1 / 0

思科数据中心安全解决方案

思科数据中心安全解决方案. Cisco Hongtao Xu hongtxu@cisco.com. 议程. 数据中心面临的安全挑战 思科 数据中心安全解决方案 数据中心边界威胁防御方案 数据中心内部安全隔离方案 对数据中心的访问安全 数据中心的安全管理 总结. 数据中心变迁历程. 物理 WORKLOAD. 虚拟化 WORKLOAD. 云化 WORKLOAD. 单服务器单应用 静态 手工配置. 单服务器多应用 移动 动态配置. 单服务器多租户 弹性 自动扩展. HYPERVISOR. VDC-1. VDC-2.

gaurav
Download Presentation

思科数据中心安全解决方案

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. 思科数据中心安全解决方案 Cisco Hongtao Xu hongtxu@cisco.com
  2. 议程 数据中心面临的安全挑战 思科数据中心安全解决方案 数据中心边界威胁防御方案 数据中心内部安全隔离方案 对数据中心的访问安全 数据中心的安全管理 总结
  3. 数据中心变迁历程 物理WORKLOAD 虚拟化WORKLOAD 云化 WORKLOAD 单服务器单应用 静态 手工配置 单服务器多应用 移动 动态配置 单服务器多租户 弹性 自动扩展 HYPERVISOR VDC-1 VDC-2 CONSISTENCY(一致性): 策略, 功能,安全,管理 * Virtual only, ** Announced
  4. 安全是排在第一位的驱动力 Increase Security Drivers Percent of Respondents Rating 6 or 7 Source: Data Center Deployment Strategies: North American Enterprise Survey, Infonetics, February 2011. http://www.infonetics.com/pr/2012/Enterprise-Data-Center-Security-Survey-Highlights.asp PRIORITY
  5. 数据中心安全建设中需要关注的课题 数据中心威胁防范: 保护数据中心免受感染、攻击及入侵 ,数据中心可用性和安全性是非常重要的,任何中断都可能导致严重的商业后果 防止数据泄漏与盗窃:敏感及关键数据需要保护免受盗窃或者不合法的传播 信息的安全访问控制: 从传统商务到电子商务的转变意味着增加对敏感信息的访问,同时也增加了风险 法规遵从和安全管理: 企业必须遵从相关的安全条例,以保障敏感和隐私信息的安全
  6. 边界模块(互联网、第三方接入 Extranet Zone Application Policy Management Internet-Edge Zone Extranet Zone Internet Edge Zone Intranet Zone Intranet Zone 应用策略管理 网络交换总线 NSB 安全管理 多媒体 服务区 Security Management 一般应用 服务器区 核心生产 服务器区 网络管理 Legacy Systems Zone App-M/L Zone App-M/L Zone App-High Zone Multi-Media Zone 准生产服务器区 开发测试 服务器 OA 服务器 数据库区 Network Management 系统管理 System Management 数据管理 核心SAN 交换模块 16 16 16 16 16 16 16 16 NAS/FCIP/iSCSI Premium Platinum Gold Silver Tape Library Optical Library Centralized Tiered Storage Pool 数据中心安全逻辑架构 电信运营商 :SDH/ATM/MSTP/DWDM 运维与安全管理模块 安全管理 容灾模块 广域网接入模块 Data Center Operation & Management Platform 数据中心的边界安全 对 数 据 中 心 的 访 问 安 全 对 数 据 中 心 的 访 问 安 全 数据中心内部安全 DB Storage Pool Apps Storage Pool 外部网存储池 开发存储池 OA存储池 准生产网存储池 FC Data Management
  7. 议程 数据中心面临的安全挑战 思科数据中心安全解决方案 数据中心边界威胁防御方案 数据中心内部安全隔离方案 对数据中心的访问安全 数据中心的安全管理 总结
  8. 思科智能边界威胁防御 思科安全智能运营中心 Cloud EmailSecurity Cloud WebSecurity Cisco Registered Envelope Service 邮件安全 垃圾邮件、病毒防范 边界设备更新 安全WEB浏览 云安全 服务 驻点边界设备 恶意软件防护 IPS ESA WSA ASA 策略执行 branchOffice Coffee Shop Mobile User Data Center Office
