Cisco Connect Москва, 2017

Цифровизация: здесь и сейчас

Сквозное управление доступом - от пользователя и дальше

Михаил Кадер

Инженер

© 2017 Cisco and/or its affiliates. All rights reserved.

Обзор

Головная боль ИТ

Потеря контроля и контекста

Сложность и фрагментированность

Изменение ландшафта угроз

Скорость развития технологий

Новые требования бизнеса – очередные вопросы управления и безопасности

4

И новые проблемы

Ошибки ручного администрирования

Рост унифицированного персонала

Рост операционных затрат

Фрагментарная защита

Нехватка времени

Проблемы сетевой инфраструктуры и безопасности

Изменения бизнеса и технологий

Новые возможности, но …

Приобретения и партнерство

Облака

Интернет вещей

Цифровизация

BYOD

Глобализация

Мобильность

Скорость изменений Нормативные требования Снижение стоимости

Сегментация нужна, сегментация важна!

5

“Eataly’s network segmentation prevented a POS compromise at one store from compromising systems at the chain’s 26 other locations across the globe”

“Network segmentation… is one of the most effective controls an agency can implement to mitigate the second stage of a network intrusion, propagation or lateral movement” “Effective network

segmentation… reduces the extent to which an adversary can move across the network”

TrustSec – упростим управление защитой!

Масштабируемая и гибкая технологий сегментации, охватывающая более 40 серий продуктов компании Cisco и обеспечивающая динамическое ролевое управление доступом во всей сети

6

Deny Employee to Financial Server Permit Developer to Developer Server Permit Guest to Web Permit Developer to Developer Server

Сквозные политики

Key

Employee Tag

Developer Tag

Voice Tag

Non-Compliant Tag

SGACLs Сотрудник Серверы

разработчиков

Простота управления доступом

Ускоренное администрирование

Простота управления доступом Удобное управление политиками и обеспечение соответствия за счет

предоставления доступа в зависимости от должностных обязанностей

Ускоренное администрирование Более быстрое добавление и перемещение пользователей, упрощение настроек МСЭ при

добавлении серверных ресурсов

Интернет Серверы

бухгалтерии

Сквозные политики Централизованное управление сетевой сегментацией, вне зависимости от типа

подключения

Корпоративная сеть

Гости Сотрудники Разработ-

чики Не соответ- ствующие

8

Employee Info Tag

Developer Server Tag

Financial Server Tag

HTTP Tag

Назад к основам

TrustSec как основа программно-управляемой сегментации

8

Узел

Управление метками

Управление политиками

Security Group Tags

Исполнение

Исполнение Защита от угроз

Распространение

В канале передачи

Классификация

Статическая

Идентификация Динамическая

Сеть с поддержкой SGT

Централизованное управление

Программная сегментация

Открытость

Heterogeneous environment

Внеполосное (SXP or pxGrid)

Switch

Router

Firewall

Классификация

Управление групповыми метками безопасности Группы безопасности для определения ролей и политик

10

Printer 1 Printer 2

SGT_Guest SGT_Building Management

SGT_Employee

Guest 1

Guest 2

Guest 3 Guest 4

Employee 1 Employee 2 Employee 3

Employee 4

SGT_FinanceServer SGT_Printers

Fin 1 Fin 2

Temperature Device 1

Temperature Device 2

Surveillance Device 1

Surveillance Device 2

50°

50°

• Объединение в группы на основании требований бизнеса для обеспечения целостной политики доступа вне зависимости от сетевого подключения

• Использование таких атрибутов, как местоположение и тип устройства для назначения в группу

Гибкие методы классификации

11

Динамические механизмы

Статические механизмы

VPN

V. Port Profile

IP Address VLANs Subnets

L3 Interface

Port

ACI (App-Centric)

Пользователи и мобильные устройства

Пользователи

Внутренняя инфраструктура ИТ

Внутренние ресурсы

Внешние партнеры и т.п.

Партнеры и т.п. Ста

тиче

ски

е Д

ин

ами

ческ

ие

SGT #1

SGT #2

SGT #3

SGT #4

Виртуалки

Passive ID (Easy

Connect)

MAB, Profiling

802.1X. WebAuth

pxGrid & REST APIs

Распространение

TSECSEC-2222

Как передать SGT?

