Станислав Рыпалов

системный инженер

CCIE R&S, Security, CISSP

Безопасность и виртуализация в центрах

обработки данных (часть 2)

26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved.

Безопасность и виртуализация в

центрах обработки данных (часть 2)

Код презентации: 2387

Станислав Рыпалов

системный инженер

CCIE R&S, Security, CISSP

26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 2

Задачи

Обсудим общие проблемы безопасности для виртуализации

Поймем как применять виртуализованные и физические устройства

безопасности для защиты ресурсов

Сфокусируемся на инструментах унификации политик и их применения для

виртуальных сред

Опишем методы повышения прозрачности операций и контроля трафика в

виртуальных средах

Рассмотрим архитектуру ACI (application centric infrastructure) и интеграцию

сервисов безопасности

3

Безопасность и виртуализация в ЦОД

Тренды виртуализации, приоритеты, проблемы

Сервисы безопасности для виртуальных сетей

Физические сервисы защиты для виртуализации

Обнаружение угроз и корреляция

Application Centric Infrastructure Security

Заключение

4

Контроль трафика при помощи меток

безопасности SGT в ЦОД

26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 5

Политика: Кто, Что, Где, Когда и Как?

6

SGT обзор

Доступ к сети

Identity Profiling

Wireless LAN Controller

DHCP

RADIUS

SNMP

NetFlow

HTTP

DNS

Cisco® ISE

Unified Access Management

IEEE 802.1x EAP User Authentication

1

HQ

2:38 p.m.

Profiling to Identify Device

2

6

Full or Partial Access Granted

Personal Asset

Company Asset

3

Posture of the Device

5

Enforce Policy in the Network

Corporate

Resources

Internet Only

Доступ на базе политик

Policy Decision

4

Сегментация в ЦОД с TrustSec

7

Voice PCI Non-PCI

PCI Tag

NonPCI Tag

LOB1 Tag

LOB2 Tag Data Center

Firewall

Enterprise Core

Data Center

Enterprise

Campus/Branch

• Существующий дизайн налагает

требования к топологии

Access Layer

SGT Обзор

SGT/DGT

*

PCI NonP

CI

LOB1 LOB2

PCI Permit DENY Permit DENY

NonPCI DENY Permit DENY Permit

LOB1 Permit DENY Permit DENY

LOB2 DENY Permit DENY Permit

LOB1 LOB2 PCI

• Независимо от топологии или места

политики (SGT) «остаются» вместе с

пользователями, устройствами и

серверами

• TrustSec упрощает управление

политиками для intra/inter-VLAN трафика

• * SGT sometimes is referred to as “Source Group Tag” as well

• * DGT stands for “Destination Group Tag”

Компоненты архитектуры SGT

8

Identity Services Engine

Управление

политиками

WLAN LAN Remote Access

(roadmap)

Классификация

Catalyst 3K

Catalyst 4K

Catalyst 6K

Nexus 7000

Nexus 6000

Nexus 5500 WLC (7.4)

5760

Nexus 1000v Catalyst 2K

Распространение

N7K (SXP/Inline)

N6K (SXP Speaker/Inline)

N5K (SXP Speaker/Inline)

N1Kv (SXP Speaker/Inline(beta))

ASR1K (SXP/Inline)

ISR G2 (SXP/Inline)

ASA (SXP/Inline(beta))

Cat 2K-S (SXP)

Cat 3K (SXP)

Cat 3K-X (SXP/Inline)

Cat 4K Sup7 (SXP/Inline)

Cat 6K Sup720 (SXP)

Cat 6K Sup2T (SXP/Inline)

Применение

N7K / N6K/N5K/N1KV

(SGACL)

Cat6K/4K

(SGACL)

Cat3K-X/3850

(SGACL)

ASA (SGFW) ASR1K/ISRG2

(SGFW)

SGT Review

ASR1K/ISRG2

(SGFW) ASA (SGFW)

