Cisco Connect Москва, 2017
Цифровизация: здесь и сейчас
Сквозное управление доступом - от пользователя и дальше
Михаил Кадер
Инженер
© 2017 Cisco and/or its affiliates. All rights reserved.
Обзор
Головная боль ИТ
Потеря контроля и контекста
Сложность и фрагментированность
Изменение ландшафта угроз
Скорость развития технологий
Новые требования бизнеса – очередные вопросы управления и безопасности
4
И новые проблемы
Ошибки ручного администрирования
Рост унифицированного персонала
Рост операционных затрат
Фрагментарная защита
Нехватка времени
Проблемы сетевой инфраструктуры и безопасности
Изменения бизнеса и технологий
Новые возможности, но …
Приобретения и партнерство
Облака
Интернет вещей
Цифровизация
BYOD
Глобализация
Мобильность
Скорость изменений Нормативные требования Снижение стоимости
Сегментация нужна, сегментация важна!
5
“Eataly’s network segmentation prevented a POS compromise at one store from compromising systems at the chain’s 26 other locations across the globe”
“Network segmentation… is one of the most effective controls an agency can implement to mitigate the second stage of a network intrusion, propagation or lateral movement” “Effective network
segmentation… reduces the extent to which an adversary can move across the network”
TrustSec – упростим управление защитой!
Масштабируемая и гибкая технологий сегментации, охватывающая более 40 серий продуктов компании Cisco и обеспечивающая динамическое ролевое управление доступом во всей сети
6
Deny Employee to Financial Server Permit Developer to Developer Server Permit Guest to Web Permit Developer to Developer Server
Сквозные политики
Key
Employee Tag
Developer Tag
Voice Tag
Non-Compliant Tag
SGACLs Сотрудник Серверы
разработчиков
Простота управления доступом
Ускоренное администрирование
Простота управления доступом Удобное управление политиками и обеспечение соответствия за счет
предоставления доступа в зависимости от должностных обязанностей
Ускоренное администрирование Более быстрое добавление и перемещение пользователей, упрощение настроек МСЭ при
добавлении серверных ресурсов
Интернет Серверы
бухгалтерии
Сквозные политики Централизованное управление сетевой сегментацией, вне зависимости от типа
подключения
Корпоративная сеть
Гости Сотрудники Разработ-
чики Не соответ- ствующие
8
Employee Info Tag
Developer Server Tag
Financial Server Tag
HTTP Tag
Назад к основам
TrustSec как основа программно-управляемой сегментации
8
Узел
Управление метками
Управление политиками
Security Group Tags
Исполнение
Исполнение Защита от угроз
Распространение
В канале передачи
Классификация
Статическая
Идентификация Динамическая
Сеть с поддержкой SGT
Централизованное управление
Программная сегментация
Открытость
Heterogeneous environment
Внеполосное (SXP or pxGrid)
Switch
Router
Firewall
Классификация
Управление групповыми метками безопасности Группы безопасности для определения ролей и политик
10
Printer 1 Printer 2
SGT_Guest SGT_Building Management
SGT_Employee
Guest 1
Guest 2
Guest 3 Guest 4
Employee 1 Employee 2 Employee 3
Employee 4
SGT_FinanceServer SGT_Printers
Fin 1 Fin 2
Temperature Device 1
Temperature Device 2
Surveillance Device 1
Surveillance Device 2
50°
50°
• Объединение в группы на основании требований бизнеса для обеспечения целостной политики доступа вне зависимости от сетевого подключения
• Использование таких атрибутов, как местоположение и тип устройства для назначения в группу
Гибкие методы классификации
11
Динамические механизмы
Статические механизмы
VPN
V. Port Profile
IP Address VLANs Subnets
L3 Interface
Port
ACI (App-Centric)
Пользователи и мобильные устройства
Пользователи
Внутренняя инфраструктура ИТ
Внутренние ресурсы
Внешние партнеры и т.п.
Партнеры и т.п. Ста
тиче
ски
е Д
ин
ами
ческ
ие
SGT #1
SGT #2
SGT #3
SGT #4
Виртуалки
Passive ID (Easy
Connect)
MAB, Profiling
802.1X. WebAuth
pxGrid & REST APIs
Распространение
TSECSEC-2222
Как передать SGT?