13

В канале передачи

• Ethernet

• MACsec on Ethernet

• IPSec

• DMVPN

• GETVPN

• VXLAN

Platform Exchange Grid (pxGrid)

• Web Security Appliance (WSA)

• Firepower Threat Defense

• Партнерские продукты

SGT eXchange Protocol (SXP)

• Network Devices

• ISE

• IETF

• Open Daylight

В канале передачи

14

Branches

Inline tagging

Untagged

ISE

• Быстро и масштабируемо при наличии аппаратной поддержки

• SGT передаются в канале данных на полной скорости канала

• Пошаговая передача

(2 = network devices sgt value)

interface TenGigabitEthernet1/5/13 cts manual

policy static sgt 2 trusted

Внеполосная передача SGT

15

Через любую сеть IP

Firepower NGFW

SXP

pxGrid

SXP IP-SGT Bindings IP Address SGT SRC

10.1.100.98 50 Local

ISE

Ecosystem vendor

products

• Подписка на события TrustSec используя pxGrid

• Информация о «связках» IP-SGT передается через pxGrid

pxGrid

• Не зависит от «железа»

• Распространение от ISE или устройства доступа до любой точки контроля

SXP

www

WSA Router 2

Router 1

Switch 1 ANY network device ISE supports

Generate IP-SGT mappings from ISE

Send IP-SGT mappings to SXP & pxGrid peers

Использование

Применение политик

17

Application Servers

Database Servers

FIB Lookup Destination MAC/Port

SGT 30 Destination Classification App_Svr: SGT 20 DB_Svr: SGT 30

End user authenticated Employee: SGT 5

Destination Source

App_Servers (20)

DB_Servers (30)

Employees (5)

BYOD (10)

Unknown (0)

10.1.100.100 SGT: 20

10.1.101.100 SGT: 30

SRC: 10.1.10.100 DST: 10.1.100.100 SGT: 5

5

SGFW SGACL

ISE Egress Policy Matrix (SGACL)

18

permit tcp dst eq 6970 log permit tcp dst eq 6972 log permit tcp dst eq 3804 log permit tcp dst eq 8443 log permit tcp dst eq 8191 log permit tcp dst eq 5222 log permit tcp dst eq 37200 log permit tcp dst eq 443 log permit tcp dst eq 2748 log permit tcp dst eq 5060 log permit tcp dst eq 5061 log permit tcp dst range 30000 39999 log permit udp dst range 5070 6070 log deny ip log

ISE 2.1 – промежуточные матрицы

19

• Контролируемое внедрение изменений

• Этапность • Возможность возврата • Утверждение внесения

изменений

Множественные матрицы политик (ISE 2.2)

Policy Applied to ALL Devices

SGACL для масштабируемой сегментации

21

•Новый сетевой узел

•Коммутатор запрашивает политики

•Политики загружаются автоматически

Dev_Server (SGT=10)

Prod_Server (SGT=7)

Dev_Servers Prod_Servers

Switches request policies for assets they protect

SGT=

3

SGT=

4

SGT=

5

Switches pull down only the policies they

need

• Итак: программно-управляемая сегментация

• Централизация управления

• Политики безопасности не зависят от сетевой топологии

• Нет индивидуальной настройки политик на оборудовании

• Единая точка для контроля политик доступа по всей сети

Применение программно-управляемой сегментации

Практически любые сценарии

23

Сегментация в ЦОД Сегментация сетей предприятия

и офиса Контроль доступа

пользователей к ресурсам ЦОД

Доступ пользователя в ЦОД

24

Здание

ЦОД с поддержкой TrustSec

Головной офис

Employee Developer Voice

ISE

Router

Employee Non

Compliant

Employee Tag

Developer Tag

Guest Tag

Non-Compliant Tag

Guest

Employee

TS-enabled

DC Remediation Internet

Employee

Developer

Guest

Non-Compliant

✓ X ✓ ✓

X X ✓ ✓

X X ✓ X Non

Compliant Employee Non

Compliant

Switch Switch

• Ролевой контроль доступа

• Автоматизацию и контроль BYOD

• Сквозное соответствие требованиям

✓ ✓ ✓ ✓

Voice

TrustSec обеспечивает:

Политики в действии:

Домен TrustSec

Prod server

Dev server

Домен ACI

ACI Data Center

Dev server

Prod server APIC DC

Сегментация сети предприятия и офиса

25

Employee Developer Data center Internet

Employee

Developer

Building Mgmt

Non-Compliant

TrustSec обеспечивает:

