Date post: | 11-Aug-2015 |
Category: |
Technology |
Upload: | cisco-russia |
View: | 94 times |
Download: | 2 times |
Станислав Рыпалов
системный инженер
CCIE R&S, Security, CISSP
Безопасность и виртуализация в центрах
обработки данных (часть 2)
26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved.
Безопасность и виртуализация в
центрах обработки данных (часть 2)
Код презентации: 2387
Станислав Рыпалов
системный инженер
CCIE R&S, Security, CISSP
26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 2
Задачи
Обсудим общие проблемы безопасности для виртуализации
Поймем как применять виртуализованные и физические устройства
безопасности для защиты ресурсов
Сфокусируемся на инструментах унификации политик и их применения для
виртуальных сред
Опишем методы повышения прозрачности операций и контроля трафика в
виртуальных средах
Рассмотрим архитектуру ACI (application centric infrastructure) и интеграцию
сервисов безопасности
3
Безопасность и виртуализация в ЦОД
Тренды виртуализации, приоритеты, проблемы
Сервисы безопасности для виртуальных сетей
Физические сервисы защиты для виртуализации
Обнаружение угроз и корреляция
Application Centric Infrastructure Security
Заключение
4
Контроль трафика при помощи меток
безопасности SGT в ЦОД
26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 5
Политика: Кто, Что, Где, Когда и Как?
6
SGT обзор
Доступ к сети
Identity Profiling
Wireless LAN Controller
DHCP
RADIUS
SNMP
NetFlow
HTTP
DNS
Cisco® ISE
Unified Access Management
IEEE 802.1x EAP User Authentication
1
HQ
2:38 p.m.
Profiling to Identify Device
2
6
Full or Partial Access Granted
Personal Asset
Company Asset
3
Posture of the Device
5
Enforce Policy in the Network
Corporate
Resources
Internet Only
Доступ на базе политик
Policy Decision
4
Сегментация в ЦОД с TrustSec
7
Voice PCI Non-PCI
PCI Tag
NonPCI Tag
LOB1 Tag
LOB2 Tag Data Center
Firewall
Enterprise Core
Data Center
Enterprise
Campus/Branch
• Существующий дизайн налагает
требования к топологии
Access Layer
SGT Обзор
SGT/DGT
*
PCI NonP
CI
LOB1 LOB2
PCI Permit DENY Permit DENY
NonPCI DENY Permit DENY Permit
LOB1 Permit DENY Permit DENY
LOB2 DENY Permit DENY Permit
LOB1 LOB2 PCI
• Независимо от топологии или места
политики (SGT) «остаются» вместе с
пользователями, устройствами и
серверами
• TrustSec упрощает управление
политиками для intra/inter-VLAN трафика
• * SGT sometimes is referred to as “Source Group Tag” as well
• * DGT stands for “Destination Group Tag”
Компоненты архитектуры SGT
8
Identity Services Engine
Управление
политиками
WLAN LAN Remote Access
(roadmap)
Классификация
Catalyst 3K
Catalyst 4K
Catalyst 6K
Nexus 7000
Nexus 6000
Nexus 5500 WLC (7.4)
5760
Nexus 1000v Catalyst 2K
