segurança em sdn
Post on 15-Apr-2017
638 Views
Preview:
TRANSCRIPT
Cisco Confidential 1© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Segurança em SDN
Fernando Zamai
Security Consultingfzamai@cisco.com
Cisco Confidential 2© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential 3© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential 4© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Arquitetura do Data Center
Físico Virtual Industrial
Cisco Confidential 5© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Data Center Físico(Antes de 2006)
Cisco Confidential 6© 2013-2014 Cisco and/or its affiliates. All rights reserved.
IDS
DC Físico: Rede com Topo-de-Rack
Internet/WAN
Conexão L3Conexão L2
Nort
e-sul
Leste-oeste
ACLs
Firewall Contexts
VlanBroadcast
Cisco Confidential 7© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Data Center Físico: Ataques Mais Comuns
Viruses1990–2000
Worms2000–2005
• Phishing
• Baixa sofisticação
• Fama
• Destrutivos
• Impacto na Rede
• Ex: CodeRed
Cisco Confidential 8© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential 9© 2013-2014 Cisco and/or its affiliates. All rights reserved.
DC Físico: Contextos
VLAN1
VLAN2
VLAN3
Aplicação 3
Aplicação 2
Aplicação 1
Server Load BalancerFirewall
Cisco Confidential 10© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Data Center Virtual(2007-2012)
Cisco Confidential 11© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Limitação de PODs ou Racks
DC
POD POD
DC
POD POD
Data Center Virtualizado
DC Virtual: Mobilidade de VMs
Cisco Confidential 12© 2013-2014 Cisco and/or its affiliates. All rights reserved.
DC Virtual: Tipos de Ataques
Spyware and Rootkits2005–2013
• Nascimento da industria Hacking
• Tecnicas de obfuscação
Cisco Confidential 13© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Host
1H
ost
3H
ost
2
Host
4H
ost
5
Host
7H
ost
6
Fabric = Grande Switch Non-Blocking
Host1
Host3
Host4
Host5
Host7
Host2
Host6
Cisco Confidential 14© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Host
1H
ost
3H
ost
2
Host
4H
ost
5
Host
7H
ost
6
LC
LC
LC
LC
LC
LC
LC
LC
LC
LC
FM
FM
FM
Fabric ≅ Grande Switch Non-Blocking
Cisco Confidential 15© 2013-2014 Cisco and/or its affiliates. All rights reserved.
DC Virtual: FabricPath
Internet/WAN
Edge
Border Leaves
Rack Blade Server UCS
Spines
Conexão L3Conexão L2Fabric Path
Leaves
Cisco Confidential 16© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Firewall Físico
Border Leaf
Conexão L3Conexão L2Fabric Path
VPC“Virtual Port Channel”
Firewall Clustering
Alta Performancecom
Inspeção Avançada
Cisco Confidential 17© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Desafios de Redes Virtuais
NIC
Host
AppOS
VM
AppOS
VM
vSwitch
NIC
Perímetro de
Rede
VMs em VLANs erradas
SemVisibilidade
Comunicação ilícita entre VMs
Políticasdiferentes
DMZ Virtual?
STP para HA???
Cisco Confidential 18© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Virtual Ethernet Module
vPath
WS2012 Hyper-V
VXLAN
Virtual Ethernet Module
vPath
KVM/OpenStack
VXLAN
Virtual Ethernet Module
vPath
ESX
VXLAN
Cisco Nexus 1000V para Ambientes Multi-Hypervisor
Appliances VirtuaisVirtual
SupervisorModulesvWAASVSGASAv NS1000V
Appliance Físico: Cloud Service Platform
vNAM VSG
PrimaryVSM NS1000V
vNAM VSG
SecondaryVSM NS1000V
Rede DC
Cisco Confidential 19© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Data Center Industrial(Depois de 2013)
Cisco Confidential 20© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential 21© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Tipos de Ataques
APTs Cyberware2013-Hoje
• Códigos sofisticados
• Evasão de Defesas
• Multiplas técnicas
• Espalhamento Horizontal
Cisco Confidential 22© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Perguntas Válidas dos Clientes
Como ter a mesma política de segurança para máquinas físicas e virtuais?
Como provisionar redes de forma automática com segurança?
Como ter visibilidade sobre o tráfego de aplicações?
Cisco Confidential 23© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Componentes do ACI
APPLICATION CENTRIC INFRASTRUCTURE
APPLICATION POLICY INFRASTRUCTURE
CONTROLLER
APIC
sSWITCHES NEXUS
9000ECOSSISTEMA
Cisco Confidential 24© 2013-2014 Cisco and/or its affiliates. All rights reserved.