13
В канале передачи
• Ethernet
• MACsec on Ethernet
• IPSec
• DMVPN
• GETVPN
• VXLAN
Platform Exchange Grid (pxGrid)
• Web Security Appliance (WSA)
• Firepower Threat Defense
• Партнерские продукты
SGT eXchange Protocol (SXP)
• Network Devices
• ISE
• IETF
• Open Daylight
В канале передачи
14
Branches
Inline tagging
Untagged
ISE
• Быстро и масштабируемо при наличии аппаратной поддержки
• SGT передаются в канале данных на полной скорости канала
• Пошаговая передача
(2 = network devices sgt value)
interface TenGigabitEthernet1/5/13 cts manual
policy static sgt 2 trusted
Внеполосная передача SGT
15
Через любую сеть IP
Firepower NGFW
SXP
pxGrid
SXP IP-SGT Bindings IP Address SGT SRC
10.1.100.98 50 Local
ISE
Ecosystem vendor
products
• Подписка на события TrustSec используя pxGrid
• Информация о «связках» IP-SGT передается через pxGrid
pxGrid
• Не зависит от «железа»
• Распространение от ISE или устройства доступа до любой точки контроля
SXP
www
WSA Router 2
Router 1
Switch 1 ANY network device ISE supports
Generate IP-SGT mappings from ISE
Send IP-SGT mappings to SXP & pxGrid peers
Использование
Применение политик
17
Application Servers
Database Servers
FIB Lookup Destination MAC/Port
SGT 30 Destination Classification App_Svr: SGT 20 DB_Svr: SGT 30
End user authenticated Employee: SGT 5
Destination Source
App_Servers (20)
DB_Servers (30)
Employees (5)
BYOD (10)
Unknown (0)
10.1.100.100 SGT: 20
10.1.101.100 SGT: 30
SRC: 10.1.10.100 DST: 10.1.100.100 SGT: 5
5
SGFW SGACL
ISE Egress Policy Matrix (SGACL)
18
permit tcp dst eq 6970 log permit tcp dst eq 6972 log permit tcp dst eq 3804 log permit tcp dst eq 8443 log permit tcp dst eq 8191 log permit tcp dst eq 5222 log permit tcp dst eq 37200 log permit tcp dst eq 443 log permit tcp dst eq 2748 log permit tcp dst eq 5060 log permit tcp dst eq 5061 log permit tcp dst range 30000 39999 log permit udp dst range 5070 6070 log deny ip log
ISE 2.1 – промежуточные матрицы
19
• Контролируемое внедрение изменений
• Этапность • Возможность возврата • Утверждение внесения
изменений
Множественные матрицы политик (ISE 2.2)
Policy Applied to ALL Devices
SGACL для масштабируемой сегментации
21
•Новый сетевой узел
•Коммутатор запрашивает политики
•Политики загружаются автоматически
Dev_Server (SGT=10)
Prod_Server (SGT=7)
Dev_Servers Prod_Servers
Switches request policies for assets they protect
SGT=
3
SGT=
4
SGT=
5
Switches pull down only the policies they
need
• Итак: программно-управляемая сегментация
• Централизация управления
• Политики безопасности не зависят от сетевой топологии
• Нет индивидуальной настройки политик на оборудовании
• Единая точка для контроля политик доступа по всей сети
Применение программно-управляемой сегментации
Практически любые сценарии
23
Сегментация в ЦОД Сегментация сетей предприятия
и офиса Контроль доступа
пользователей к ресурсам ЦОД
Доступ пользователя в ЦОД
24
Здание
ЦОД с поддержкой TrustSec
Головной офис
Employee Developer Voice
ISE
Router
Employee Non
Compliant
Employee Tag
Developer Tag
Guest Tag
Non-Compliant Tag
Guest
Employee
TS-enabled
DC Remediation Internet
Employee
Developer
Guest
Non-Compliant
✓ X ✓ ✓
X X ✓ ✓
X X ✓ X Non
Compliant Employee Non
Compliant
Switch Switch
• Ролевой контроль доступа
• Автоматизацию и контроль BYOD
• Сквозное соответствие требованиям
✓ ✓ ✓ ✓
Voice
TrustSec обеспечивает:
Политики в действии:
Домен TrustSec
Prod server
Dev server
Домен ACI
ACI Data Center
Dev server
Prod server APIC DC
Сегментация сети предприятия и офиса
25
Employee Developer Data center Internet
Employee
Developer
Building Mgmt
Non-Compliant
TrustSec обеспечивает:
Router
Employee Tag
Developer Tag
Building Mgmt Tag