Распространение
N7K (SXP/Inline)
N6K (SXP Speaker/Inline)
N5K (SXP Speaker/Inline)
N1Kv (SXP Speaker/Inline(beta))
ASR1K (SXP/Inline)
ISR G2 (SXP/Inline)
ASA (SXP/Inline(beta))
Cat 2K-S (SXP)
Cat 3K (SXP)
Cat 3K-X (SXP/Inline)
Cat 4K Sup7 (SXP/Inline)
Cat 6K Sup720 (SXP)
Cat 6K Sup2T (SXP/Inline)
Применение
N7K / N6K/N5K/N1KV
(SGACL)
Cat6K/4K
(SGACL)
Cat3K-X/3850
(SGACL)
ASA (SGFW) ASR1K/ISRG2
(SGFW)
SGT Review
ASR1K/ISRG2
(SGFW) ASA (SGFW)
Функции классификации TrustSec
9
VLAN-SGT
IP-SGT
Port
Profile
Port-SGT
IPv4 Prefix
Learning
IPv6 Prefix
Learning IPv6 Prefix-
SGT
IPv4 Subnet-SGT
802.1X
MAB
Web
Auth
Profiling
SGT
SGT
SGT
Addr.Pool-SGT
VLAN-SGT
Data Center/
Virtualization
User/Device/Location
Cisco access layer
ISE
NX-OS/
Orchestration/
Hypervisors
IOS/Routing
Campus
& VPN Access
non-Cisco
& legacy env
SGT Обзор
VPN
Механизмы распространения меток SGT
10
Wired
Access
Wireless
Access
DC Firewall
Enterprise
Backbone
DC
Virtual
Access Campus Core DC Core
DC
Distribution
Physical
Server
Physical
Server
VM
Server
PCI VM
Server
DC
Physical
Access
SGT 20
SGT 30
IP Address SGT SRC
10.1.100.98 50 Local
SXP IP-SGT Binding Table
SXP
SGT = 50
ASIC ASIC
Optionally Encrypted
Inline SGT Tagging
SGT=50
ASIC
L2 Ethernet Frame
SRC: 10.1.100.98
IP Address SGT
10.1.100.98 50 SXP
Non-SGT
capable
Inline Tagging (data plane):
Поддержка SGT в ASIC
SXP (control plane):
Распространение между
устройствами без поддержки SGT в
ASIC
SGT обзор
Tag When you can!
SXP when you have
to!
Применение SGT/SGACL End to End
11
SGT обзор
Cat3750X
WLC5508
Enterprise
Backbone
N2248 Cat6500/Sup2T Nexus 7000 N5600
PCI
SRC: 10.1.10.220
CRM
N2248
End user authenticated
Classified as Employee (5)
FIB Lookup
Destination MAC/Port SGT 20
Destination Classification
CRM: SGT 20
PCI: SGT 30
SGT 20
SRC\DST CRM (20) PCI (30)
Employee (5) SGACL-A Deny
BYOD (7) Deny Deny
5 SRC:10.1.10.220
DST: 10.1.100.52
SGT: 5
DST: 10.1.100.52
SGT: 20
DST: 10.1.200.100
SGT: 30
Применение политик – масштабирование TCAM
Web_Server
(SGT=7)
Time_Stamp_Server
(SGT=10)
SG
T=
3
SG
T=
4
SG
T=
5
Enterprise
Backbone
SGACL
Enforcement
SGACL
Enforcement
Сетевое устройство «скачивает» политики
• “только” когда есть подключенное устройство
• “только” для подключенных систем
• Исходящая фильтрация и «скачивание» политик
оптимизируют использование TCAM
SGT обзор
12
Security Group Firewall (SGFW) – ASA в ЦОД
13
Примеры
Campus /Branch
Network
Data Center
SXP IP Address SGT
10.1.10.1 Marketing
(10)
SGFW
SGACL
• Соображения для дизайна
• Целостность классификации/применения между FW и коммутаторами.
• Синхронизация имен SGT между ISE и CSM/ASDM
• Дополнительные требования к логированию можно перенести на SGFW – URL
logging, etc.