P P P
App DBWeb
ClientesExternos
QoS
Filtro
QoS
Serviço
QoS
Filtro
Podem ser várias VMs
Misto de máquinas físicas e virtuais
Maioria recursosfísicos
AppNetwork
Profile
P = Política de Conectividade
“A Aplicação”
ACI e Aplicações de 3 Camadas
Cisco Confidential 25© 2013-2014 Cisco and/or its affiliates. All rights reserved.
ACI e Aplicações de 3 Camadas
Cisco Confidential 26© 2013-2014 Cisco and/or its affiliates. All rights reserved.
ACI e Aplicações de 3 Camadas
Cisco Confidential 27© 2013-2014 Cisco and/or its affiliates. All rights reserved.
ACI e Aplicações de 3 Camadas
Cisco Confidential 28© 2013-2014 Cisco and/or its affiliates. All rights reserved.
DB Tier
Storage Storage
Cliente
Web Tier App Tier
Modelagem da Política
Instanciação da Política
VM VMVM
10.2.4.7
VM
10.9.3.37
VM
10.32.3.7
VMVM
APIC
Cisco Confidential 29© 2013-2014 Cisco and/or its affiliates. All rights reserved.
VISIBILIDADE
T h r e a t
i n
p l a i n
s i g h t
s
h i d d e n
Cisco Confidential 30© 2013-2014 Cisco and/or its affiliates. All rights reserved.
FirePOWER + ACI
ANTESDescubraProteja
DEPOISRegistre
ContenhaRemedie
DeteteBloqueieDefenda
DURANTE
Segmentação e isolamento via EPGs
Visibilidade e controlegranular de aplicação
Inserção automática de segurança (NGIPS, NGFW)
Visibilidade & Deteção
Micro-segmentação para quarentena (AVS)
Proteção avançada de Malware
Servidor Máquina
VirtualContainers
Cisco Confidential 31© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential 32© 2013-2014 Cisco and/or its affiliates. All rights reserved.
FirePOWER 9300 - Security Services Platform
Multi-ServicesBest of Breed Cisco Security + 3rd Party ASA | NGFW | NGIPS | DDoSOther Security Apps
Performance Industry Leading PERF / RU 600% Higher PerformanceIntelligent Fastpath EnabledLow Latency Ready
Port Density30% Higher Terabit Backplane10G/40G I/O; 100G Ready
ProgrammabilityRestful/JSON API
Template Driven Security Service Profiles
Secure Containerization for custom apps
Power EfficiencyModular Architecture
Front-to-Back AirflowNEBS Ready
Universal PSU(AC/DC)Compact Form-Factor
Multi
Services
Ultra High
Performance
High
Port Density
Flexible
Programmability
Power
Efficiency
3RU
NEW
Cisco Confidential 33© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Security Modules (up to 3)• SM-36 “Extreme”: 72 x86 CPU cores (up to 80Gbps of firewalled throughput)• SM-24 “Enterprise”: 48 x86 CPU cores (up to 60Gbps of firewalled throughput• Cisco (ASA) and third-party (Radware DDoS) applications
Supervisor• Application deployment and orchestration• Network attachment and traffic distribution• Clustering base layer for ASA/FTD
Firepower 9300 Overview
Network Modules• 10GE/40GE and future 100GE• Hardware bypass for inline NGIPS
Cisco Confidential 34© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Capítulo 1: Definição de virtualização e conceitos de Data CenterCapítulo 2: Evolução do Ethernet, topologias comuns de rede e norma ANSI/TIA-942Capítulo 3: VLANs e VRFsCapítulo 4: Balanceamento de servidores e contextos virtuaisCapítulo 5: VDCsCapítulo 6: vPC e FabricPathCapítulo 7: FEXCapítulo 8: EoMPLS, VPLS e OTVCapítulo 9: Conceitos de armazenamento, SCSI e virtualizaçãoCapítulo 10: Conceitos de Fibre Channel e VSANsCapítulo 11: FCIP, IVR e NPVCapítulo 12: DCB e FCoECapítulo 13: Evolução de servidores (x86, virtualização e UCS)Capítulo 14: Service Profiles do UCSCapítulo 15: Nexus 1000V, VXLAN e VM-FEXCapítulo 16: vPath, VSG, ASA 1000V, vWAAS e CSR 1000VCapítulo 17: Conceitos de Cloud computing, automação, SDN
Referência
top related