  9. 数据中心边界安全举例:网上交易边界安全 Internet 互联网 电信 网通 链路负载均衡设备 链路负载均衡设备 边界防火墙 高并发连接 高每秒新建连接 攻击防护 防火墙1 WEB区 IDS 应用监控防火墙 高级应用监控 高并发连接 WWW DNS 6509-02 6509-01 APP区 防火墙2 6509-12 6509-11 IDS Application server 后端防火墙 高吞吐 低延迟 防火墙3 分布层 分布层 DB区 核心 核心
  10. 思科数据中心防火墙—ASA5585-X 40Gbps Firewall 10Gbps IPS 350,000 CPS 20Gbps Firewall 5Gbps IPS 200,000 CPS 10Gbps Firewall 3Gbps IPS 125,000 CPS 4Gbps Firewall 2Gbps IPS 50,000 CPS 20Gbps Firewall 300,000 CPS
  11. 思科ASA 5585-X 高性能的统一威胁控制 防火墙/入侵防御/VPN的高性能结合,独立硬件资源
  12. Cisco 独立的IPS平台 IPS 4520 IPS 4510 IPS 4360 Performance, Scalability, Adaptivity IPS 4345 Branch Office Internet Edge Campus Data Center
  13. 数据中心边界防护:其他边界防护 数据中心 广域网边界 第三方接入边界 NAT ACL 广域网防火墙 路由器 广域网防火墙 路由器 广域网 地级中心 地级中心 地级中心
  14. 数据中心边界安全:应用安全 WSA WEB 安全 内部主机上网的安全代理 服务器更新的安全代理 防数据泄露 僵尸网络侦测 Enterprise Network Internet Core WSA 应用安全 服务区 Aggregation Services Access servers
  15. 议程 数据中心面临的安全挑战 思科数据中心安全解决方案 数据中心边界威胁防御方案 数据中心内部安全隔离方案 对数据中心的访问安全 数据中心的安全管理 总结
  16. 中安全等级 中风险等级2 高安全等级 低风险等级4 数据中心内部安全:设计模型 可信业务终端 合作伙伴 网上服务 办公类终端 Extranet Internet 低安全等级 高风险等级1 非业务/办公类前端 业务类前端 数据中心内部 中风险等级3 业务后端服务器 中高安全等级 非业务类后端 核心业务后台服务器 后台数据库服务器
  17. 数据中心的分区隔离技术 在物理的和虚拟的边界,提供一致的执行策略 基于防火墙隔离 基于计算Fabric 隔离 状态检测防火墙 虚拟系统 VPN 统一计算矩阵隔离 TrustSec 基于情景感知的隔离 基于网络隔离 物理的 Virtual (VLAN, VRF) 安全分组标签(SGT) 安全交换协议(SXP) 安全分组ACL
  18. 云数据中心网络隔离模型 核心VDC G-VRF Global VRF i-VRF Internal VRF 汇聚 VDC 汇聚VDC 汇聚VDC VRF VRF G-VRF G-VRF i-VRF i-VRF i-VRF i-VRF Vlan Vlan Vlan Vlan Vlan Vlan Vlan Vlan VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM DB Web APP 物理机 物理机 物理机 Tenant Tenant Tenant Tenant 中小系统 无安全要求系统 大系统/私有业务 大企业租户/私有业务: 系统利用Global VRF区分。 每个系统多个Internal VRF。 Internal VRF区分不同部门或者应用。 通过多VLAN实现多级应用灵活Zone部署。 独立VDC专供此用户类型接入。 中小租户/系统: 每个系统一个VLAN/一个VRF。 VLAN映射到VRF。 不进行业务/服务层区分。 独立VDC专供此用户类型接入。
  19. 数据中心内部:安全隔离技术选择 利用虚拟安全服务 通过VLAN将流量转到外部的安全设备 2 1 Web Server App Server Database Server Web Server App Server Database Server Hypervisor Hypervisor VLANs VSN VSN Service Chassis – ASA-SM* Virtual Contexts Virtual Service Nodes Traditional Service Nodes
  20. 数据中心内部安全:防火墙防护的部署 防火墙用在: 指定安全区域的边界 连接N7K的两个VDC ASA部署方式 与vPC实现etherchannel Etherchannel可以启用Trunk实现虚拟防火墙防护 利用ASA的冗余接口技术 Clustering集群技术 口子型部署