• Снижение OpEx – автоматизация правил МСЭ для пользователей и серверов
Enforcement on a
firewall
Enforcement on a
switch
Security group tags assigned based
on attributes (user, location, posture,
access type, device type)
ISE for SGACL
Policies
ASDM/CSM
Policies
SGT Name Download
SGT 10 = PCI_User
SGT 100 = PCI_Svr
SXP
Data Center
Firewall
VPN доступ к ЦОД
Campus Core
Data Center
Независимо от топологии
метка остается с
пользователем
TrustSec упрощает
управление адресацией
для VPN и фильтрацией
RAS-US RAS-EMEA
Internet
Pool-A Pool-B
PCI-User Employee Supplier-B
SSL-VPN Employee Tag
PCI User Tag
Supplier-B Tag
Employee
Supplier
Apps
PCI Apps
Source Destination Action
IP Sec Group IP Sec Group Service Action
Any Employee Any Supplier HTTP Allow
Any PCI-User Any PCI Apps HTTPS Allow
Any Supplier-B Any PCI Apps TCP Deny
Any Any Any Any Any Deny
Примеры
14
Примеры
“Yellow” BU
WAN
Data Center
“Blue” BU
3rd-party supplier
“Yellow” BU
3rd-party supplier
“Blue” BU Branch Office
• ЦОД содержит общие приложения
Core Network
(Transit)
“Yellow” BU Branch Office
“Blue” BU
WAN
Shared Apps
BU Apps
Multi-Tenant ЦОД – Классификация «изнутри наружу»
DC Router: Tag “Yellow” apps with “Yellow” Tag “Shared” apps with “Purple”
“Blue” BU Classification Allow “Blue” & “Purple”
“Yellow” BU Classification Allow “Yellow” & “Purple”
• BU маршрутизаторы принимают их собственные
метки SGT и метки общих приложений SGT
15
Поддержка на платформах
16
Use Cases
Классификация Распространение Применение
Catalyst 2960-S/-C/-Plus/-X/-XR
Catalyst 3560-E/-C/-X
Catalyst 3750-E/-X
Catalyst 4500E (Sup6E/7L-E)
Catalyst 4500E (Sup8E)
Catalyst 6500E (Sup720/2T), 6880X
Catalyst 3850, 3650
WLC 5760
Wireless LAN Controller
2500/5500/WiSM2
Nexus 7000
Nexus 5500
Nexus 1000v (Port Profile)
ISR G2 Router, CGR2000
Catalyst 2960-S/-C/-Plus/-X/-XR
Catalyst 3560-E/-C/, 3750-E
Catalyst 3560-X, 3750-X
Catalyst 3650, 3850
Catalyst 4500E (Sup6E)
Catalyst 4500E (Sup 7E)***, 4500X
Catalyst 4500 (Sup8E)***
Catalyst 6500E (Sup720)
Catalyst 6500E (Sup 2T)**** / 6880X
WLC 2500, 5500, WiSM2**
WLC 5760
Nexus 1000v
Nexus 5500/22xx FEX**
Nexus 7000/22xx FEX
ISRG2, CGR2000
ASR1000
ASA5500(X) Firewall, ASASM
SXP
SXP
IE2000/3000, CGS2000
ASA5500X, ASAv (VPN RAS)
SXP SGT
SXP
SXP SGT
SXP
SXP SGT
SXP
SGT
SXP
SXP SGT
SXP SGT
SXP SGT
SXP SGT
SGT Beta
SGT Beta
GETVPN
GETVPN
• All ISRG2 Inline SGT (except C800): Today
• ISRG2/ASR1K: DMVPN, FlexVPN: Q3CY14
Catalyst 3560-X
Catalyst 3750-X
Catalyst 4500E (Sup7E)
Catalyst 4500E (Sup8E)
Catalyst 6500E (Sup2T) / 6880X
Catalyst 3850, 3650
WLC 5760
Nexus 7000
Nexus 5500/5600
Nexus 1000v
ISR G2 Router, CGR2000
ASA 5500/5500X Firewal
ASAvl
Beta
SGFW
SGFW
SGFW ASR 1000 Router
SXP
SGT
SGACL
SGACL
SGACL
SGACL
SGACL
SGACL
Nexus 6000
Q3CY14
** WLC 2500, 5500, WiSM2, Nexus 5K only supports SXP Speaker role
*** 4500E (Sup7E/8E) requires 47XX Line cards for Inline SGT
**** 6500 (Sup2T) requires 69xx Line cards for Inline SGT
SGT
Q3CY14
SXP SGT
SXP SGT
SXP Q3CY14
IPSec
IPSec
Скрипт настройки SGT для сервера на UCS Director Оркестрация
• Требует знаний по работе с UCSD и редактированию скриптов.