Non-Compliant Tag
Switch
Switch
Здание Головной офис
Удаленный офис
✓ X X ✓
X X X ✓
X X X X
✓ ✓ ✓ ✓
HQ
Data
Center
Политики в действии: Switch
Non
Compliant
Non
Compliant
Non
Compliant Developer Voice Voice
Employee
Employee Employee Building
Mgmt
• Ролевой контроль доступа везде
• Сквозное соответствие нормативным
требованиям
• Ограничение распространения атак
Сегментация ЦОД
26
Database Servers
Web Servers
Storage
Web Servers
TrustSec обеспечивает:
Политики в действии: Switch
r
Web Servers
Middleware Servers
Database Servers Storage
Web Servers
MiddlewareServers
Database Servers
Storage
Middleware Servers
✓ ✓ ✓ ✓
X ✓ ✓ ✓
X ✓ ✓ ✓
X ✓ X X
• Простота правил МСЭ
• Соответствие нормативным требованиям
• Зонирование серверов
• Микро сегментацию
• Сегментацию физических и виртуальных ресурсов
TrustSec Программно-управляемая сегментация от пользователя до ЦОД
Доступ пользователей и устройств в ЦОД
28
Основной сценарии внедрения TrustSec
Почему
Упрощение политик и переход на ролевой контроль доступа
Снижение операционных затрат
Внедрение на границе ЦОД
Разработка
Тестирование
Соответствие
Zones
Production
Commerce
Development
Compliance
App 1
App 2
App
Portal
DB
Dev 1
Dev 2
Finance BI
Data Storage
VMS A
VMS B
Data Center
Employee
Auditor
BYOD
BYOD
Централизованное управление классификацией в ISE
29
Передача «привязки» IP-SGT на устройство через SSH
Передача «привязки» IP-SGT через SXP
Основные методы классификации пользователей
30
Подсеть в SGT
4 • Легко начать
• Аутентификация пользователей на нужна
• Централизованное администрирование и управление
Достоинства
Corporate Voice Guest
Employee
Guests
Corporate Voice Guest
Employee
Guests
(Любое устройство, поддерживаемое ISE)
ISE SXP
SSH
(Поддержка TrustSec)
IP Address SGT
10.1.10.0/24 Employee
10.2.10.0/24 Guest
Подсеть в SGT
31
Устройство доступа с поддержкой TrustSec
access# show cts role-based sgt-map all
Active IPv4-SGT Bindings Information
IP Address SGT Source
=======================================
=====
10.1.10.0/24 4 CLI
11.2.20.0/24 6 CLI
access# show cts environment-data
Security Group Name Table:
0001-19 :
0-00:Unknown
2-00:TrustSec_Devices
3-00:Network_Services
4-00:Employees
5-00:Contractors
6-00:Guests…
Corporate Voice Guest
Employee
Guests
SSH
IP Address SGT
10.1.10.0/24 Employee
10.2.10.0/24 Guest
Классификация пользователей
32
Устройства доступа не поддерживают SGTs
ISE SXP
IP Address SGT
10.1.10.1 Auditor
• Не зависит от «железа»
• Динамическое
назначение SGT
• Прямая передача
«привязки IP-SGT» на
устройство контроля
Достоинства
Настройка ISE SXP
33
Routers Firewall Switches
SXP
ISE
• Создание привязки IP-SGT на ISE
• Создание привязки основе классификации по протоколу RADIUS
• Привязка IP-SGT может создаваться сторонними решениями
Классификация пользователей
34
Устройства с поддержкой TrustSec
ISE
• Широкая поддержка
методов
аутентификации -
802.1x, Web Auth, MAB,
Easy Connect
• Точность применения
• Возможность прямого
назначения SGT
• Масштабируемость
Достоинства
Динамическое назначение SGT в профиле авторизации
Динамическая классификация с 802.1X
36
Layer 2
Клиент Устройство ISE Layer 3
EAP Transaction
Authorisation
DHCP
EAPoL Transaction RADIUS Transaction
Authentication
Authorized
0 Policy
Evaluation
DHCP Lease:
10.1.10.100/24 ARP Probe IP Device
Tracking
Authorised MAC:
00:00:00:AB:CD:EF
SGT = 5
Binding:
00:00:00:AB:CD:EF = 10.1.10.100/24
1
2
3
SRC: 10.1.10.100 = SGT 5
00:00:00:AB:CD:EF
cisco-av-pair=cts:security-group-tag=0005-01
3560X#show cts role-based sgt-map all details
Active IP-SGT Bindings Information
IP Address Security Group Source
=============================================
10.1.10.1 3:TrustSec_Devicea INTERNAL
