数据中心内部安全：设计模型可信业务终端合作伙伴网上服务办公类终端 Extranet Internet 低安全等级高风险等级1 非业务/办公类前端业务类前端数据中心内部中风险等级3 业务后端服务器中高安全等级非业务类后端核心业务后台服务器后台数据库服务器

数据中心的分区隔离技术在物理的和虚拟的边界，提供一致的执行策略基于防火墙隔离基于计算Fabric 隔离状态检测防火墙虚拟系统 VPN 统一计算矩阵隔离 TrustSec 基于情景感知的隔离基于网络隔离物理的 Virtual (VLAN, VRF) 安全分组标签(SGT) 安全交换协议(SXP) 安全分组ACL

云数据中心网络隔离模型核心VDC G-VRF Global VRF i-VRF Internal VRF 汇聚 VDC 汇聚VDC 汇聚VDC VRF VRF G-VRF G-VRF i-VRF i-VRF i-VRF i-VRF Vlan Vlan Vlan Vlan Vlan Vlan Vlan Vlan VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM DB Web APP 物理机物理机物理机 Tenant Tenant Tenant Tenant 中小系统无安全要求系统大系统/私有业务大企业租户/私有业务: 系统利用Global VRF区分。每个系统多个Internal VRF。 Internal VRF区分不同部门或者应用。通过多VLAN实现多级应用灵活Zone部署。独立VDC专供此用户类型接入。中小租户/系统: 每个系统一个VLAN/一个VRF。 VLAN映射到VRF。不进行业务/服务层区分。独立VDC专供此用户类型接入。

数据中心内部：安全隔离技术选择利用虚拟安全服务通过VLAN将流量转到外部的安全设备 2 1 Web Server App Server Database Server Web Server App Server Database Server Hypervisor Hypervisor VLANs VSN VSN Service Chassis – ASA-SM* Virtual Contexts Virtual Service Nodes Traditional Service Nodes

数据中心内部安全：防火墙防护的部署防火墙用在: 指定安全区域的边界连接N7K的两个VDC ASA部署方式与vPC实现etherchannel Etherchannel可以启用Trunk实现虚拟防火墙防护利用ASA的冗余接口技术 Clustering集群技术口子型部署

ASA Clustering（防火墙的集群技术） ASA5585平台支持最多8台防火墙组成集群，共同工作好处：增强整体性能：8台cluster支持高达超过300G的性能投资保护：所有的节点都参与流量转发，实现按需扩展简化管理，cluster中的多台防火墙统一管理，统一配置，统一策略增加冗余度，各台防火墙之间存在备份机制，无中断升级

ASA Cluster 最佳组网方式 4 1 3 2 ASA x Node Cluster CL MASTER CL SLAVE CL SLAVE CL SLAVE Data Plane 采用Spannned Port Channel 单臂部署，减少异步路由 ASA Port-Channel 32 cLACP – Spanned Port Channel N7K VPC 32 VPC PEER LINK Control Plane 采用Local Port Channel 增加冗余度与DP带宽相当 N7K VPC 40 N7K VPC 41 N7K VPC 43 N7K VPC 42 LACP – Local Port Channels 3 4 2 1 ASA Port-Channel 40 ASA x Node Cluster CL MASTER CL SLAVE CL SLAVE CL SLAVE

数据中心内部安全：IPS/IDS防护的部署 IPS要求流量对称，不然会造成攻击的漏报，甚至阻断正常流量。在线方式部署(IPS) IPS要求流量对称，不然会造成攻击的漏报，甚至阻断正常流量。 Fail－open的支持内置bypass流量双机部署，靠STP完成HA 旁路方式部署(IDS) 交换机的SPAN 双机的时候，可以利用VACL的镜像实现分担。 VRRP Core IPS/IDS IPS/IDS Aggregation VRRP Services Access

数据中心安全虚拟化设计虚机安全：VSG/ASA1000v 一虚多：secure Context 多虚一：Cluster

安全隔离与弹性业务用户访问无保护如果受到保护，流量经过防火墙否则直接流向无保护的区域Zone。业务模型按照应用特点来考虑服务集成：安全要求应用 – FW Only /FW+IPS– 保护模式性能要求应用– 高吞吐/时延敏感无- 保护模式业务模型可以按照任意形式组合服务全功能服务– 防火墙/负载均衡/应用加速仅需防火墙防火墙和负载均衡服务无保护，但负载均衡服务务无保护受保护共享防火墙可选应用服务- 负载均衡LB, IPS, Edge FW etc 可选应用服务- 负载均衡LB, IPS, Edge FW etc 虚拟防火墙直接访问模式A 模式B 模式C 模式D 模式E

弹性安全服务部署联通169网联通IP承载网防火墙用在: 侧挂模式部署提供按需的安全防护虚拟化设计，为多租户网络提供安全服务。虚拟防火墙虚拟防火墙 ASA5585 ASA5585 虚拟化核心层 N7010 N7010 负载分担负载分担 SAN交换机 SAN交换机 MDS 9148 MDS 9148