• Скрипт позволит назначить
– IP адрес для VM/физического сервера
– Настроить порт на коммутаторе ЦОД
– Добавить IP-SGT mapping из данных сервисного каталога (IE: LOB1, LOB2, PCI)
18
Прозрачность, контроль операций и защита от
угроз в ЦОД
26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 19
Применение NetFlow для безопасности
Обнаружение сложных и стойких угроз. Выявление вредоносного ПО внутри защищенного периметра. Выявление угроз нулевого дня.
Выявление активности каналов управления и контроля BotNet. Вредоносное ПО с внешними центрами управления может использоваться для рассылки SPAM, организации DoS атак и другой вредоносной активности.
Обнаружение сетевого взлома. Некоторые типы атак используют различные приемы сетевого сканирования для выбора вектора атаки, что может быть использовано для выявления угроз.
Обнаружение внутреннего распространения вредоносного ПО. Распространение вредоносного ПО по сети может приводить к потери конфиденциальных и защищенных данных.
Выявление утечки данных. Вредоносное ПО может содержать код для организации передачи данных в сторону атакующего. Такие утечки могут происходить периодически в течении небольших промежутков времени.
20
Компоненты решения Cyber Threat Defense
Cisco Network
StealthWatch FlowCollector
StealthWatch Management
Console
NetFlow
Users/Devices
Cisco ISE
NetFlow
StealthWatch FlowReplicator
Other tools/collectors
https
https
NBAR NSEL
NGA NetFlow Generating Appliance
22
Решение Cyber Threat Defense
Data Center
Прозрачность, Контекст и Контроль
Использование NetFlow до
уровня доступа
Унификация инструментов для
обнаружения, расследования и
отчетности
Наполнение данных
информацией идентификации,
событиями, контекстом
Кто
Что Где
Когда
Как
Cisco ISE
Cisco ISR G2 + NBAR
Cisco ASA + NSEL
Context
23
Решение Cisco Обнаружение атак без сигнатур
Высокий Concern Index показывает
существенное количество подозрительных
событий, что является отклонением от
установленной нормы
Host Groups Host CI CI% Alarms Alerts
Desktops 10.10.101.118 338,137,280 112,712% High Concern index Ping, Ping_Scan, TCP_Scan
Мониторинг и нормирование активности для хоста внутри группы
24
Идентификация угроз и назначение атрибутов Интеграция Cisco ISE и Lancope StealthWatch
Policy Start Active
Time
Alarm Source Source
Host
Group
Source User
Name
Target
Inside Hosts 8-Feb-2012 Suspect Data Loss 10.34.74.123 Wired
Data
Bob Multiple Hosts
25
Обнаружение распространения malware
NetFlow Capable
Devices
Management
StealthWatch FlowCollector
StealthWatch Management
Console 3. Сбор и анализ данных NetFlow 4. Добавление контекстной
информации к данным NetFlow анализа
5. Повышение Concern index и генерация события Worm propagation
Cisco ISE
Initial Infection
Secondary Infection
1Заражение происходит по внутренней сети в соответствии с планом атакующего
2. Инфраструктура создает записи активности с использованием NetFlow
Data Center
26
Обнаружение распространения malware
Devices
Management
StealthWatch FlowCollector
StealthWatch Management
Console 3. Сбор и анализ данных NetFlow 4. Добавление контекстной
информации к данным NetFlow анализа
5. Повышение Concern index и генерация события Worm propagation
Cisco ISE
Tertiary Infection
Initial Infection
Secondary Infection
2. Инфраструктура создает записи активности с использованием NetFlow
NetFlow Capable
1. Заражение происходит по внутренней сети в соответствии с планом атакующего
Data Center
27
Обнаружение распространения malware
Alarm indicating this host
touched another host
which then began
exhibiting the same
suspicious behavior
Suspicious activity
that triggered the
alarm
IP Address
28
Примечание про StealthWatch и NSEL
Поле Flow Action добавляет дополнительный контекст
Данные о состоянии NSEL используются при поведенческом анализе в StealthWatch (concern Index points
суммируются для событий Flow Denied)
NAT stitching убирает избыточные записи потоков от ASA и ASR1000
Отсутствие данных о TCP флагах и счетчиков переданных и принятых байт снижает эффективность
NSEL и позволяет использовать только для обнаружения ряда угроз (ex. SYN Flood); предлагается
использовать в комбинации с дополнительными источниками NetFlow
NetFlow Secure Event Logging
30
Итого
Контекстная информация
Объединяет данные NetFlow с результатами идентификации и
данными приложений для анализа Device? User? Events?
