Gaweł Mikołajczyk

Transkrypt

1 Gaweł Mikołajczyk Security Consulting Systems Engineer EMEA Central Core Team CCIE #24987, CISSP-ISSAP, CISA, C EH PLNOG10, February 28, 2013, Warsaw, Poland

3 Bezpieczeństwo L2 Segmentacja N-S Segmentacja E-W RBAC Service Sandwich FW LB IPS NAM Multitenant VMDC TrustSec intro Widoczność per VM Cisco and/or its affiliates. All rights reserved. Cisco Public 3

4 Firewall Clustering Virtual Tenant Edge Firewall Cloud Services Routing intro Segmentacja overlay z TrustSec ASA1000V VSG Nexus1000V vpath Cisco and/or its affiliates. All rights reserved. Cisco Public 4

7 Klient do Serwera Tenant do Współdzielonego Segmentu Inter-Tenant Intra-Tenant (ten sam segment) Intra-Tenant Segment-to-Segment Globalny VRF Globalne/ Współdzielone Segmenty ASA Context ASA Context Protected Zone Chroniony VRF (control point) Protected Zone Chroniony VRF (control point) Nexus 1000v Nexus 1000v vpath vpath VSG VSG Tenant 1 Współdzielony Segment Segment 1 Segment 2 Tenant 2 Współdzielony Segment Segment 1 Segment 2 Segment 3 Segment 3

9 Dualne podejście Przekierowanie ruchu z maszyny wirtualnej w VLAN do appliance fizycznego 1 2 Usługi bezpieczeństwa oparte hypervisora o appliance wirtualne Web Server Application Server Database Server Web Server Application Server Database Server Hypervisor Hypervisor VLANs Wirtualne Kontesty VSN VSN Tradycyjne Appliance i Moduły Wirtualne moduły serwisowe 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 9

10 Wirtualna sieć dostępowa Ochrona Hypervisora Bezpieczny dostęp zarządzania do Hypervisora Ochrona przed wyczerpaniem zasobów Kontrola nad ruchem sieciowym Separacja ruchu Inter-VM Umiejscowienie urządzeń/vm bezpieczeństwa? Multi-tenancy Uwierzytelnienie, Ochrona zasobów, Separacja zasobów Kto i za co jest odpowiedzialny? Audytowanie/Monitorowanie/Raportowanie Zgodność i Standardy 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 10

12 Domeny L2 w dużej skali: Dzięsiątki tysięcy portów wirtualnych Setki serwerów OpenStack Quantum API REST API Wspólne APIs OpenStack Quantum API dla automatyzacji / orchestracji Skalowalna segmentacja i adresacja DC Scalable DC: VXLAN Wirtualne appliance z service chaining / sterowaniem ruchu VSG (segmentacja E-W), ASA1000V (segmentacja N-S) vwaas (akceleracja ruchu) vpath Konieczne wsparcie wielu hypervisorów: ESX, Hyper-V, OpenSource Transport: VXLAN do VLAN GW ASA 1KV vwaas Wirtualne Usługi VSG Nexus 1000V Tenant 1 Hypervisor Tenant 2 Serwery Wirtualne Tenant 3 VXLAN Gateway Tenant 1: wirtualne zasoby chronione przez wirtualny firewall Sieć fizyczna (VLAN) Serwery Fizyczne ASA 5585-X Tenant 2: wirtualne zasoby chronione przez fizyczny firewall (via VXLAN GW) Tenant 3: wirtualne i fizyczne zasoby w jednej domenie L2 (via VXLAN GW) 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 12

13 Ethernet w sieci IP overlay Ramka L2 frame enkapsulowana w UDP DST/ Bajtów overhead Wspólny format Cisco, VMware, Red hat, Citrix Zawiera 24-bitowy segment ID Reprezentuje VXLAN ID 16 M segmentów sieci Przekracza limit 4096 VLAN Tunel pomiędzy VEMs VM podłączone do portów dostępowych VM NIE widzą segment ID IP multicast użyty dla L2 broadcast/multicast lub nieznanych adresów unicast Hosty ESXi hosts moga rezydować w różnych sieciach L3 VEM MAC Dest VEM MAC Src Transport VLAN 802.1Q VEM IP Dest VEM IP Src UDP VXLAN ID VM MAC Dest VM MAC Src L3 CRC Enkapsulacja VXLAN Oryginalna ramka Cisco and/or its affiliates. All rights reserved. Cisco Public 13