Router

Employee Tag

Developer Tag

Building Mgmt Tag

Non-Compliant Tag

Switch

Switch

Здание Головной офис

Удаленный офис

✓ X X ✓

X X X ✓

X X X X

✓ ✓ ✓ ✓

HQ

Data

Center

Политики в действии: Switch

Non

Compliant

Non

Compliant

Non

Compliant Developer Voice Voice

Employee

Employee Employee Building

Mgmt

• Ролевой контроль доступа везде

• Сквозное соответствие нормативным

требованиям

• Ограничение распространения атак

Сегментация ЦОД

26

Database Servers

Web Servers

Storage

Web Servers

TrustSec обеспечивает:

Политики в действии: Switch

r

Web Servers

Middleware Servers

Database Servers Storage

Web Servers

MiddlewareServers

Database Servers

Storage

Middleware Servers

✓ ✓ ✓ ✓

X ✓ ✓ ✓

X ✓ ✓ ✓

X ✓ X X

• Простота правил МСЭ

• Соответствие нормативным требованиям

• Зонирование серверов

• Микро сегментацию

• Сегментацию физических и виртуальных ресурсов

TrustSec Программно-управляемая сегментация от пользователя до ЦОД

Доступ пользователей и устройств в ЦОД

28

Основной сценарии внедрения TrustSec

Почему

Упрощение политик и переход на ролевой контроль доступа

Снижение операционных затрат

Внедрение на границе ЦОД

Разработка

Тестирование

Соответствие

Zones

Production

Commerce

Development

Compliance

Mail

App 1

App 2

App

Portal

DB

Dev 1

Dev 2

Finance BI

Data Storage

VMS A

VMS B

Data Center

Employee

Auditor

BYOD

BYOD

Централизованное управление классификацией в ISE

29

Передача «привязки» IP-SGT на устройство через SSH

Передача «привязки» IP-SGT через SXP

Основные методы классификации пользователей

30

Подсеть в SGT

4 • Легко начать

• Аутентификация пользователей на нужна

• Централизованное администрирование и управление

Достоинства

Corporate Voice Guest

Employee

Guests

Corporate Voice Guest

Employee

Guests

(Любое устройство, поддерживаемое ISE)

ISE SXP

SSH

(Поддержка TrustSec)

IP Address SGT

10.1.10.0/24 Employee

10.2.10.0/24 Guest

Подсеть в SGT

31

Устройство доступа с поддержкой TrustSec

access# show cts role-based sgt-map all

Active IPv4-SGT Bindings Information

IP Address SGT Source

=======================================

=====

10.1.10.0/24 4 CLI

11.2.20.0/24 6 CLI

access# show cts environment-data

Security Group Name Table:

0001-19 :

0-00:Unknown

2-00:TrustSec_Devices

3-00:Network_Services

4-00:Employees

5-00:Contractors

6-00:Guests…

Corporate Voice Guest

Employee

Guests

SSH

IP Address SGT

10.1.10.0/24 Employee

10.2.10.0/24 Guest

Классификация пользователей

32

Устройства доступа не поддерживают SGTs

ISE SXP

IP Address SGT

10.1.10.1 Auditor

• Не зависит от «железа»

• Динамическое

назначение SGT

• Прямая передача

«привязки IP-SGT» на

устройство контроля

Достоинства

Настройка ISE SXP

33

Routers Firewall Switches

SXP

ISE

• Создание привязки IP-SGT на ISE

• Создание привязки основе классификации по протоколу RADIUS

• Привязка IP-SGT может создаваться сторонними решениями

Классификация пользователей

34

Устройства с поддержкой TrustSec

ISE

• Широкая поддержка

методов

аутентификации -

802.1x, Web Auth, MAB,

Easy Connect

• Точность применения

• Возможность прямого

назначения SGT

• Масштабируемость

Достоинства

Динамическое назначение SGT в профиле авторизации

Динамическая классификация с 802.1X

36

Layer 2

Клиент Устройство ISE Layer 3

EAP Transaction

Authorisation

DHCP

EAPoL Transaction RADIUS Transaction

Authentication

Authorized

0 Policy

Evaluation

DHCP Lease:

10.1.10.100/24 ARP Probe IP Device

Tracking

Authorised MAC:

00:00:00:AB:CD:EF

SGT = 5

Binding:

00:00:00:AB:CD:EF = 10.1.10.100/24

1

2

3

SRC: 10.1.10.100 = SGT 5

00:00:00:AB:CD:EF

cisco-av-pair=cts:security-group-tag=0005-01

3560X#show cts role-based sgt-map all details

Active IP-SGT Bindings Information

IP Address Security Group Source

=============================================

10.1.10.1 3:TrustSec_Devicea INTERNAL

10.1.10.100 5:Employee LOCAL

SGT

For Your Reference For Your Reference

Использование Easy Connect

37

(Любой с поддержкой ISE)