65.32.7.45
Posture?
Vulnerability AV Patch
Используйте сетевую телеметрию Cisco для безопасности
Коммутаторы и маршрутизаторы Cisco с поддержкой
NetFlow- поставщики телеметрической информации для
безопасности.
Cisco ISE
Cisco Network
Обеспечивает выявление угроз
Унифицированный инструмент для выявления угроз, анализа и
отчетности
Cisco ISR G2 + NBAR
+ Application
?
+ +
+ NetFlow
FlowSensor FlowCollector
StealthWatch Management
Console
NetFlow Generating
Appliance
+
31
Обзор безопасности в архитектуре ACI
26.11.2014 © 2014 Cisco and/or its affiliates. All rights reserved. 32
Архитектура ACI – логическая настройка сети
Фабрика ACI
Неблокируемая наложенная сеть
App DB Web
Outside
(Tenant VRF)
QoS
Filter
QoS
Service
QoS
Filter
Application Policy
Infrastructure
Controller
APIC
33
ACI Fabric
Логические группы
хостов на базе роли Гетерогенные клиенты, сервера,
внешние «облака»
Один шаг до любого устройства,
микросекундная задержка, высокая
масштабируемость,
производительность и портовая
емкость
Гибкость
Контроллер ACI управляет
всеми устройствами и
политиками
Унифицированное
управление
Порты фабрики
Аппаратная фильтрация и
коммутация, бесшовная вставка
сервиса, агрегация в «сервисные
фермы»
Плоская аппаратная
сеть Абстракция от VLAN и
динамической
маршрутизации, низкая
задержка встроенный QoS
Узлы ACI Spine
Узлы ACI Leaf
XML/JSON для Northbound API
поддержка скриптов Python для
управления устройствами
Программируемость
VIRTUAL ENDPOINT
ACI Fabric
PHYSICAL ENDPOINT SERVICE NODES
34
КОНФИДЕНЦИАЛЬНОСТЬ
ЦЕЛОСТНОСТЬ
ДОСТУПНОСТЬ
Предотвращение разглашения информации
неавторизованным лицам или системам
Обеспечение целостности и аккуратности
данных при передаче
Информация должна быть доступна по
требованию
EMBEDED
MULTI-
TENANCY
ALWAYS-ON
SECURITY
POLICY-BASED
FORWARDING
PHYSICAL + VIRTUAL
VISIBILITY
APIs for AUDITING
& FORENSICS
FABRIC-WIDE
TELEMETRY & RBAC
SERVICE-
GRAPHs
DISTRIBUTED
CONTROLLERS
FEDERATION of APP
POLICIES & RULES
ACI и Информационная Безопасность
35
Модель политики для приложения и инстанцирование
Вся коммутация внутри фабрики управляется через сетевые профили приложения
• IP адреса полностью переносимы везде внутри фабрики
• Безопасность и коммутация полностью отделены от физических и виртуальных сетевых атрибутов
• Устройство само обновляет состояние сети в зависимости от настроек политики
DB Tier
Storage Storage
Application
Client
Web
Tier App Tier
Модель политики приложения:
Описывает требования приложения
(сетевой профиль приложения)
Инстанцирование политики: Каждое
устройство динамически
инстанцирует необходимые
изменения на базе политик VM VM VM
10.2.4.7
VM
10.9.3.37
VM
10.32.3.7
VM VM
APIC
Чему позволено взаимодействовать Что не должно взаимодействовать Что должно использовать сервисы приложений (Firewall, ADC) К чему должно быть применен QoS, перенаправление, …, политики
37
Модель политики ACI Formalized Description of Connectivity
HTTPS
Service
HTTPS
Service
HTTPS
Service
HTTPS
Service
HTTP
Service
HTTP
Service
HTTP
Service
HTTP
Service
EPG - Web
Группировка в EPG репрезентует приложение или компоненты
приложения независимо от других сетевых конструкций.