10.1.10.100 5:Employee LOCAL
SGT
For Your Reference For Your Reference
Использование Easy Connect
37
(Любой с поддержкой ISE)
ISE
MSFT Active Directory
Network
User Mapping from AD
(Auditors Group)
Auditor
Auditor DHCP DNS
NTP AD
DOMAIN\bob
No 802.1X
1
2 3
MAB
• Без клиента
• Любой коммутатор
Достоинства
• ISE 2.1
• Active Directory
Условия
Классификация серверов
38
Nexus 1000v
DC Dist/Access
Database Servers
Web Servers
• Nexus 1000v – привязка SGT к Port Profile или IP
• Nexus 7000 – привязка SGT к VLAN или IP
• Nexus 6000/5600/5500 – привязка SGT к порту
interface Ethernet1/20
cts manual
policy static sgt <value>
no propagate sgt
Примеры статической привязки
cts role-based sgt-map A.B.C.D sgt value
cts role-based sgt-map A.B.C.D/nn sgt SGT_value
Subnet to SGT Mapping
Port to SGT Mapping
cts role-based sgt-map vlan-list VLAN sgt SGT_value
VLAN to SGT Mapping
Necessary command on a host facing port
IP to SGT Mapping
39
Групповые политики
40
Source Destination Action
IP Sec Group IP Sec Group Service Action
Any Employee Any Biz Servers HTTP Allow
Any Partner-A Any Dev Apps HTTPS Allow
Any Supplier-B Any Any TCP Deny
Any Any Any Any Any Deny
SGACL:
SGFW: Destination Source
App_Servers CC_Servers
Employees (5)
BYOD (10)
POS Systems
TrustSec и стандарт PCI
TrustSec как средство соответствия PCI
42
Используя сегментацию TrustSec можно обеспечить выполнение ряда требований стандарта PCI (Payment Card Industry).
Обеспечить сегментацию для узлов категорий 1 и категорий 2:
Отделить терминалы оплаты и считыватели пластиковых карт от остальных сетевых устройств.
Ограничить доступ к серверам доступа “jump servers”, которые имеют доступ к карточным серверам (CDE - Cardholder Data Environment).
МСЭ на основании групп безопасности защищает ресурсы ЦОД, обрабатывающие платежные транзакции.
Снижение необходимости применять МСЭ и VRF-ы для защиты CDE.
Возможность классифицировать, изолировать и управлять доступом системных администраторов, устройств доступа (jump boxes), серверов, систем обработки финансовых и платежных транзакций
Централизованное управление политиками
Четкое разделение границ между зонами и отделение от других сегментов, не имеющих отношения к обработке платежной информации
ASA Firewall Policy
TrustSec для PCI
43
POS
Store ABC Backbone
Floor 1 SW
Floor 2 SW
Cardholder Data Environment
DC FW
POS
PCI Server
ISE
Jump Servers
OS Type: Windows 8
User: John
AD Group: Floor Staff
Device Group: Nurse Workstation
Security Group = Employee
OS Type: Windows 7 Embedded
User: George
AD Group: Point-of-Sales Admin
Device Group: POS_Term
Security Group = PCI Device Access Privilege
Authorization with Security Group
PCI Scope
Stealthwatch Flow Analytics
• Ограничение доступа к данным владельцев карт через МСЭ SGT (SGFW)
• Отделение сегмента платежных терминалов от других устройств за счет фильтров по SGT на коммутаторах (SGACL).
• Использование Stealthwatch для контроля сегментации.
Employee Workstation
Static Mapping
Switch SGACL
Контроль доступа к Jump серверам
44
POS
Floor 1 SW
Floor 2 SW
Cardholder Data Environment
DC FW
PCI Admin
PCI Server
ISE
Jump Servers
Employee Workstation
OS Type: Windows 10
User: John
AD Group: Floor Staff
Device Group: Nurse Workstation
Security Group = Employee
OS Type: Windows 10
User: Admin
AD Group: PCI Administrators
Device Group: Admin Workstation Security Group = PCI_Admin
Access Privilege Authorization with
Security Group
PCI Scope
ASA Firewall Policy
Stealthwatch Flow Analytics
• Только Jump серверы имеют доступ в серверам PCI.
• Только администраторы PCI и аудиторы имеют доступ к Jump серверам.
• Администраторы PCI изолированы от других сотрудников.