  21. ASA Clustering(防火墙的集群技术) ASA5585平台支持最多8台防火墙组成集群,共同工作 好处: 增强整体性能:8台cluster支持高达超过300G的性能 投资保护:所有的节点都参与流量转发,实现按需扩展 简化管理,cluster中的多台防火墙统一管理,统一配置,统一策略 增加冗余度,各台防火墙之间存在备份机制,无中断升级
  22. ASA Cluster 最佳组网方式 4 1 3 2 ASA x Node Cluster CL MASTER CL SLAVE CL SLAVE CL SLAVE Data Plane 采用Spannned Port Channel 单臂部署,减少异步路由 ASA Port-Channel 32 cLACP – Spanned Port Channel N7K VPC 32 VPC PEER LINK Control Plane 采用Local Port Channel 增加冗余度 与DP带宽相当 N7K VPC 40 N7K VPC 41 N7K VPC 43 N7K VPC 42 LACP – Local Port Channels 3 4 2 1 ASA Port-Channel 40 ASA x Node Cluster CL MASTER CL SLAVE CL SLAVE CL SLAVE
  23. 数据中心内部安全:IPS/IDS防护的部署 IPS要求流量对称,不然会造成攻击的漏报,甚至阻断正常流量。 在线方式部署(IPS) IPS要求流量对称,不然会造成攻击的漏报,甚至阻断正常流量。 Fail-open的支持 内置bypass流量 双机部署,靠STP完成HA 旁路方式部署(IDS) 交换机的SPAN 双机的时候,可以利用VACL的镜像实现分担。 VRRP Core IPS/IDS IPS/IDS Aggregation VRRP Services Access
  24. 数据中心安全虚拟化设计 虚机安全:VSG/ASA1000v 一虚多:secure Context 多虚一:Cluster
  25. 安全隔离与弹性业务 用户访问 无保护 如果受到保护,流量经过防火墙否则直接流向无保护的区域Zone。 业务模型按照应用特点来考虑服务集成: 安全要求应用 – FW Only /FW+IPS– 保护模式 性能要求应用– 高吞吐/时延敏感无- 保护模式 业务模型可以按照任意形式组合服务 全功能服务– 防火墙/负载均衡/应用加速 仅需防火墙 防火墙和 负载均衡服务 无保护,但负载均衡服务务 无保护 受保护 共享防火墙 可选应用服务- 负载均衡LB, IPS, Edge FW etc 可选应用服务- 负载均衡LB, IPS, Edge FW etc 虚拟防火墙 直接访问 模式A 模式B 模式C 模式D 模式E
  26. 弹性安全服务部署 联通169网 联通IP承载网 防火墙用在: 侧挂模式部署 提供按需的安全防护 虚拟化设计,为多租户网络提供安全服务。 虚拟防火墙 虚拟防火墙 ASA5585 ASA5585 虚拟化核心层 N7010 N7010 负载分担 负载分担 SAN交换机 SAN交换机 MDS 9148 MDS 9148
  27. 业务系统的安全互联与隔离 Private / Public Cloud 系统1 系统2 系统3 VDI VSG VSG VSG WebServer DatabaseServer WebServer ASA ASA ASA 采用IPSec VPN对应用系统进行安全互联 指定系统互联 指定用户与系统互联 外联区的跨广域网互联 广域网链路备份 ASA 系统3 DatabaseServer
  28. 情景感知之安全分组 f User, group, posture, device_ID, IP, certificate,…… 安全组
  29. 基于安全组的访问控制示例 用户 A 用户C SGACL 允许拓扑独立的访问控制: 10 30 当用户企图访问受限访问资源时,其流量将在可信网络出口被处被阻止; 甚至当两个用户位于同一个VLAN时,它们之间也不能相互访问,访问权限也可能不一样; 数据包在进入可信网络时被打上SGT标签 园区网络 TrustSec Enabled Network SGACL-D 策略为 SQL = 允许 SMB = 禁止 数据中心 Directory Service 服务器 A 服务器 B 服务器 C 111 222 333 ACS5.x SQL 流量 Windows 文件共享流量 SGACL
  30. 议程 数据中心面临的安全挑战 思科数据中心安全解决方案 数据中心边界威胁防御方案 数据中心内部安全隔离方案 对数据中心的访问安全 数据中心的安全管理 总结
  31. 互联网访问:远程安全访问 普通信息 防火墙的访问控制 IPS的威胁控制 Enterprise Network Internet 专有信息 SSLVPN提供身份认证、加密与封装 基于身份的访问控制 智能终端的安全访问 Core ASA VPN网关 安全接入 服务区 Aggregation Services Access