POLICY MODEL
38
Построение контракта
Subject это комбинация фильтра, действия
и/или метки
Контракт определяет взаимодействие между
EPG источником и назначением
Контракт – это группа субъектов (Subjects) определяющих взаимодействие между EPG.
Filter | Action | Label Subject
TCP Port 80 Filter
Permit Action
Web Access Label
Contract 1 Subject 1
Subject 2
Subject 3
39
Варианты политики: действие (action)
Поддерживается 6 вариантов:
Разрешить трафик
Заблокировать трафик
Перенаправить трафик
Логировать трафик
Скопировать трафик
Пометить (DSCP/CoS)
Permit
Deny
Redirect
Log … …
Copy Packet
Mark Packet DSCP
Политики определяют обработку трафика,
качество обслуживания, безопасность и логирование.
40
Пример взаимодействия между EPG
41
EPG
“Web”
Application Container “Web”
EPG
“Database”
Subnet Default Gateway
192.168.0.0/24 192.168.0.1
192.168.1.0/24 192.168.1.1
Application Container
"Database”
Subnet Default Gateway
10.1.1.0/24 10.1.1.1
Policy Contract “Web → Database”
Service Actions
TCP/23 Deny
TCP/22 Allow
TCP/1400 Redirect to
“Web → Database”
Any Deny Service Chain
“Web → Database”
Интеграция сервисов уровней 4 - 7 в ACI Централизация, Автоматизация и поддержка существующих моделей внедрения
Гибкая архитектура добавления физических и
виртуальных сервисов
Обеспечивает разделение
администрирования между политиками
приложений и конфигурацией сервиса
APIC центральная точка контроля и
координации политик
Автоматизация внедрения/удаления сервиса
через программируемый интерфейс
Поддерживает существующие операционные
модели при интеграции с существующими
сервисами
Применение сервиса гарантируется
независимо от местоположения хоста
Web
Server
App Tier
A
Web
Server
Web
Server
App Tier
B
App
Server
Chain
“Security 5”
Policy Redirection
Application
Admin
Service
Admin
Serv
ice
Gra
ph
begin end Stage 1 …..
Stage N
Pro
vid
ers
……..
Se
rvic
e P
rofile
“Security 5” Chain Defined
ASA Netscaler VPX
43
Пакет поддержки устройства (Device Package)
Описывает сервисные устройства
Содержит список сервисных функций
сервисного устройства
Обеспечивает скрипт настройки сервиса
В планах - создание открытого API для
сторонних пакетов поддержки и сообществ
по аналогии с Puppet manifests или Chef
recipes
АРХИТЕКТУРА АВТОМАТИЗАЦИИ СЕРВИСА
Configuration Model
Device Interface: REST/CLI
APIC Script Interface
Device Specific Python Scripts
Script Engine
APIC – Policy Element
APIC Appliance
Active
FW Standby FW
• Сервис физически или виртуально
подключается к фабрике.
• Когда APIC обнаруживает подключение
сервисного устройства к фабрике,
менеджер скриптов запускается набор
скриптов которые проверяют устройство
и настраивают на нем сервисы.
• Устройство регистрируется на APIC:
функции, режим подключения,
кластеризация/HA режим и группа, порты
(trusted, untrusted, inside, outside, dmz),
версия и пр.