ISE

MSFT Active Directory

Network

User Mapping from AD

(Auditors Group)

Auditor

Auditor DHCP DNS

NTP AD

DOMAIN\bob

No 802.1X

1

2 3

MAB

• Без клиента

• Любой коммутатор

Достоинства

• ISE 2.1

• Active Directory

Условия

Классификация серверов

38

Nexus 1000v

DC Dist/Access

Database Servers

Web Servers

• Nexus 1000v – привязка SGT к Port Profile или IP

• Nexus 7000 – привязка SGT к VLAN или IP

• Nexus 6000/5600/5500 – привязка SGT к порту

interface Ethernet1/20

cts manual

policy static sgt <value>

no propagate sgt

Примеры статической привязки

cts role-based sgt-map A.B.C.D sgt value

cts role-based sgt-map A.B.C.D/nn sgt SGT_value

Subnet to SGT Mapping

Port to SGT Mapping

cts role-based sgt-map vlan-list VLAN sgt SGT_value

VLAN to SGT Mapping

Necessary command on a host facing port

IP to SGT Mapping

39

Групповые политики

40

Source Destination Action

IP Sec Group IP Sec Group Service Action

Any Employee Any Biz Servers HTTP Allow

Any Partner-A Any Dev Apps HTTPS Allow

Any Supplier-B Any Any TCP Deny

Any Any Any Any Any Deny

SGACL:

SGFW: Destination Source

App_Servers CC_Servers

Employees (5)

BYOD (10)

POS Systems

TrustSec и стандарт PCI

TrustSec как средство соответствия PCI

42

Используя сегментацию TrustSec можно обеспечить выполнение ряда требований стандарта PCI (Payment Card Industry).

Обеспечить сегментацию для узлов категорий 1 и категорий 2:

Отделить терминалы оплаты и считыватели пластиковых карт от остальных сетевых устройств.

Ограничить доступ к серверам доступа “jump servers”, которые имеют доступ к карточным серверам (CDE - Cardholder Data Environment).

МСЭ на основании групп безопасности защищает ресурсы ЦОД, обрабатывающие платежные транзакции.

Снижение необходимости применять МСЭ и VRF-ы для защиты CDE.

Возможность классифицировать, изолировать и управлять доступом системных администраторов, устройств доступа (jump boxes), серверов, систем обработки финансовых и платежных транзакций

Централизованное управление политиками

Четкое разделение границ между зонами и отделение от других сегментов, не имеющих отношения к обработке платежной информации

ASA Firewall Policy

TrustSec для PCI

43

POS

Store ABC Backbone

Floor 1 SW

Floor 2 SW

Cardholder Data Environment

DC FW

POS

PCI Server

ISE

Jump Servers

OS Type: Windows 8

User: John

AD Group: Floor Staff

Device Group: Nurse Workstation

Security Group = Employee

OS Type: Windows 7 Embedded

User: George

AD Group: Point-of-Sales Admin

Device Group: POS_Term

Security Group = PCI Device Access Privilege

Authorization with Security Group

PCI Scope

Stealthwatch Flow Analytics

• Ограничение доступа к данным владельцев карт через МСЭ SGT (SGFW)

• Отделение сегмента платежных терминалов от других устройств за счет фильтров по SGT на коммутаторах (SGACL).

• Использование Stealthwatch для контроля сегментации.

Employee Workstation

Static Mapping

Switch SGACL

Контроль доступа к Jump серверам

44

POS

Floor 1 SW

Floor 2 SW

Cardholder Data Environment

DC FW

PCI Admin

PCI Server

ISE

Jump Servers

Employee Workstation

OS Type: Windows 10

User: John

AD Group: Floor Staff

Device Group: Nurse Workstation

Security Group = Employee

OS Type: Windows 10

User: Admin

AD Group: PCI Administrators

Device Group: Admin Workstation Security Group = PCI_Admin

Access Privilege Authorization with

Security Group

PCI Scope

ASA Firewall Policy

Stealthwatch Flow Analytics

• Только Jump серверы имеют доступ в серверам PCI.

• Только администраторы PCI и аудиторы имеют доступ к Jump серверам.

• Администраторы PCI изолированы от других сотрудников.