  32. 互联网访问:共享虚拟VPN接入网关设计 云服务 共享VPN网关 Mobile Access Network 移动接入网关 户外移动用户 企业1 资源 互联网 企业2 资源 有线用户 AAA,可以提供API接口修改密码等 为多个企业/系统提供服务: 企业用户可以在互联网直接访问自己的应用系统 企业用户通过SSLVPN接入,通过vlan mapping技术,仅可以安全访问自己的应用系统
  33. 局域网访问:ASA实现基于情景感知访问控制
  34. 局域网访问:ASA实现基于情景感知访问控制 Added Column to Destination Criteria Added Column to Source Criteria WHO WHAT WHERE HOW WHEN
  35. 数据中心访问安全:VDI 安全控制(1) Production Server Groups of VMs with SSC 5.1 Catalyst 65 CTS Device VDI连接前置 RDP RDP 用RDC客户端的生产用户 Development Server 利用Trustsec解决方案 方案1: 802.1X 请求由VDI VM 工作站发出 接入交换工作在open mode 和multi-authentication ISE/ACS 到AD上验证用户信息,并分配给用户相应的角色,下发相应的ACL策略。 Cat 6K/Nexus 7k 进行策略执行 Cisco ACS 5.1/ise AD 方案2: Connection broker根据不同的AD group分配不同的port group Nexus 1000v对不同的接入终端port profile打TAG Cat 6K/Nexus 7k 进行SGACL策略执行
  36. 数据中心访问安全:VDI安全(2) ASA Instead of Citrix Access Gateway, enter ASA address. ASA ASA作为VDI服务器的安全代理 隐藏VDI地址 SSL加密传输 防火墙的安全控制
  37. 议程 数据中心面临的安全挑战 思科数据中心安全解决方案 数据中心边界威胁防御方案 数据中心内部安全隔离方案 对数据中心的访问安全 数据中心的安全管理 总结 总结
  38. 数据中心安全管理:CSM统一管理 全面的网络安全管理 防火墙 入侵防御 VPN 网络设备的ACL 丰富的配置和策略选项 全局策略 分组策略 本地策略
  39. 数据中心安全管理:设备集中管理 Backbone West-APs FULL ACCESS PARTIAL READ ONLY East Security Perimeter SERVER ACCESS SERVER ACCESS PBX Unix DSMS Routers, Switches, APs Network Administrators ACS Syslog, ACS or RA logging server T+ or RADIUS replication Terminal Server System Access Secure auth mechanisms
  40. 数据中心安全管理:远程安全网管设计 user 认证-用户授权-用户审计 user 认证-用户授权-用户审计 user 认证-用户授权-用户审计 ASA做统一的网管接入 ACS做基于设备和命令的授权与审计 用户名+USBKEY证书认证 Anyconncet传输加密 Enterprise Network Internet ASA作为堡垒主机, 统一出口进行设备管理 ASA VPN网关 Radius对用户身份认证与授权 Tacas+对ASA管理员管理 用户权限进行分配 ACS Tacas+设备级别的 命令权限控制
  41. 议程 数据中心面临的安全挑战 思科数据中心安全解决方案 数据中心边界威胁防御方案 数据中心内部安全隔离方案 对数据中心的访问安全 数据中心的安全管理 总结 总结
  42. 总结:思科数据中心安全解决方案一览 边界安全 广域网的访问控制 网上交易的访问控制 第三方接入的访问控制 互联网安全的访问与更新 Enterprise Network Internet WSA 访问安全 VPN的安全访问 VDI访问的安全控制 VPN 容灾接入 VPN 安全接入 ASA/IDS ASA/IDS 内部安全 不同安全区域的隔离与控制 可信网络架构 应用系统安全互联 ISE ACS CSM 安全管理 CSM统一管理 网络、安全设备管理与认证 远程网管设计 安全 管理区
  43. 总结:思科云数据中心网络安全设计相关技术 安全隔离 威胁防御 行为可见 ASA/ASA-SM 虚拟服务节点 情景感知隔离 VPN CSIO云安全 ASA/IPS WSA 情景感知技术 ACS统一AAA CSM统一安管
  44. Cisco是网络安全市场的领先者
More Related