14 Nexus 1000V, CSR 1000V, ASA 1000V, VSG oraz vwaas Dzierżawca A DC dostawcy chmury CSR 1000V vwaas ASA 1000V VSG Dział A VSG Dział B Router WAN Przełączniki Serwery AppNav vpath Nexus 1000V Hypervisor Infrastruktura fizyczna Infrastruktura wirtualna CSR 1000V vwaas ASA 1000V VSG Nexus 1000V Brama WAN Routing i VPN Optymizacja WAN Kontrola aplikacji Brzegowy firewall Ruch WAN-LAN Ruch pomiędzy VM Rozproszony przełącznik NetFlow, TrustSec 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 14

15 SDN-enabled security services VM VM VM VM Pakiet dociera do vpath i jest przekazywany do pierwszego VSN zgodnie ze zdefiniowaną polityką. ASA 1000V Nexus 1000V ASA 1000V vpath VSN może przekazać pakiet z powrotem do vpath lub przekierować go do innego VSN. vpath oferuje mechanizmy: FastPath Service Chaining Ścieżkę powrotną z zachowaniem stanu Clustering dla skali w środowisku wirtualnym 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 15

16 Segmentacja wirtualnego brzegu VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM 5 4 VSG Nexus 1000V Distributed Virtual Switch vpath ASA 1000V 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 16

17 Virtual Tenant Edge Security vservice node ASA1 type asa ip address adjacency l2 vlan 3770 vservice node VSG1 type vsg ip address adjacency l3 vservice path chain-vsg-asa node VSG1 profile sp-web order 10 node ASA1 profile sp-edge order 20 port-profile type vethernet Tenant-1 org root/tenant-1 vservice path chain-vsg-asa Definicja Service Node w Nexus 1000V Chaining w kolejności od inside do outside. Enable the Service Chain Per Port-Profile 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 17

19 VM VM VM VM VM VM VM VM Nexus 1000V VSM Nexus 1000V VEM VMware vsphere Nexus 1000V VSM Nexus 1000V VEM Windows 8 Hyper-V VMware vcenter SCVMM Spójna architektura, funkcjonalności i usługi sieciowe w heterogenicznych środowiskach z wieloma hypervisorami w środowisku wirtualnym Cisco and/or its affiliates. All rights reserved. Cisco Public 19

20 Beta ruszyła. Cisco Nexus 1000V KVM Hypervisor Adapter Server Automatyzacja Openstack. VXLAN i VXLAN Gateway Zainteresowanie Cloud SP 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 20

22 Hybrid Cloud connectivity Enterprise Data Center Chmura Publiczna (każdy hypervisor) Bezpieczna Chmura Hybrydowa Chmura Prywatna Wirtualna Chmura Prywatna L2 Cloud Provider Bezpieczny Interconnect L2. Transport do chmury dostawcy w locie. Hypervisor-agnostic. Integracja zwirtualizowanych usług bezpieczeństwa z vpath. Cisco Nexus 1000V InterCloud: Cisco and/or its affiliates. All rights reserved. Cisco Public 22

23 PODEJŚCIE TRADYCYJNE Wybierz VM do migracji Zapisanie polityki sieci, L4-L7 Shutdown aplikacji Eksport VM Konwersja VM do formatu dostawcy Kreacja template z obrazu VM Kreacja instancji VM z template Start VM w chmurze Kreacja tunelu siteto-site Zmiana polityk sieciowych R PODEJŚCIE INTERCLOUD 1 2 Simplified Operations Rapid Provisioning Accelerated Time-to-Market Wybierz VM do migracji Wybierz chmurę docelową Zmigruj VM 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 23

25 Embedded Services Processor (active) Route Processor (active) FECP RP Crypto assist QFP subsystem Interconn. Interconn vcpu vmemory vdisk vnic Interconn SPA Agg. IOCP SPA SPA

26 Embedded Services Processor (active) Route Processor (active) FECP RP Wybrane funkcje Cisco IOS XE Crypto assist QFP subsystem Interconn. Virtual Route Processor (RP) Virtual Forwarding Processor (FP) Interconn vcpu vmemory vdisk vnic Zoptymalizowana do pojedynczych nabywców w DC Hypervisor (VMware / Citrix) CPU Memory Disk NIC Hardware Hypervisor Wirtualny przełącznik Serwer