• Это пример подключения двух МСЭ в
режиме active-standby.
Подключение устройства
DeviceSpec DeviceScript
45
Сервис перенаправления (redirect)
Приложение-ориентированный сервисный граф (service graph) упрощает операции с сервисами
Правило перенаправления выбранных пакетов пересылает пакеты на сервисный граф.
Сервисный граф может состоять из одного или нескольких сервисных устройств в цепочке.
Автоматизированная и масштабируемая вставка L4-L7 сервисов
Redirect Traffic to a services graph
Redirect [SRC, *] [DST, TCP 80] to FIREWALL_ADC_PROD
Web
Server
End Point
Group A
App
Server
End Point
Group B
Ap
plic
ation
Co
nstr
uct
Se
rvic
es
inst
inst
…
firewall
inst
inst
…
load balancer
gra
ph
….
start end stage
1 ….. stage
N
contract rule: redirect
46
Определение сервисного графа
Сервисный граф определяется на APIC. Сервисный граф – это структура, определяющая связность между EPG и одним или несколькими сервисными узлами.
Сервисный граф может быть простой цепочкой или включать в себя объединения, ответвления и пр.
Сервисами могут быть:
Firewall
IPS
TAP/Packet mirror
ADC/SLB
IPS EPG
Outside EPG Web
TAP EPG App EPG DB
ADC EPG Web
EPG
Desktop
EPG
Mobile
ADC
EPG Web2
EPG AppA
EPG Web1
FW EPG App ADC EPG DB
47
Типовая сервисная цепочка
Полная абстракция внутри сервисной цепочки
Каждое устройство выполняет только собственные функции и обменивается пакетами с фабрикой в соответствии с инструкциями
Различные пути возможны на основании решения (например в зависимости от решения политики МСЭ) или пункта назначения
Высокая степень модульности с слабой зависимостью, заменимость устройств
ACI обеспечивает симметричность потоков через устройства в сервисной цепочке
SSL Firewall
Policy rules, NAT, Inspection IPS
Analyzer
EPG
“Users”
EPG
“Web”
EPG
“DB”
48
Состояние сервиса и приложения Сервисное устройство может показывать уровень
«здоровья»
Физическое устройство: Уровень «здоровья»
устройства по шкале от 0(сбой) – 255 (рабочее).
Использование уровня и изменения на его
основании производятся скриптом устройства, APIC
только отображает данные пользователю.
Виртуальное устройство: Уровень «здоровья»
по шкале 0-255. Аналогично физическому устр-ву.
Емкость сервиса: Емкость устройства обычно
определяется лицензиями и APIC должен получить
эти данные для корректного распределения
нагрузки.
Доступность сервиса: Память, CPU, «здоровье»
кластера, время отклика – зависит от доступности
данных параметров на устройстве.
Application 1
Leaf 1 & 2
Spine 1 – 3
SLB Cluster 1
Atomic Counters
Application 2
Leaf 2 & 3
Spine 1 – 2
FW Cluster 1
Atomic Counters
Application 3
Leaf 3 & 4
Spine 2 – 3
SLB Cluster 2
Atomic Counters
No New Hosts or VM’s
Evacuate Hypervisors
Re-Balance Clusters
Application 1
Event Actions
Фабрика обеспечивает аналитические функции нового поколения
На прилоежение, тенанта и инфраструктуру:
• Health Scores
• Atomic Counters
• Latency
• Resources Consumption
Состояние:
• Device
• Virtual Device
• Mem, CPU utilization
• Service Capacity
49
Заключение
• Виртуальные сетевые сервисы
• Расширение политик
• Повышение прозрачности операций
• Разделение операций сеть/сервер/безопасность
• Применение P-to-V сервисов фабрики для создания унифицированных
политик
• Учет внешних и внутренних угроз
• ACI
• Автоматическое создание сервисов и политик безопасности вместе с
описанием потока данных для приложения
51
ЗАЩИТА, ОБНАРУЖЕНИЕ и КОНТРОЛЬ