业务系统的安全互联与隔离 Private / Public Cloud 系统1 系统2 系统3 VDI VSG VSG VSG WebServer DatabaseServer WebServer ASA ASA ASA 采用IPSec VPN对应用系统进行安全互联指定系统互联指定用户与系统互联外联区的跨广域网互联广域网链路备份 ASA 系统3 DatabaseServer

情景感知之安全分组 f User, group, posture, device_ID, IP, certificate,…… 安全组

基于安全组的访问控制示例用户 A 用户C SGACL 允许拓扑独立的访问控制: 10 30 当用户企图访问受限访问资源时，其流量将在可信网络出口被处被阻止；甚至当两个用户位于同一个VLAN时，它们之间也不能相互访问，访问权限也可能不一样；数据包在进入可信网络时被打上SGT标签园区网络 TrustSec Enabled Network SGACL-D 策略为 SQL = 允许 SMB = 禁止数据中心 Directory Service 服务器 A 服务器 B 服务器 C 111 222 333 ACS5.x SQL 流量 Windows 文件共享流量 SGACL

互联网访问：远程安全访问普通信息防火墙的访问控制 IPS的威胁控制 Enterprise Network Internet 专有信息 SSLVPN提供身份认证、加密与封装基于身份的访问控制智能终端的安全访问 Core ASA VPN网关安全接入服务区 Aggregation Services Access

互联网访问：共享虚拟VPN接入网关设计云服务共享VPN网关 Mobile Access Network 移动接入网关户外移动用户企业1 资源互联网企业2 资源有线用户 AAA，可以提供API接口修改密码等为多个企业/系统提供服务：企业用户可以在互联网直接访问自己的应用系统企业用户通过SSLVPN接入，通过vlan mapping技术，仅可以安全访问自己的应用系统

局域网访问：ASA实现基于情景感知访问控制

局域网访问：ASA实现基于情景感知访问控制 Added Column to Destination Criteria Added Column to Source Criteria WHO WHAT WHERE HOW WHEN

数据中心访问安全：VDI 安全控制（1） Production Server Groups of VMs with SSC 5.1 Catalyst 65 CTS Device VDI连接前置 RDP RDP 用RDC客户端的生产用户 Development Server 利用Trustsec解决方案方案1: 802.1X 请求由VDI VM 工作站发出接入交换工作在open mode 和multi-authentication ISE/ACS 到AD上验证用户信息，并分配给用户相应的角色，下发相应的ACL策略。 Cat 6K/Nexus 7k 进行策略执行 Cisco ACS 5.1/ise AD 方案2: Connection broker根据不同的AD group分配不同的port group Nexus 1000v对不同的接入终端port profile打TAG Cat 6K/Nexus 7k 进行SGACL策略执行

数据中心访问安全：VDI安全（2） ASA Instead of Citrix Access Gateway, enter ASA address. ASA ASA作为VDI服务器的安全代理隐藏VDI地址 SSL加密传输防火墙的安全控制

议程数据中心面临的安全挑战思科数据中心安全解决方案数据中心边界威胁防御方案数据中心内部安全隔离方案对数据中心的访问安全数据中心的安全管理总结总结

数据中心安全管理：CSM统一管理全面的网络安全管理防火墙入侵防御 VPN 网络设备的ACL 丰富的配置和策略选项全局策略分组策略本地策略

数据中心安全管理：设备集中管理 Backbone West-APs FULL ACCESS PARTIAL READ ONLY East Security Perimeter SERVER ACCESS SERVER ACCESS PBX Unix DSMS Routers, Switches, APs Network Administrators ACS Syslog, ACS or RA logging server T+ or RADIUS replication Terminal Server System Access Secure auth mechanisms

数据中心安全管理：远程安全网管设计 user 认证-用户授权-用户审计 user 认证-用户授权-用户审计 user 认证-用户授权-用户审计 ASA做统一的网管接入 ACS做基于设备和命令的授权与审计用户名+USBKEY证书认证 Anyconncet传输加密 Enterprise Network Internet ASA作为堡垒主机，统一出口进行设备管理 ASA VPN网关 Radius对用户身份认证与授权 Tacas+对ASA管理员管理用户权限进行分配 ACS Tacas+设备级别的命令权限控制

议程数据中心面临的安全挑战思科数据中心安全解决方案数据中心边界威胁防御方案数据中心内部安全隔离方案对数据中心的访问安全数据中心的安全管理总结总结

总结：思科数据中心安全解决方案一览边界安全广域网的访问控制网上交易的访问控制第三方接入的访问控制互联网安全的访问与更新 Enterprise Network Internet WSA 访问安全 VPN的安全访问 VDI访问的安全控制 VPN 容灾接入 VPN 安全接入 ASA/IDS ASA/IDS 内部安全不同安全区域的隔离与控制可信网络架构应用系统安全互联 ISE ACS CSM 安全管理 CSM统一管理网络、安全设备管理与认证远程网管设计安全管理区

总结：思科云数据中心网络安全设计相关技术安全隔离威胁防御行为可见 ASA/ASA-SM 虚拟服务节点情景感知隔离 VPN CSIO云安全 ASA/IPS WSA 情景感知技术 ACS统一AAA CSM统一安管

Cisco是网络安全市场的领先者

思科数据中心安全解决方案

思科数据中心安全解决方案

Presentation Transcript