27 Cisco IOS-XE w postaci paczki oprogramowania App OS App OS VPC/vDC CSR 1000V Wybrane funkcje Cisco IOS XE Virtual Route Processor (RP) Virtual Forwarding Processor (FP) Hypervisor Wirtualny przełącznik Zoptymalizowana do pojedynczych nabywców w DC Serwer Hypervisor Wirtualny przełącznik Serwer 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 27

29 DC ASR Oddział ISR Oddział ISR Router WAN Przełączniki CPD dostawcy chmury Serwery CSR 1000 V CSR 1000 V VPC/vDC VPC/vDC Korzyści JEDNA polityka bezpieczeństwa JEDNA konfiguracja VPN i routing IPSec VPN, DMVPN, EZVPN, FlexVPN Firewall, ACL, AAA Zalety Prosty, replikowalny model wdrożeniowy Skalowalny VPN London: Cisco and/or its affiliates. All rights reserved. Cisco Public 29

30 Ekspansja MPLS głębiej do chmury Router WAN Przełączniki CPD dostawcy chmury Serwery CSR 1000V VPC/vDC Wyzwanie Mapowanie ruchu Tenant VLAN do VRF Limit skalowalności 4K VLAN Rozwiązanie Terminacja MPLS głębiej w chmurze L3 Connectivity i routing do VPC/vDC Zalety VPC/vDC Większa gęstość środowiska MultiTenant MPLS EBGP 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 30

31 Rozszerzenie prywatnej chmury przez L2 Interconnect Koegzystencja z FlexVPN overlay WAN Centrala firmy CPD dostawcy chmury vcenter VNMC InterCloud VM VM InterCloud Node Nexus1KV InterCloud InterCloud Switch vswitch ESX Host ASR1K/ASR9K CSR1000V cvm cvm cvm Oddział ISR Cisco and/or its affiliates. All rights reserved. Cisco Public 31

34 IOS XE Listopad 2012 (IOS-XE 3.8) Marzec 2013 (IOS-XE 3.9) July 2013 (IOS-XE 3.10) Listopad 2013 (IOS-XE 3.11) Dostępny FCS I-post FCS Review Możliwości Wirtualizacja Management API Wydajność Kontrolowana dostępność Routing, NAT, DHCP, IPSec, DMVPN, FlexVPN, HSRP, AppNav, FW, MPLS, LISP VMware vsphere Std. (Cloning,..) Cisco Prime NCS VMware vcenter 4-vCPU /4-GB 50 Mbps Ogólna dostępność Multicast, L2TP, QoS, NetFlow, AVC, Full IPv6 VMware vsphere Ent. (vmotion, DRS,..) VMware vcloud Director 4-vCPU/ 4-GB 10/ 25/ 50 Mbps OTV, VXLAN Citrix Xen, Red Hat KVM Citrix XenCenter License, Interface, IPSec, Routing, FW, NAT, DHCP 2-vCPU/ 2-GB 10/25/50 Mbps, 2 to 8-GB GETVPN, SSLVPN, FIPS, Suite-B Amazon (AMI) Cisco VNMC DMVPN, FlexVPN, QoS, HSRP, OTV, MPLS,.. 1-vCPU/ 2-GB 10 Mbps to 1 Gbps, 2 to 8-GB Licencje Czasowe (1, 3, 5 yr) Bulk Usage, Perpetual 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 34

35 Propozycja: Licencja 5-letnia RTU ze wsparciem SASU. Funkcjonalności 10 Mbps 25 Mbps 50 Mbps 100 Mbps 250 Mbps 500 Mbps 1 Gbps IP Base $250 $500 $1,000 $2,500 $3,500 $5,000 $10,000 SEC (zawiera IPBase) $1,000 $1,500 $3,000 $10,000 $22,500 $28,500 $33,000 HSEC (zawiera SEC) N/A N/A N/A $11,500 $24,000 $31,500 $36,000 AX (zawiera IP Base) N/A N/A $2,000 $3,500 $4,500 $6,500 $12, Cisco and/or its affiliates. All rights reserved. Cisco Public 35

39