OS Type: XenDesktop
User: Admin
AD Group: PCI Administrators
Device Group: PCI Jump Server Security Group = PCI_Jump
Store ABC Backbone
Static Mapping
Контроль доступа к общим серверам
45
• Сотрудникам нужен доступ к общим серверам, таким как DNS, и он также нужен серверам CDE.
• Общие серверы отделены в отдельные сегменты от серверов CDE и доступ к ним идет через SGFW.
• Также доступ к общим серверам может быть внедрен на уровне коммутаторов, если надо, используя SGACL.
Cardholder Data Environment
DC FW
PCI Server
Jump Servers AD DHCP DNS
Shared Services
Employee Workstation
ASA Firewall Policy ISE
Access Privilege Authorization with
Security Group
Static Mapping
OS Type: Windows 10
User: John
AD Group: Floor Staff
Device Group: Nurse Workstation
Security Group = Employee
OS Type: Server 2012
Security Group = Shared_Services
Анализ применения TrustSec для сегментации PCI
46
http://bit.ly/pci-trustsec-report
Контроль доступа между пользователями
Обычная сегментация
48
Voice
ЦОД
Магистраль VLAN Addressing DHCP Scope
Redundancy Routing Static ACL
ACLs
Non Compliant
Supplier Employee Voice Non Compliant
Supplier Employee Voice Non Compliant
Supplier Employee
• Политики доступа на основе сетевой
топологии
• Высокая стоимость и сложность внесения
изменений
Сегментация с TrustSec
49
Supplier
Employee
Non Compliant
• Сегментация базируется на SGT, и не
зависит от топологии (VLAN, IP
подсети)
• Микросегментация (разделение
устройств даже внутри одного VLAN)
Destination Source
Suppliers (100)
Employees (105)
Non Compliant (110)
Suppliers (100) Permit all Deny all Deny all
Employees (105) Deny all SGACL-1 Deny all
Non Compliant
(110) Deny all Deny all Deny all
Сегментации в сети зданий и филиалов
50
LoB1 Production Users
LoB1 Developers
Protected Assets
Guests Internet Access
LoB1 Production Users
Malware Blocking
DENY PERMIT DENY PERMIT
Collab Apps
LoB1 Developers
Sou
rce
PERMIT Collab Apps
DENY PERMIT DENY Malware Blocking
DENY DENY DENY PERMIT Malware Blocking
DENY PERMIT DENY DENY DENY
LoB = Line of Business
Policy View
Malware Blocking ACL Deny tcp dst eq 445 log Deny tcp dst range 137 139 log Permit all
LoB2 Employees
LoB2 Employees
Guest
MSFT Active Directory
Database Servers
Web Servers
Classification
Enforcement
Logical View
Использование на маршрутизаторах
Программно-управляемая сегментация на маршрутизаторах
52
Destination Source
BYOD (4)
Employees (5)
Employees
(5)
Intra_Jabb
er_Sig
Anti_Malw
are
Intra_Jabb
er_Sig
Anti_Malwa
re
BYOD (4)
Intra_Jabb
er_Sig
Anti_Malw
are
Intra_Jabb
er_Sig
Anti_Malwa
re
www
WSA
FTD
Stealthwatch
• Версия ПО: 16.3.2
• Устройства:
• ASR1006,ASR1004, ASR1009-X, ASR1006-X, ASR1001-X, ASR-1002-X, ASR-1002-HX
• ISR4300, ISR4400
• CSR-1000v
Достоинства
• Сквозная поддержка TrustSec на маршрутизаторах и
коммутаторах
• Получение политик от ISE (применение после ZBFW)
• Централизация политик для всех точек распределенной сети
• Сегментация между филиалами
Масштабируемая сквозная сегментация
53
Branch 2 Campus
Employee
Destination Source
BYOD (4)
Employees (5)
Employees
(5)
Intra_Jabb
er_Sig
Anti_Malw
are
Intra_Jabb
er_Sig
Anti_Malwa
re
BYOD (4)
Intra_Jabb
er_Sig
Anti_Malw
are
Intra_Jabb
er_Sig
Anti_Malwa
re
Non-TrustSec capable switch
Non Compliant BYOD Employee
Building Mgmt Quarantine
Branch 1
Non Compliant BYOD Employee
Building Mgmt
Блокирование ВПО
Понимание атаки
55
enterprise network
Attacker
Perimeter (Inbound)
Perimeter (Outbound)
Research targets (SNS)
1
C2 Server
Spear Phishing ([email protected])
2
http://welcome.to.jangle.com/exploit.php
Victim clicks link unwittingly 3
Bot installed, back door established and receives commands from C2 server
4
Scan LAN for vulnerable hosts to exploit & retain alternative back door + find privileged users
5
Privileged account found. Occupy directory service. Access to database backup, then copy them to staging server
6
Admin Node
Zip data, slice it to multiple files, and send those out to external site over HTTPS
7
System compromised and data breached. Retain backdoor to collect more targeted data, otherwise erase all traces or wipe whole disk (e.g. Shamoon malware)
8
Lateral Movement
(Scanning, Pivoting, Privilege Escalation, Brute Force, etc.)