Функции классификации TrustSec

9

VLAN-SGT

IP-SGT

Port

Profile

Port-SGT

IPv4 Prefix

Learning

IPv6 Prefix

Learning IPv6 Prefix-

SGT

IPv4 Subnet-SGT

802.1X

MAB

Web

Auth

Profiling

SGT

SGT

SGT

Addr.Pool-SGT

VLAN-SGT

Data Center/

Virtualization

User/Device/Location

Cisco access layer

ISE

NX-OS/

Orchestration/

Hypervisors

IOS/Routing

Campus

& VPN Access

non-Cisco

& legacy env

SGT Обзор

VPN

Механизмы распространения меток SGT

10

Wired

Access

Wireless

Access

DC Firewall

Enterprise

Backbone

DC

Virtual

Access Campus Core DC Core

DC

Distribution

Physical

Server

Physical

Server

VM

Server

PCI VM

Server

DC

Physical

Access

SGT 20

SGT 30

IP Address SGT SRC

10.1.100.98 50 Local

SXP IP-SGT Binding Table

SXP

SGT = 50

ASIC ASIC

Optionally Encrypted

Inline SGT Tagging

SGT=50

ASIC

L2 Ethernet Frame

SRC: 10.1.100.98

IP Address SGT

10.1.100.98 50 SXP

Non-SGT

capable

Inline Tagging (data plane):

Поддержка SGT в ASIC

SXP (control plane):

Распространение между

устройствами без поддержки SGT в

ASIC

SGT обзор

Tag When you can!

SXP when you have

to!

Применение SGT/SGACL End to End

11

SGT обзор

Cat3750X

WLC5508

Enterprise

Backbone

N2248 Cat6500/Sup2T Nexus 7000 N5600

PCI

SRC: 10.1.10.220

CRM

N2248

End user authenticated

Classified as Employee (5)

FIB Lookup

Destination MAC/Port SGT 20

Destination Classification

CRM: SGT 20

PCI: SGT 30

SGT 20

SRC\DST CRM (20) PCI (30)

Employee (5) SGACL-A Deny

BYOD (7) Deny Deny

5 SRC:10.1.10.220

DST: 10.1.100.52

SGT: 5

DST: 10.1.100.52

SGT: 20

DST: 10.1.200.100

SGT: 30

Применение политик – масштабирование TCAM

Web_Server

(SGT=7)

Time_Stamp_Server

(SGT=10)

SG

T=

3

SG

T=

4

SG

T=

5

Enterprise

Backbone

SGACL

Enforcement

SGACL

Enforcement

Сетевое устройство «скачивает» политики

• “только” когда есть подключенное устройство

• “только” для подключенных систем

• Исходящая фильтрация и «скачивание» политик

оптимизируют использование TCAM

SGT обзор

12

Security Group Firewall (SGFW) – ASA в ЦОД

13

Примеры

Campus /Branch

Network

Data Center

SXP IP Address SGT

10.1.10.1 Marketing

(10)

SGFW

SGACL

• Соображения для дизайна

• Целостность классификации/применения между FW и коммутаторами.

• Синхронизация имен SGT между ISE и CSM/ASDM

• Дополнительные требования к логированию можно перенести на SGFW – URL

logging, etc.

• Снижение OpEx – автоматизация правил МСЭ для пользователей и серверов

Enforcement on a

firewall

Enforcement on a

switch

Security group tags assigned based

on attributes (user, location, posture,

access type, device type)

ISE for SGACL

Policies

ASDM/CSM

Policies

SGT Name Download

SGT 10 = PCI_User

SGT 100 = PCI_Svr

SXP

Data Center

Firewall

VPN доступ к ЦОД

Campus Core

Data Center

Независимо от топологии

метка остается с

пользователем

TrustSec упрощает

управление адресацией

для VPN и фильтрацией

RAS-US RAS-EMEA

Internet

Pool-A Pool-B

PCI-User Employee Supplier-B

SSL-VPN Employee Tag

PCI User Tag

Supplier-B Tag

Employee

Supplier

Apps

PCI Apps

Source Destination Action

IP Sec Group IP Sec Group Service Action

Any Employee Any Supplier HTTP Allow

Any PCI-User Any PCI Apps HTTPS Allow

Any Supplier-B Any PCI Apps TCP Deny

Any Any Any Any Any Deny

Примеры

14

Примеры

“Yellow” BU

WAN

Data Center

“Blue” BU

3rd-party supplier

“Yellow” BU

3rd-party supplier

“Blue” BU Branch Office

• ЦОД содержит общие приложения

Core Network

(Transit)