OS Type: XenDesktop

User: Admin

AD Group: PCI Administrators

Device Group: PCI Jump Server Security Group = PCI_Jump

Store ABC Backbone

Static Mapping

Контроль доступа к общим серверам

45

• Сотрудникам нужен доступ к общим серверам, таким как DNS, и он также нужен серверам CDE.

• Общие серверы отделены в отдельные сегменты от серверов CDE и доступ к ним идет через SGFW.

• Также доступ к общим серверам может быть внедрен на уровне коммутаторов, если надо, используя SGACL.

Cardholder Data Environment

DC FW

PCI Server

Jump Servers AD DHCP DNS

Shared Services

Employee Workstation

ASA Firewall Policy ISE

Access Privilege Authorization with

Security Group

Static Mapping

OS Type: Windows 10

User: John

AD Group: Floor Staff

Device Group: Nurse Workstation

Security Group = Employee

OS Type: Server 2012

Security Group = Shared_Services

Анализ применения TrustSec для сегментации PCI

46

http://bit.ly/pci-trustsec-report

Контроль доступа между пользователями

Обычная сегментация

48

Voice

ЦОД

Магистраль VLAN Addressing DHCP Scope

Redundancy Routing Static ACL

ACLs

Non Compliant

Supplier Employee Voice Non Compliant

Supplier Employee Voice Non Compliant

Supplier Employee

• Политики доступа на основе сетевой

топологии

• Высокая стоимость и сложность внесения

изменений

Сегментация с TrustSec

49

Supplier

Employee

Non Compliant

• Сегментация базируется на SGT, и не

зависит от топологии (VLAN, IP

подсети)

• Микросегментация (разделение

устройств даже внутри одного VLAN)

Destination Source

Suppliers (100)

Employees (105)

Non Compliant (110)

Suppliers (100) Permit all Deny all Deny all

Employees (105) Deny all SGACL-1 Deny all

Non Compliant

(110) Deny all Deny all Deny all

Сегментации в сети зданий и филиалов

50

LoB1 Production Users

LoB1 Developers

Protected Assets

Guests Internet Access

LoB1 Production Users

Malware Blocking

DENY PERMIT DENY PERMIT

Collab Apps

LoB1 Developers

Sou

rce

PERMIT Collab Apps

DENY PERMIT DENY Malware Blocking

DENY DENY DENY PERMIT Malware Blocking

DENY PERMIT DENY DENY DENY

LoB = Line of Business

Policy View

Malware Blocking ACL Deny tcp dst eq 445 log Deny tcp dst range 137 139 log Permit all

LoB2 Employees

LoB2 Employees

Guest

MSFT Active Directory

Database Servers

Web Servers

Classification

Enforcement

Logical View

Использование на маршрутизаторах

Программно-управляемая сегментация на маршрутизаторах

52

Destination Source

BYOD (4)

Employees (5)

Employees

(5)

Intra_Jabb

er_Sig

Anti_Malw

are

Intra_Jabb

er_Sig

Anti_Malwa

re

BYOD (4)

Intra_Jabb

er_Sig

Anti_Malw

are

Intra_Jabb

er_Sig

Anti_Malwa

re

www

WSA

FTD

Stealthwatch

• Версия ПО: 16.3.2

• Устройства:

• ASR1006,ASR1004, ASR1009-X, ASR1006-X, ASR1001-X, ASR-1002-X, ASR-1002-HX

• ISR4300, ISR4400

• CSR-1000v

Достоинства

• Сквозная поддержка TrustSec на маршрутизаторах и

коммутаторах

• Получение политик от ISE (применение после ZBFW)

• Централизация политик для всех точек распределенной сети

• Сегментация между филиалами

Масштабируемая сквозная сегментация

53

Branch 2 Campus

Employee

Destination Source

BYOD (4)

Employees (5)

Employees

(5)

Intra_Jabb

er_Sig

Anti_Malw

are

Intra_Jabb

er_Sig

Anti_Malwa

re

BYOD (4)

Intra_Jabb

er_Sig

Anti_Malw

are

Intra_Jabb

er_Sig

Anti_Malwa

re

Non-TrustSec capable switch

Non Compliant BYOD Employee

Building Mgmt Quarantine

Branch 1

Non Compliant BYOD Employee

Building Mgmt

Блокирование ВПО

Понимание атаки

55

enterprise network

Attacker

Perimeter (Inbound)

Perimeter (Outbound)

Research targets (SNS)

1

C2 Server

Spear Phishing (you@gmail.com)

2

http://welcome.to.jangle.com/exploit.php

Victim clicks link unwittingly 3

Bot installed, back door established and receives commands from C2 server

4

Scan LAN for vulnerable hosts to exploit & retain alternative back door + find privileged users

5

Privileged account found. Occupy directory service. Access to database backup, then copy them to staging server

6

Admin Node

Zip data, slice it to multiple files, and send those out to external site over HTTPS

7

System compromised and data breached. Retain backdoor to collect more targeted data, otherwise erase all traces or wipe whole disk (e.g. Shamoon malware)

8

Lateral Movement

(Scanning, Pivoting, Privilege Escalation, Brute Force, etc.)