Как защититься после взлома?
56
enterprise network
Attacker
Perimeter (Inbound)
Perimeter (Outbound)
Research targets (SNS)
1
C2Server
Spear Phishing ([email protected])
2
Victim clicks link unwittingly 3
Bot installed, back door established and receives commands from C2 server
4
TrustSec to block P2P scanning, OS Finger printing activity, and exploitation.
5
Admin Node Используем
инфраструктуру для уменьшения зоны атаки
Cat 3850
User to User Policy Enforcement: Wired: Cat3750-X & Cat3560-X (IP-Base), Cat4500 Sup7E , Cat3850 Wireless: Catalyst 3650, Catalyst 3850 and WLC 5760
Защита от ВПО
57
Endpoint A
Exploits by sending payload 2
Segment A 1.1.1.101 1.1.1.102
DH
CP
D
HC
P
Endpoint B
802.1X
Name MAC Address SGT IP Address
Endpoint A 00:00:00:00:00:0a 7 1.1.1.101
Endpoint B 00:00:00:00:00:0b 7 1.1.1.102
SGT can be assigned via RADIUS attributes in 802.1X Authorization OR statically assign to VLAN
Cisco’s IP Device Tracking probes endpoint IP Address and binds it to SGT
1 Scan for open ports / OS
SG-ACL Egress Policy SRC \ DST 7
7 Anti-Malware-ACL
Anti-Malware-ACL deny icmp deny udp src dst eq domain deny tcp src dst eq 3389 deny tcp src dst eq 1433 deny tcp src dst eq 1521 deny tcp src dst eq 445 deny tcp src dst eq 137 deny tcp src dst eq 138 deny tcp src dst eq 139 deny udp src dst eq snmp deny tcp src dst eq telnet deny tcp src dst eq www deny tcp src dst eq 443 deny tcp src dst eq 22 deny tcp src dst eq pop3 deny tcp src dst eq 123 deny tcp match-all -ack +fin -psh -rst -syn -urg deny tcp match-all +fin +psh +urg permit tcp match-any +ack +syn
SG-ACL for SGT 7 is applied statically on switch or dynamically downloaded from ISE.
Filtering open port / OS fingerprint scanning prevents attacker to guess Application / OS specific vulnerabilities
SG-ACL stops unnecessary P2P communication, including one used for exploitation
Distribution SW
Attacker seeks other victims 3
Программно-управляемая сегментация в ЦОД
Классический контроль доступа и сегментация в ЦОД
59
• Разрозненные методы управления правилами
• Внедрение политик доступа в множестве мест
• Множественные изменения конфигурации при добавлении новых ресурсов
N2K N1Kv
N7K-A N7K-B
N5K-A
Firewall Firewall
N5K-B
vSwitch
Core
1. МСЭ
Вход/выход
Между группами серверов
2. Фильтры
IP-Based Access Control Lists
Server VLANs
Private VLANs
Possibly VRFs
Зависят от топологии!