“Yellow” BU Branch Office

“Blue” BU

WAN

Shared Apps

BU Apps

Multi-Tenant ЦОД – Классификация «изнутри наружу»

DC Router: Tag “Yellow” apps with “Yellow” Tag “Shared” apps with “Purple”

“Blue” BU Classification Allow “Blue” & “Purple”

“Yellow” BU Classification Allow “Yellow” & “Purple”

• BU маршрутизаторы принимают их собственные

метки SGT и метки общих приложений SGT

15

Поддержка на платформах

16

Use Cases

Классификация Распространение Применение

Catalyst 2960-S/-C/-Plus/-X/-XR

Catalyst 3560-E/-C/-X

Catalyst 3750-E/-X

Catalyst 4500E (Sup6E/7L-E)

Catalyst 4500E (Sup8E)

Catalyst 6500E (Sup720/2T), 6880X

Catalyst 3850, 3650

WLC 5760

Wireless LAN Controller

2500/5500/WiSM2

Nexus 7000

Nexus 5500

Nexus 1000v (Port Profile)

ISR G2 Router, CGR2000

Catalyst 2960-S/-C/-Plus/-X/-XR

Catalyst 3560-E/-C/, 3750-E

Catalyst 3560-X, 3750-X

Catalyst 3650, 3850

Catalyst 4500E (Sup6E)

Catalyst 4500E (Sup 7E)***, 4500X

Catalyst 4500 (Sup8E)***

Catalyst 6500E (Sup720)

Catalyst 6500E (Sup 2T)**** / 6880X

WLC 2500, 5500, WiSM2**

WLC 5760

Nexus 1000v

Nexus 5500/22xx FEX**

Nexus 7000/22xx FEX

ISRG2, CGR2000

ASR1000

ASA5500(X) Firewall, ASASM

SXP

SXP

IE2000/3000, CGS2000

ASA5500X, ASAv (VPN RAS)

SXP SGT

SXP

SXP SGT

SXP

SXP SGT

SXP

SGT

SXP

SXP SGT

SXP SGT

SXP SGT

SXP SGT

SGT Beta

SGT Beta

GETVPN

GETVPN

• All ISRG2 Inline SGT (except C800): Today

• ISRG2/ASR1K: DMVPN, FlexVPN: Q3CY14

Catalyst 3560-X

Catalyst 3750-X

Catalyst 4500E (Sup7E)

Catalyst 4500E (Sup8E)

Catalyst 6500E (Sup2T) / 6880X

Catalyst 3850, 3650

WLC 5760

Nexus 7000

Nexus 5500/5600

Nexus 1000v

ISR G2 Router, CGR2000

ASA 5500/5500X Firewal

ASAvl

Beta

SGFW

SGFW

SGFW ASR 1000 Router

SXP

SGT

SGACL

SGACL

SGACL

SGACL

SGACL

SGACL

Nexus 6000

Q3CY14

** WLC 2500, 5500, WiSM2, Nexus 5K only supports SXP Speaker role

*** 4500E (Sup7E/8E) requires 47XX Line cards for Inline SGT

**** 6500 (Sup2T) requires 69xx Line cards for Inline SGT

SGT

Q3CY14

SXP SGT

SXP SGT

SXP Q3CY14

IPSec

IPSec

Портал UCS Director Оркестрация

17

Скрипт настройки SGT для сервера на UCS Director Оркестрация

• Требует знаний по работе с UCSD и редактированию скриптов.