Как защититься после взлома?

56

enterprise network

Attacker

Perimeter (Inbound)

Perimeter (Outbound)

Research targets (SNS)

1

C2Server

Spear Phishing (you@gmail.com)

2

Victim clicks link unwittingly 3

Bot installed, back door established and receives commands from C2 server

4

TrustSec to block P2P scanning, OS Finger printing activity, and exploitation.

5

Admin Node Используем

инфраструктуру для уменьшения зоны атаки

Cat 3850

User to User Policy Enforcement: Wired: Cat3750-X & Cat3560-X (IP-Base), Cat4500 Sup7E , Cat3850 Wireless: Catalyst 3650, Catalyst 3850 and WLC 5760

Защита от ВПО

57

Endpoint A

Exploits by sending payload 2

Segment A 1.1.1.101 1.1.1.102

DH

CP

D

HC

P

Endpoint B

802.1X

Name MAC Address SGT IP Address

Endpoint A 00:00:00:00:00:0a 7 1.1.1.101

Endpoint B 00:00:00:00:00:0b 7 1.1.1.102

SGT can be assigned via RADIUS attributes in 802.1X Authorization OR statically assign to VLAN

Cisco’s IP Device Tracking probes endpoint IP Address and binds it to SGT

1 Scan for open ports / OS

SG-ACL Egress Policy SRC \ DST 7

7 Anti-Malware-ACL

Anti-Malware-ACL deny icmp deny udp src dst eq domain deny tcp src dst eq 3389 deny tcp src dst eq 1433 deny tcp src dst eq 1521 deny tcp src dst eq 445 deny tcp src dst eq 137 deny tcp src dst eq 138 deny tcp src dst eq 139 deny udp src dst eq snmp deny tcp src dst eq telnet deny tcp src dst eq www deny tcp src dst eq 443 deny tcp src dst eq 22 deny tcp src dst eq pop3 deny tcp src dst eq 123 deny tcp match-all -ack +fin -psh -rst -syn -urg deny tcp match-all +fin +psh +urg permit tcp match-any +ack +syn

SG-ACL for SGT 7 is applied statically on switch or dynamically downloaded from ISE.

Filtering open port / OS fingerprint scanning prevents attacker to guess Application / OS specific vulnerabilities

SG-ACL stops unnecessary P2P communication, including one used for exploitation

Distribution SW

Attacker seeks other victims 3

Программно-управляемая сегментация в ЦОД

Классический контроль доступа и сегментация в ЦОД

59

• Разрозненные методы управления правилами

• Внедрение политик доступа в множестве мест

• Множественные изменения конфигурации при добавлении новых ресурсов

N2K N1Kv

N7K-A N7K-B

N5K-A

Firewall Firewall

N5K-B

vSwitch

Core

1. МСЭ

Вход/выход

Между группами серверов

2. Фильтры

IP-Based Access Control Lists

Server VLANs

Private VLANs

Possibly VRFs

Зависят от топологии!

TrustSec для сегментации и контроля доступа в ЦОД

60

• Общие объекты для МСЭ и фильтров • Сквозное управление

• Централизация и автоматизация управления фильтрами

• Масштабируемость

N2K N1Kv

N7K-A N7K-B

N5K-A

Firewall Firewall

N5K-B

vSwitch

Core

1. Security Group Firewall

2. Security Group ACLs

Политики фильтрации по SGT и адресам IP

Сегментация в виде простой матрицы доступа

Применяется ко всем коммутаторам Nexus –

масштабируемо и просто

Зоны безопасности

61

VLAN 100

Risk Level 1

ISE • VLAN-ы часто соответствуют зонам безопасности • Во многих случаях между разными зонами применяются

фильтры • Применение фильтров SGACL снижают использование TCAM

• Переход от обычных фильтров ACL на SGACL дает экономию от 60% to 88%

• Другой трафик может продолжать контролироваться МСЭ • VPC и Fabric Path поддерживаются с версии 7.2