TrustSec для сегментации и контроля доступа в ЦОД
60
• Общие объекты для МСЭ и фильтров • Сквозное управление
• Централизация и автоматизация управления фильтрами
• Масштабируемость
N2K N1Kv
N7K-A N7K-B
N5K-A
Firewall Firewall
N5K-B
vSwitch
Core
1. Security Group Firewall
2. Security Group ACLs
Политики фильтрации по SGT и адресам IP
Сегментация в виде простой матрицы доступа
Применяется ко всем коммутаторам Nexus –
масштабируемо и просто
Зоны безопасности
61
VLAN 100
Risk Level 1
ISE • VLAN-ы часто соответствуют зонам безопасности • Во многих случаях между разными зонами применяются
фильтры • Применение фильтров SGACL снижают использование TCAM
• Переход от обычных фильтров ACL на SGACL дает экономию от 60% to 88%
• Другой трафик может продолжать контролироваться МСЭ • VPC и Fabric Path поддерживаются с версии 7.2
Campus Network
PCI_Web PCI_App
LOB_App LOB_App
N7K-DST1(config)# vlan 100
N7K-DST1(config-vlan)# cts role-based sgt 100
N7K-DST1# show cts role-based sgt-map
IP ADDRESS SGT VRF/VLAN SGT CONFIGURATION
10.1.200.10 2000(PCI_Servers) vlan:200 Learnt through VLAN SGT configuration
10.1.200.77 2000(PCI_Servers) vlan:200 Learnt through VLAN SGT configuration
10.1.100.26 2000(PCI_Servers) vrf:1 CLI Configured
10.1.200.77 1000(Production_Servers)vrf:1 CLI Configured
VLAN 200
Risk Level 1
Внедрение на Nexus 1000V
62
VM VM VM VM
Nexus
1000V
VEM
Server
VM VM VM VM
Nexus
1000V
VEM
Hypervisor
TOR filters traffic based on SG-ACLs
Nexus 1000V VSM SXP for Firewall
SXP comes from VSM (not VEM)
TOR filters traffic based on SGACLs
N1000V: Assigns SGT based on
Port-profile Assignments
VEM filters traffic based on SG-ACLs
PCI
ISE
PCI
Hypervisor
Server
PCI
Inline Tagging on VEM Uplinks
TrustSec Policy from ISE
N1000v 5.2(1)SV3(1.1) - inline tagging and SGACL Enforcement
Комбинированное применение SGACL и SGFW
63
Risk Level 1
ISE
Risk Level 2
PCI_Web PCI_App PCI_DB
SXP SXP
LOB2_DB
PCI_Users
• SGACL на коммутаторах для применения политик внутри зон безопасности
• SGFW (ASA) для применения политик между зонами безопасности
TrustSec + ACI
Управление групповыми политиками в рамках всего предприятия
65
Сквозная политика безопасности
Упрощение управления защитой
Сквозная сегментация
Voice Employee Supplier BYOD
Campus / Branch / Non-ACI DC TrustSec Policy Domain
Voice VLAN
Data VLAN
Web App DB ACI Fabric
Data Center APIC Policy Domain
APIC DC
ISE 2.1
Домен ACI Домен TrustSec
TrustSec и ACI
66
TrustSec ACI
Идентификатор сегмента
16-bit Security Group Tag (SGT) 16-bit Endpoint Group (EPG)
Классификация Динамическая и статическая Динамическая и статическая
Распространение SGT-over-Ethernet (Inline tagging), SXP, LISP, pxGrid, IPSec
VxLAN
Реализация SG-ACL, SG-Firewall SG-based-PBR, SG-QoS
Contracts: ACL, QoS, Redirect (Service chaining)
Охват Вся сеть ЦОД
Управление Cisco ISE Cisco APIC
Настройка интеграции с ACI в ISE
67
ACI Settings: • Controller • Credentials • Tenant name defined in ACI • L3 Routed Network defined in
ACI
Группы TrustSec и ACI
68
ISE Dynamically provisions TrustSec Security Groups in ACI Fabric
ACI TrustSec
Группы безопасности Группы TrustSec представлены как внешние
EPG
APIC DC Максимум: 200 групп
Передача групп TrustSec в ACI
69
Передача групп TrustSec в ACI
70
Детальный контроль доступа
71
Data Center Campus / Branch
BYOD
Employee Supplier
APIC DC
Shared Policy Groups
Source Criteria Destination Criteria Service
Action IP SGT IP SGT
any Contractor any any Permit
ASA- SGFW (outside the fabric)
Outside Contract
App
Contract
Contract App
Web BYOD
Employees
Contract App Supplier
WEB_EPG 192.168.1.0/24 192.168.2.0/24
Целостное управление политиками между ЦОД
72
Web Servers
Middleware Servers
Database Servers Storage
Web Servers
MiddlewareServers
Database Servers
Storage
✓ ✓ ✓ ✓
X ✓ ✓ ✓
X ✓ ✓ ✓
X ✓ X X
TrustSec Group-Based Policies
TrustSec Data Center Data Center APIC DC
TrustSec-enabled data center
ISE
Router
TrustSec Policy Domain Prod server
Dev server
ACI policy domain
ACI Data Center
APIC DC
Dev server
Prod server