• Скрипт позволит назначить

– IP адрес для VM/физического сервера

– Настроить порт на коммутаторе ЦОД

– Добавить IP-SGT mapping из данных сервисного каталога (IE: LOB1, LOB2, PCI)

18

Прозрачность, контроль операций и защита от

угроз в ЦОД

26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 19

Применение NetFlow для безопасности

Обнаружение сложных и стойких угроз. Выявление вредоносного ПО внутри защищенного периметра. Выявление угроз нулевого дня.

Выявление активности каналов управления и контроля BotNet. Вредоносное ПО с внешними центрами управления может использоваться для рассылки SPAM, организации DoS атак и другой вредоносной активности.

Обнаружение сетевого взлома. Некоторые типы атак используют различные приемы сетевого сканирования для выбора вектора атаки, что может быть использовано для выявления угроз.

Обнаружение внутреннего распространения вредоносного ПО. Распространение вредоносного ПО по сети может приводить к потери конфиденциальных и защищенных данных.

Выявление утечки данных. Вредоносное ПО может содержать код для организации передачи данных в сторону атакующего. Такие утечки могут происходить периодически в течении небольших промежутков времени.

20

NetFlow в двух словах

Internal

Network

NetFlow Data

NetFlow Collector

21

Компоненты решения Cyber Threat Defense

Cisco Network

StealthWatch FlowCollector

StealthWatch Management

Console

NetFlow

Users/Devices

Cisco ISE

NetFlow

StealthWatch FlowReplicator

Other tools/collectors

https

https

NBAR NSEL

NGA NetFlow Generating Appliance

22

Решение Cyber Threat Defense

Data Center

Прозрачность, Контекст и Контроль

Использование NetFlow до

уровня доступа

Унификация инструментов для

обнаружения, расследования и

отчетности

Наполнение данных

информацией идентификации,

событиями, контекстом

Кто

Что Где

Когда

Как

Cisco ISE

Cisco ISR G2 + NBAR

Cisco ASA + NSEL

Context

23

Решение Cisco Обнаружение атак без сигнатур

Высокий Concern Index показывает

существенное количество подозрительных

событий, что является отклонением от

установленной нормы

Host Groups Host CI CI% Alarms Alerts

Desktops 10.10.101.118 338,137,280 112,712% High Concern index Ping, Ping_Scan, TCP_Scan

Мониторинг и нормирование активности для хоста внутри группы

24

Идентификация угроз и назначение атрибутов Интеграция Cisco ISE и Lancope StealthWatch

Policy Start Active

Time

Alarm Source Source

Host

Group

Source User

Name

Target

Inside Hosts 8-Feb-2012 Suspect Data Loss 10.34.74.123 Wired

Data

Bob Multiple Hosts

25

Обнаружение распространения malware

NetFlow Capable

Devices

Management

StealthWatch FlowCollector

StealthWatch Management

Console 3. Сбор и анализ данных NetFlow 4. Добавление контекстной

информации к данным NetFlow анализа

5. Повышение Concern index и генерация события Worm propagation

Cisco ISE

Initial Infection

Secondary Infection

1Заражение происходит по внутренней сети в соответствии с планом атакующего

2. Инфраструктура создает записи активности с использованием NetFlow

Data Center

26

Обнаружение распространения malware

Devices

Management

StealthWatch FlowCollector

StealthWatch Management

Console 3. Сбор и анализ данных NetFlow 4. Добавление контекстной

информации к данным NetFlow анализа

5. Повышение Concern index и генерация события Worm propagation

Cisco ISE

Tertiary Infection

Initial Infection

Secondary Infection

2. Инфраструктура создает записи активности с использованием NetFlow

NetFlow Capable

1. Заражение происходит по внутренней сети в соответствии с планом атакующего

Data Center

27

Обнаружение распространения malware

Alarm indicating this host

touched another host

which then began

exhibiting the same

suspicious behavior

Suspicious activity

that triggered the

alarm

IP Address

28

Отслеживание распространения заражения

Tertiary Infection

Secondary Infection

Initial Infection

29

Примечание про StealthWatch и NSEL

Поле Flow Action добавляет дополнительный контекст

Данные о состоянии NSEL используются при поведенческом анализе в StealthWatch (concern Index points