Campus Network

PCI_Web PCI_App

LOB_App LOB_App

N7K-DST1(config)# vlan 100

N7K-DST1(config-vlan)# cts role-based sgt 100

N7K-DST1# show cts role-based sgt-map

IP ADDRESS SGT VRF/VLAN SGT CONFIGURATION

10.1.200.10 2000(PCI_Servers) vlan:200 Learnt through VLAN SGT configuration

10.1.200.77 2000(PCI_Servers) vlan:200 Learnt through VLAN SGT configuration

10.1.100.26 2000(PCI_Servers) vrf:1 CLI Configured

10.1.200.77 1000(Production_Servers)vrf:1 CLI Configured

VLAN 200

Risk Level 1

Внедрение на Nexus 1000V

62

VM VM VM VM

Nexus

1000V

VEM

Server

VM VM VM VM

Nexus

1000V

VEM

Hypervisor

TOR filters traffic based on SG-ACLs

Nexus 1000V VSM SXP for Firewall

SXP comes from VSM (not VEM)

TOR filters traffic based on SGACLs

N1000V: Assigns SGT based on

Port-profile Assignments

VEM filters traffic based on SG-ACLs

PCI

ISE

PCI

Hypervisor

Server

PCI

Inline Tagging on VEM Uplinks

TrustSec Policy from ISE

N1000v 5.2(1)SV3(1.1) - inline tagging and SGACL Enforcement

Комбинированное применение SGACL и SGFW

63

Risk Level 1

ISE

Risk Level 2

PCI_Web PCI_App PCI_DB

SXP SXP

LOB2_DB

PCI_Users

• SGACL на коммутаторах для применения политик внутри зон безопасности

• SGFW (ASA) для применения политик между зонами безопасности

TrustSec + ACI

Управление групповыми политиками в рамках всего предприятия

65

Сквозная политика безопасности

Упрощение управления защитой

Сквозная сегментация

Voice Employee Supplier BYOD

Campus / Branch / Non-ACI DC TrustSec Policy Domain

Voice VLAN

Data VLAN

Web App DB ACI Fabric

Data Center APIC Policy Domain

APIC DC

ISE 2.1

Домен ACI Домен TrustSec

TrustSec и ACI

66

TrustSec ACI

Идентификатор сегмента

16-bit Security Group Tag (SGT) 16-bit Endpoint Group (EPG)

Классификация Динамическая и статическая Динамическая и статическая

Распространение SGT-over-Ethernet (Inline tagging), SXP, LISP, pxGrid, IPSec

VxLAN

Реализация SG-ACL, SG-Firewall SG-based-PBR, SG-QoS

Contracts: ACL, QoS, Redirect (Service chaining)

Охват Вся сеть ЦОД

Управление Cisco ISE Cisco APIC

Настройка интеграции с ACI в ISE

67

ACI Settings: • Controller • Credentials • Tenant name defined in ACI • L3 Routed Network defined in

ACI

Группы TrustSec и ACI

68

ISE Dynamically provisions TrustSec Security Groups in ACI Fabric

ACI TrustSec

Группы безопасности Группы TrustSec представлены как внешние

EPG

APIC DC Максимум: 200 групп

Передача групп TrustSec в ACI

69

Передача групп TrustSec в ACI

70

Детальный контроль доступа

71

Data Center Campus / Branch

BYOD

Employee Supplier

APIC DC

Shared Policy Groups

Source Criteria Destination Criteria Service

Action IP SGT IP SGT

any Contractor any any Permit

ASA- SGFW (outside the fabric)

Outside Contract

App

Contract

Contract App

Web BYOD

Employees

Contract App Supplier

WEB_EPG 192.168.1.0/24 192.168.2.0/24

Целостное управление политиками между ЦОД

72

Web Servers

Middleware Servers

Database Servers Storage

Web Servers

MiddlewareServers

Database Servers

Storage

✓ ✓ ✓ ✓

X ✓ ✓ ✓

X ✓ ✓ ✓

X ✓ X X

TrustSec Group-Based Policies

TrustSec Data Center Data Center APIC DC

TrustSec-enabled data center

ISE

Router

TrustSec Policy Domain Prod server

Dev server

ACI policy domain

ACI Data Center

APIC DC

Dev server

Prod server

Enterprise Network

Guest endpoint

Employee endpoint

Developer endpoint

Non Compliant endpoint

8

Информация о приложениях в политиках TrustSec

73

ISE «обучается» внутренним EPGs и VM от фабрики ACI

ACI

VM1

VM1000

Домен TrustSec

TrustSec

Фабрика ACI

Политики TrustSec для контроля доступа к серверам ACI

APIC DC

Информация об группах узлов ACI в TrustSec

74

• В имя группы добавляется суффикс EPG • Привязка IP-SGT из ACI может передаваться через SXP на устройства TrustSec и на узлы pxGrid

Сквозная сегментация на базе политик

75

User to App Contracts

C DB Web

Web App DB

Voice Employee Supplier BYOD

ЦОД Домен APIC

Вся сеть Домен TrustSec

Общие групповые

политики

APIC DC

Поддержка сторонних производителей

Open TrustSec

77

• SXP and Inline Tagging submitted to the IETF :-

• ‘Source-Group Tag eXchange Protocol’ IETF Informational Draft https://datatracker.ietf.org/doc/draft-smith-kandula-sxp/

• SGT can be carried in standards-track Network Services Header (NSH)

• Allows for SGTs to be mapped to Source Class and Destination Class

• https://tools.ietf.org/html/draft-guichard-sfc-nsh-dc-allocation-01

Open Source TrustSec

78

SXP is now included in the Open Daylight SDN Controller https://www.opendaylight.org/whats-new-lithium Allows other vendors to integrate at Controller level instead of network

Open Source SXP implementation now available via Github https://github.com/opendaylight/sxp Allows other vendors to use to implement in their own products (e.g. we use this in ISE 2.0)

Check Point Software

79

CheckPoint получает информацию о метках SGT для различных групп через pxGrid (также как WSA и FTD).

Web Security Appliance (WSA)

Ecosystem Vendor

products

Firepower Threat

Defense

Bayshore Networks

80

Internet

Remote Access VPN Users

Per User SGT assignment from ISE

Assembly Zone

Пример: разные индустриальные партнеры имеют доступ в разные

зоны Bayshore IC™

(Industrial Controls) Gateway

Press & Weld

Zone

Paint & Plastic

Zone

Дизайн TrustSec Подходы

Дизайн TrustSec

82

Что защищаем и контролируем

Примеры: Карточные данные, Медицинские данные, Интеллектуальная собственность

Механизмы клссификации

Примеры: Dynamic, IP-SGT, VLAN-SGT И т.п.

Точки внедрения политик

• Сегментация ЦОД • Доступ полльзователей

Методы распространения

• Inline Tagging • SXP • DM-VPN • GET-VPN • IPSec • И т.п..

Знание о сетевых узлах поможет подобрать

нужные методы классификации и точки их

внедрения

Ваша инфраструктура поможет определить точки

внедрения политик

Понимание методов классификации и

возможностей по внедрению подскажет выбор методов

распространения

Итак! Внедряем эффективную сегментацию!

83

Обнаруживаем и классифицируем узлы:

Классификация и назначение меток SGT с ISE

Понимаем

функционирование

SGT в NetFlow

Stealthwatch

Внедрение политик:

Применение на коммутаторах,

точках доступа,

маршрутизаторах, МСЭ, и т.п.

Мониторинг:

Обнаружение нарушений

политик

Stealthwatch Сетевая

сегментация

Разработка и

моделирование

политик

SGT

И напоследок

Матрица поддержки функций TrustSec

85

http://www.cisco.com/c/en/us/solutions/enterprise-networks/trustsec/trustsec_matrix.html

Поддерживаемые функции и версии ПО для всей линейки продуктов компании Cisco

Руководства

#CiscoConnectRu #CiscoConnectRu

Спасибо за внимание! Оцените данную сессию в мобильном приложении конференции

© 2017 Cisco and/or its affiliates. All rights reserved.

Контакты:

Тел.: +7 495 9611410 www.cisco.com

www.facebook.com/CiscoRu

www.vk.com/cisco

www.instagram.com/ciscoru

www.youtube.com/user/CiscoRussiaMedia

Свяжитесь с нами

Тестируйте

Составьте план внедрения

Напишите нам на security-request@cisco.com

или своему менеджеру Cisco для организации

встречи для более глубокого обсуждения

ваших задач и того, как мы можем их

совместно решить

Воспользуйтесь широким спектром

возможностей по тестированию: • dCloud

• Виртуальные версии всего ПО

• Демо-оборудование

• И не забудьте про Threat Awareness Service

Мы поможем вам составить поэтапный план

внедрения решений по кибербезопасности

под ваши задачи

Что сделать после семинара?