Enterprise Network
Guest endpoint
Employee endpoint
Developer endpoint
Non Compliant endpoint
8
Информация о приложениях в политиках TrustSec
73
ISE «обучается» внутренним EPGs и VM от фабрики ACI
ACI
VM1
VM1000
Домен TrustSec
TrustSec
Фабрика ACI
Политики TrustSec для контроля доступа к серверам ACI
APIC DC
Информация об группах узлов ACI в TrustSec
74
• В имя группы добавляется суффикс EPG • Привязка IP-SGT из ACI может передаваться через SXP на устройства TrustSec и на узлы pxGrid
Сквозная сегментация на базе политик
75
User to App Contracts
C DB Web
Web App DB
Voice Employee Supplier BYOD
ЦОД Домен APIC
Вся сеть Домен TrustSec
Общие групповые
политики
APIC DC
Поддержка сторонних производителей
Open TrustSec
77
• SXP and Inline Tagging submitted to the IETF :-
• ‘Source-Group Tag eXchange Protocol’ IETF Informational Draft https://datatracker.ietf.org/doc/draft-smith-kandula-sxp/
• SGT can be carried in standards-track Network Services Header (NSH)
• Allows for SGTs to be mapped to Source Class and Destination Class
• https://tools.ietf.org/html/draft-guichard-sfc-nsh-dc-allocation-01
Open Source TrustSec
78
SXP is now included in the Open Daylight SDN Controller https://www.opendaylight.org/whats-new-lithium Allows other vendors to integrate at Controller level instead of network
Open Source SXP implementation now available via Github https://github.com/opendaylight/sxp Allows other vendors to use to implement in their own products (e.g. we use this in ISE 2.0)
Check Point Software
79
CheckPoint получает информацию о метках SGT для различных групп через pxGrid (также как WSA и FTD).
Web Security Appliance (WSA)
Ecosystem Vendor
products
Firepower Threat
Defense
Bayshore Networks
80
Internet
Remote Access VPN Users
Per User SGT assignment from ISE
Assembly Zone
Пример: разные индустриальные партнеры имеют доступ в разные
зоны Bayshore IC™
(Industrial Controls) Gateway
Press & Weld
Zone
Paint & Plastic
Zone
Дизайн TrustSec Подходы
Дизайн TrustSec
82
Что защищаем и контролируем
Примеры: Карточные данные, Медицинские данные, Интеллектуальная собственность
Механизмы клссификации
Примеры: Dynamic, IP-SGT, VLAN-SGT И т.п.
Точки внедрения политик
• Сегментация ЦОД • Доступ полльзователей
Методы распространения
• Inline Tagging • SXP • DM-VPN • GET-VPN • IPSec • И т.п..
Знание о сетевых узлах поможет подобрать
нужные методы классификации и точки их
внедрения
Ваша инфраструктура поможет определить точки
внедрения политик
Понимание методов классификации и
возможностей по внедрению подскажет выбор методов
распространения
Итак! Внедряем эффективную сегментацию!
83
Обнаруживаем и классифицируем узлы:
Классификация и назначение меток SGT с ISE
Понимаем
функционирование
SGT в NetFlow
Stealthwatch
Внедрение политик:
Применение на коммутаторах,
точках доступа,
маршрутизаторах, МСЭ, и т.п.
Мониторинг:
Обнаружение нарушений
политик
Stealthwatch Сетевая
сегментация
Разработка и
моделирование
политик
SGT
И напоследок
Матрица поддержки функций TrustSec
85
http://www.cisco.com/c/en/us/solutions/enterprise-networks/trustsec/trustsec_matrix.html
Поддерживаемые функции и версии ПО для всей линейки продуктов компании Cisco
Руководства
#CiscoConnectRu #CiscoConnectRu
Спасибо за внимание! Оцените данную сессию в мобильном приложении конференции
© 2017 Cisco and/or its affiliates. All rights reserved.
Контакты:
Тел.: +7 495 9611410 www.cisco.com
www.facebook.com/CiscoRu
www.vk.com/cisco
www.instagram.com/ciscoru
www.youtube.com/user/CiscoRussiaMedia
Свяжитесь с нами
Тестируйте
Составьте план внедрения
Напишите нам на [email protected]
или своему менеджеру Cisco для организации
встречи для более глубокого обсуждения
ваших задач и того, как мы можем их
совместно решить
Воспользуйтесь широким спектром
возможностей по тестированию: • dCloud
• Виртуальные версии всего ПО
• Демо-оборудование
• И не забудьте про Threat Awareness Service
Мы поможем вам составить поэтапный план
внедрения решений по кибербезопасности
под ваши задачи
Что сделать после семинара?