суммируются для событий Flow Denied)

NAT stitching убирает избыточные записи потоков от ASA и ASR1000

Отсутствие данных о TCP флагах и счетчиков переданных и принятых байт снижает эффективность

NSEL и позволяет использовать только для обнаружения ряда угроз (ex. SYN Flood); предлагается

использовать в комбинации с дополнительными источниками NetFlow

NetFlow Secure Event Logging

30

Итого

Контекстная информация

Объединяет данные NetFlow с результатами идентификации и

данными приложений для анализа Device? User? Events?

65.32.7.45

Posture?

Vulnerability AV Patch

Используйте сетевую телеметрию Cisco для безопасности

Коммутаторы и маршрутизаторы Cisco с поддержкой

NetFlow- поставщики телеметрической информации для

безопасности.

Cisco ISE

Cisco Network

Обеспечивает выявление угроз

Унифицированный инструмент для выявления угроз, анализа и

отчетности

Cisco ISR G2 + NBAR

+ Application

?

+ +

+ NetFlow

FlowSensor FlowCollector

StealthWatch Management

Console

NetFlow Generating

Appliance

+

31

Обзор безопасности в архитектуре ACI

26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 32

Архитектура ACI – логическая настройка сети

Фабрика ACI

Неблокируемая наложенная сеть

App DB Web

Outside

(Tenant VRF)

QoS

Filter

QoS

Service

QoS

Filter

Application Policy

Infrastructure

Controller

APIC

33

ACI Fabric

Логические группы

хостов на базе роли Гетерогенные клиенты, сервера,

внешние «облака»

Один шаг до любого устройства,

микросекундная задержка, высокая

масштабируемость,

производительность и портовая

емкость

Гибкость

Контроллер ACI управляет

всеми устройствами и

политиками

Унифицированное

управление

Порты фабрики

Аппаратная фильтрация и

коммутация, бесшовная вставка

сервиса, агрегация в «сервисные

фермы»

Плоская аппаратная

сеть Абстракция от VLAN и

динамической

маршрутизации, низкая

задержка встроенный QoS

Узлы ACI Spine

Узлы ACI Leaf

XML/JSON для Northbound API

поддержка скриптов Python для

управления устройствами

Программируемость

VIRTUAL ENDPOINT

ACI Fabric

PHYSICAL ENDPOINT SERVICE NODES

34

КОНФИДЕНЦИАЛЬНОСТЬ

ЦЕЛОСТНОСТЬ

ДОСТУПНОСТЬ

Предотвращение разглашения информации

неавторизованным лицам или системам

Обеспечение целостности и аккуратности

данных при передаче

Информация должна быть доступна по

требованию

EMBEDED

MULTI-

TENANCY

ALWAYS-ON

SECURITY

POLICY-BASED

FORWARDING

PHYSICAL + VIRTUAL

VISIBILITY

APIs for AUDITING

& FORENSICS

FABRIC-WIDE

TELEMETRY & RBAC

SERVICE-

GRAPHs

DISTRIBUTED

CONTROLLERS

FEDERATION of APP

POLICIES & RULES

ACI и Информационная Безопасность

35

Политика фабрики ACI

26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 36

Модель политики для приложения и инстанцирование

Вся коммутация внутри фабрики управляется через сетевые профили приложения

• IP адреса полностью переносимы везде внутри фабрики

• Безопасность и коммутация полностью отделены от физических и виртуальных сетевых атрибутов

• Устройство само обновляет состояние сети в зависимости от настроек политики

DB Tier

Storage Storage

Application

Client

Web

Tier App Tier

Модель политики приложения:

Описывает требования приложения

(сетевой профиль приложения)

Инстанцирование политики: Каждое

устройство динамически

инстанцирует необходимые

изменения на базе политик VM VM VM

10.2.4.7

VM

10.9.3.37

VM

10.32.3.7

VM VM

APIC

Чему позволено взаимодействовать Что не должно взаимодействовать Что должно использовать сервисы приложений (Firewall, ADC) К чему должно быть применен QoS, перенаправление, …, политики

37

Модель политики ACI Formalized Description of Connectivity

HTTPS

Service

HTTPS

Service

HTTPS

Service

HTTPS

Service

HTTP

Service

HTTP

Service

HTTP

Service

HTTP

Service

EPG - Web

Группировка в EPG репрезентует приложение или компоненты

приложения независимо от других сетевых конструкций.

POLICY MODEL

38

Построение контракта

Subject это комбинация фильтра, действия

и/или метки

Контракт определяет взаимодействие между

EPG источником и назначением

Контракт – это группа субъектов (Subjects) определяющих взаимодействие между EPG.

Filter | Action | Label Subject

TCP Port 80 Filter

Permit Action

Web Access Label

Contract 1 Subject 1

Subject 2

Subject 3

39

Варианты политики: действие (action)

Поддерживается 6 вариантов:

Разрешить трафик

Заблокировать трафик

Перенаправить трафик

Логировать трафик

Скопировать трафик

Пометить (DSCP/CoS)

Permit

Deny

Redirect

Log … …

Copy Packet

Mark Packet DSCP

Политики определяют обработку трафика,

качество обслуживания, безопасность и логирование.

40

Пример взаимодействия между EPG

41

EPG

“Web”

Application Container “Web”

EPG

“Database”

Subnet Default Gateway

192.168.0.0/24 192.168.0.1

192.168.1.0/24 192.168.1.1

Application Container

"Database”

Subnet Default Gateway

10.1.1.0/24 10.1.1.1

Policy Contract “Web → Database”

Service Actions

TCP/23 Deny

TCP/22 Allow

TCP/1400 Redirect to

“Web → Database”

Any Deny Service Chain

“Web → Database”

Подключение сервиса

26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 42

Интеграция сервисов уровней 4 - 7 в ACI Централизация, Автоматизация и поддержка существующих моделей внедрения

Гибкая архитектура добавления физических и

виртуальных сервисов

Обеспечивает разделение

администрирования между политиками

приложений и конфигурацией сервиса

APIC центральная точка контроля и

координации политик

Автоматизация внедрения/удаления сервиса

через программируемый интерфейс

Поддерживает существующие операционные

модели при интеграции с существующими

сервисами

Применение сервиса гарантируется

независимо от местоположения хоста

Web

Server

App Tier

A

Web

Server

Web

Server

App Tier

B

App

Server

Chain

“Security 5”

Policy Redirection

Application

Admin

Service

Admin

Serv

ice

Gra

ph

begin end Stage 1 …..

Stage N

Pro

vid

ers

……..

Se

rvic

e P

rofile

“Security 5” Chain Defined

ASA Netscaler VPX

43

Пакет поддержки устройства (Device Package)

Описывает сервисные устройства

Содержит список сервисных функций

сервисного устройства

Обеспечивает скрипт настройки сервиса

В планах - создание открытого API для

сторонних пакетов поддержки и сообществ

по аналогии с Puppet manifests или Chef

recipes

АРХИТЕКТУРА АВТОМАТИЗАЦИИ СЕРВИСА

Configuration Model

Device Interface: REST/CLI

APIC Script Interface

Device Specific Python Scripts

Script Engine

APIC – Policy Element

APIC Appliance

Active

FW Standby FW

• Сервис физически или виртуально

подключается к фабрике.

• Когда APIC обнаруживает подключение

сервисного устройства к фабрике,

менеджер скриптов запускается набор

скриптов которые проверяют устройство

и настраивают на нем сервисы.

• Устройство регистрируется на APIC:

функции, режим подключения,

кластеризация/HA режим и группа, порты

(trusted, untrusted, inside, outside, dmz),

версия и пр.

• Это пример подключения двух МСЭ в

режиме active-standby.

Подключение устройства

DeviceSpec DeviceScript

45

Сервис перенаправления (redirect)

Приложение-ориентированный сервисный граф (service graph) упрощает операции с сервисами

Правило перенаправления выбранных пакетов пересылает пакеты на сервисный граф.

Сервисный граф может состоять из одного или нескольких сервисных устройств в цепочке.

Автоматизированная и масштабируемая вставка L4-L7 сервисов

Redirect Traffic to a services graph

Redirect [SRC, *] [DST, TCP 80] to FIREWALL_ADC_PROD

Web

Server

End Point

Group A

App

Server

End Point

Group B

Ap

plic

ation

Co

nstr

uct

Se

rvic

es

inst

inst

…

firewall

inst

inst

…

load balancer

gra

ph

….

start end stage

1 ….. stage

N

contract rule: redirect

46

Определение сервисного графа

Сервисный граф определяется на APIC. Сервисный граф – это структура, определяющая связность между EPG и одним или несколькими сервисными узлами.

Сервисный граф может быть простой цепочкой или включать в себя объединения, ответвления и пр.

Сервисами могут быть:

Firewall

IPS

TAP/Packet mirror

ADC/SLB

IPS EPG

Outside EPG Web

TAP EPG App EPG DB

ADC EPG Web

EPG

Desktop

EPG

Mobile

ADC

EPG Web2

EPG AppA

EPG Web1

FW EPG App ADC EPG DB

47

Типовая сервисная цепочка

Полная абстракция внутри сервисной цепочки

Каждое устройство выполняет только собственные функции и обменивается пакетами с фабрикой в соответствии с инструкциями

Различные пути возможны на основании решения (например в зависимости от решения политики МСЭ) или пункта назначения

Высокая степень модульности с слабой зависимостью, заменимость устройств

ACI обеспечивает симметричность потоков через устройства в сервисной цепочке

SSL Firewall

Policy rules, NAT, Inspection IPS

Analyzer

EPG

“Users”

EPG

“Web”

EPG

“DB”

48

Состояние сервиса и приложения Сервисное устройство может показывать уровень

«здоровья»

Физическое устройство: Уровень «здоровья»

устройства по шкале от 0(сбой) – 255 (рабочее).

Использование уровня и изменения на его

основании производятся скриптом устройства, APIC

только отображает данные пользователю.

Виртуальное устройство: Уровень «здоровья»

по шкале 0-255. Аналогично физическому устр-ву.

Емкость сервиса: Емкость устройства обычно

определяется лицензиями и APIC должен получить

эти данные для корректного распределения

нагрузки.

Доступность сервиса: Память, CPU, «здоровье»

кластера, время отклика – зависит от доступности

данных параметров на устройстве.

Application 1

Leaf 1 & 2

Spine 1 – 3

SLB Cluster 1

Atomic Counters

Application 2

Leaf 2 & 3

Spine 1 – 2

FW Cluster 1

Atomic Counters

Application 3

Leaf 3 & 4

Spine 2 – 3

SLB Cluster 2

Atomic Counters

No New Hosts or VM’s

Evacuate Hypervisors

Re-Balance Clusters

Application 1

Event Actions

Фабрика обеспечивает аналитические функции нового поколения

На прилоежение, тенанта и инфраструктуру:

• Health Scores

• Atomic Counters

• Latency

• Resources Consumption

Состояние:

• Device

• Virtual Device

• Mem, CPU utilization

• Service Capacity

49

Заключение

26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 50

Заключение

• Виртуальные сетевые сервисы

• Расширение политик

• Повышение прозрачности операций

• Разделение операций сеть/сервер/безопасность

• Применение P-to-V сервисов фабрики для создания унифицированных

политик

• Учет внешних и внутренних угроз

• ACI

• Автоматическое создание сервисов и политик безопасности вместе с

описанием потока данных для приложения

51

ЗАЩИТА, ОБНАРУЖЕНИЕ и КОНТРОЛЬ

ВОПРОСЫ ?

26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 52

CiscoRu Cisco CiscoRussia

#CiscoConnectRu

Пожалуйста, используйте код для

оценки доклада

2387 Ваше мнение очень важно для нас

Спасибо за внимание!

26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved.