Bezpieczeństwo w Data Center w praktyce

Transkrypt

1 Bezpieczeństwo w Data Center w praktyce Cisco Digital Forum, 23 październik 2017 Krzysztof Banel Consulting Systems Engineer CCIE #9341

2 Dlaczego automatyzacja bezpieczeństwa? Bo wymagania dla sieci nigdy nie były tak wysokie jak dziś Cyfrowa rewolucja Złożoność Bezpieczeństwo 63 miliony włączanych nowych urządzeń na sekundę do X więcej wydatków na utrzymanie sieci niż na samą sieć 2 Nawet 6 miesięcy do wykrycia włamania 3 Mała świadomość biznesu i IT Wolne i podatne na błędy wdrażanie i zarządzanie Nieograniczony potencjał ataków 1: Gartner Report - Gartner s 2017 Strategic Roadmap for Networking 2. McKinsey Study of Network Operations for Cisco Ponemon Research Institute Study on Malware Detection, Mar 2016

3 Nowoczesna sieć: im więcej ją wykorzystujesz tym szybciej się uczy. Stale się uczy Nawet setek nowych urządzeń, aplikacji, użytkowników Intuicyjna sieć Stale się adaptuje Odpowiada błyskawicznie na potrzeby biznesu nawet przy szczupłym personelu IT i małym budżecie Stale się broni Rozpoznaje i przewiduje ataki i zagrożenia błyskawicznie reaguje

4 Sieć oparta o intencje Informowana kontekstowo Widocznosć ruchu i interpretacja zagrożeń Kto, Co, Kiedy, Gdzie, Jak Zasilona intencjami Translacja intencji użytkownika do polityki sieciowej Automatyzacja błyskawicznego uruchamiania i zarządzania milionami urządzeń Sterowana intuicją Samoucząca się inteligencja maszynowa na duża skalę Przewidywanie zachowań i potrzeb aby zapewnić wydajność i bezpieczeństwo

5 Cisco ACI Application Centric Infrastructure Deklaratywny model dla intuicyjnej sieci SDN BUSINESS POLICY INTENT API API DC1 DC n Cloud OpFlex OpFlex AVS-NG OpFlex AVS-NG OpFlex OVS/FD.io VDS WAN/Campus L4-L7 Services Sieć & Zakres polityk

6 Wirtualne przełączanie w Cisco ACI Fizyczne i wirtualne Otwarte API Zamknięte platformy Hypervisor Wykorzystanie standardowych vds lub przełącznika wirtualnego Cisco Wykorzystanie wydajności sprzętu i elastyczności oprogramowania dla idealnego modelu kosztów Udostępnianie i korzystanie z otwartych API dla integracji z dowolnym środowiskiem Otwarte platformy Hypervisor / Kontenery Integracja z przełącznikami open source jak np. Open vswitch czyfd.io

7 Kontroler APIC i wirtualne przełączanie Jeden kontroler dla wszystkich środowisk Spójna wirtualizacja sieci, mikrosegmentacja i polityki widziana całość ruchu APP APP APP APP APP APP APP AVSNG APP APP APP APP APP OS OS OS OS OS OS OS OS OS OS OS OS APP APP APP APP VDS Any vswitch KVM w/ OVS OS OS Docker w/ OVS OS OS N9K Leaf N9K Leaf OpFlex VMware vcenter Microsoft SCVMM Application Traffic Northbound APIs Policy and Visibility Point

8 Integracja ACI ze środowiskiem kontenerowym ACI i kontenery Spójne polityki sieciowe: kontenery, maszyny VM, serwery bare-metal Load balancing dla mikrousług zintegrowany w fabryce SDN wydajność i niezawodność Zabezpieczanie wielu środowisk, transparentna integracja polityk sieciowych Kubernetes i polityk ACI OpFlex Node OVS OpFlex Node OVS Widoczność: Bieżąca statystyka w APIC per kontener, metryka SLA (health)

9 Domena APIC dla Kubernetes VMM Administrator APIC może wyszukiwać węzły k8s, POD-y, usługi APIC inwentaryzuje POD-y i ich metadane (labels, annotations), wdrożenia, repliki, itd. Wizualizacja POD-a per węzeł, mapowanie do enkapsulacji, fizycznego dołączenia do fabryki.

10 ACI Anywhere Dowolne środowisko, dowolna lokalizacja, dowolna chmura ACI Anywhere Zdalny PoD Multi-Pod / Multi-Site Chmura hybrydowa IP WAN IP WAN Wyniesiona lokalizacja Chmura prywatna Chmura publiczna Wszędzie bezpieczeństwo Wszędzie analityka Wszędzie polityka 22

11 Bezpieczeństwo i mikrosegmentacja w ACI Prostota, wielość środowisk, skalowalność Funkcjonalność zintegrowana w ACI Zewnętrzne integracje usług L4-L7 Ochrona inwestycji Polityki środowiska wirtualne i fizyczne Automatyczne audytowanie, wykrywanie, ograniczanie Stateful firewall i Mikrosegmentacja Wykorzystanie mozliwości i rozwiązań 3rd party

12 Segmentacja sieciowa w ACI Mikrosegmentacja niezależna od hypervisora W oparciu o segmenty EPG W oparciu o atrybuty/tagi Wewnątrz segmentów EPG PROD POD DMZ VLAN 1 VXLAN 2 Quarantine Compromised Workloads Isolate Workloads within Application Tier SHARED SERVICES VLAN 3 Basic DC Segmentation Network-Centric Segmentation Application Tier Policy Group DEV WEB Isolate Intra-EPG Isolation TEST APP FW FW All Workloads Can Communicate PROD Application Lifecycle Segmentation DB Service Level Segmentation IP OS Linux ACI Benefits Name Video Application Tier Policy Group Mikrosegmentacja w oparciu o polityki dostępna dla dowolnego środowiska VMware VDS MSFT Hyper-V KVM Cisco AVS Physical

13 Przykład mikrosegmentacji w ACI Wiele aplikacji webowych podzielonych na bloki, korzystających ze wspólnej fizycznej DB i oddzielonych od siebie WEB-TIER Web VM WEB-APP SUBNET DB SUBNET Web VM APP-TIER App VM App VM Fizyczna baza SQL Bloki WEB i APP jako maszyny VM dzielące jedną podsieć (segment) Ruch między WEB i APP musi byc filtrowany (firewall) Aplikacje łączą się z bazą SQL na serwerze bare metal Model bezpieczeństwa White-List Model dla bezpieczeństwa(zero-trust) Zautomatyzowane wdrożenie polityk

14 Uruchom wszystkie maszyny VM w tym samym segmencie staging Stwórz bazowe EPG. Pozwól na dostęp do narzędzi, usług uruchamiania, itp. dns proxy-svc ansible monitor Internet extepg Proxy extepg Ansible L3Out MasterEPG BaseEPG- Web-Tier Monitoring Web-Tier PortGroup (BaseEPG) (PVLAN 2300/2301) W czasie uruchamiania maszyny VMs mają dostęp tylko do odp. narzędzi SQL DB

15 Stwórz Mikro-EPG wraz z zasadami kwalifikacji maszyn VM do nich Stwórz uepg i sklasyfikuj zadanie używając atrybutów VM Attributes (np. Tagów) uepg-web Tag==Web AND Tag==Prod uepg-app Tag==App AND Tag==Prod dns proxy-svc ansible monitor Internet extepg Proxy extepg Ansible L3Out MasterEPG BaseEPG- Web-Tier Monitoring SQL DB Web-Tier PortGroup (BaseEPG) (PVLAN 2300/2301)

16 Stwórz politykę bezpieczeństwa dla swojej aplikacji Kontrakty automatycznie dziedziczone Opcjonalnie uepgs mogą dziedziczyć polityki z Base EPG uepg-web Tag==Web AND Tag==Prod uepg-app Tag==App AND Tag==Prod dns proxy-svc ansible monitor Internet extepg Proxy extepg Ansible L3Out MasterEPG BaseEPG- Web-Tier Monitoring SQL DB Web-Tier PortGroup (BaseEPG) (PVLAN 2300/2301)

17 Stwórz politykę bezpieczeństwa dla swojej aplikacji web-service uepg-web Tag==Web AND Tag==Prod uepg-app Tag==App AND Tag==Prod App-service dns proxy-svc ansible monitor Internet extepg Proxy extepg Ansible L3Out MasterEPG BaseEPG- Web-Tier Monitoring SQL-DB Web-Tier PortGroup (BaseEPG) (PVLAN 2300/2301) Dodaj kontrakty odpowiednie dla Twojej aplikacji SQL DB

18 Dodaj Tagi maszynom VM - wpadną do swoich uepg web-service app-service PolItyki dla maszyn VM zostają automatycznie przyłożone bez rekonfiguracji hypervisora. Polityki podążają za maszyną VM dns proxy-svc ansible monitor Internet extepg Proxy extepg L3Out Ansible uepg-web uepg-app MasterEPG Web Web App App BaseEPG- Web-Tier Monitoring Prod Prod Prod Prod SQL-DB Web-Tier PortGroup (BaseEPG) (PVLAN 2300/2301) SQL DB

19 Mikrosegmentacja dla maszyn bare metal, maszyn VM na wielu vcenter i w wielu ośrodkach DC Spójne polityki dla wielu ośrodków DC SITE 1 IP connectivity SITE 2 vcenter1 vcenter2 SQL-EPG Cluster-01 Spójna klasyfikacja do Mikro-EPG w oparciu o atrybuty Cluster-02 Web Prod App Prod uepg-web uepg-app Web Prod App Prod

20 Integracja usług L4-7 : współpraca i rozciągnięcie domeny automatyzacji APIC-a ADC Security Management Security Enforcement

21 Podstawa modelu bezpieczeństwa: Polityki oparte o identyfikację Policy Discovery, Monitoring and Control Embedded L4 Security Embedded Sensors Next Gen Stateful L4-7 Visibility and Control Identity and Policy Federation Multi-Tier Sensor Data Gathering MACSEC and INS-SEC Encryption Servers (Physical, Virtual, Containers, Micro Services) Firewall at Each Leaf switch Branch QoS Filter Web1 QoS Service App1 QoS Filter DB Identity & Policy Driven Security Architecture

22 Łączenie domen identyfikacji Kampus - DC Po zdefiniowaniu aplikacji w Data Center jak mapować użytkowników? ISE + ACI umożliwiaja mapowanie między użytkownikiem i zasobem w Data Center ISE TrustSec Policy Domain APIC Policy Domain Campus / Branch / Non-Fabric TrustSec Policy Domain Policy Domains APIC Data Center APIC Policy Domain Data Plane Voice Employee Supplier BYOD Voice VLAN Data VLAN TrustSec domain (VXLAN) WAN TrustSec Border Router ACI Fabric Web App DB ASR 1K Nexus 7K (ACI 2.3) Campus/Branch

23 BRKACI Cisco and/or its affiliates. All rights reserved. Cisco Public

24 Wyzwanie dla bezpieczeństwa w nowoczesnych Data Center Zabezpieczanie aplikacji stało się trudne Szybkie wdrażanie aplikacji CD ciągly development Mobilność aplikacji Mikro usługi Wdrażanie polityk Heterogeniczne sieci Model Zero-Trust White List Zgodność polityk Aplikacje są napędem dla infrastruktury w nowoczesnych DC

25 Analityka Cisco Tetration model bezpieczeństwa PROTECT Discover Enforce Harden DETECT Block Defend REMEDIATE Scope Contain Network Server Branch Virtual Cloud Enforcement Compliance Continuous

26 Architektura analityki Cisco Tetration Zbieranie danych - telemetria Maszyna analityczna Otwarty dostęp Software Sensor and Enforcement Web GUI Embedded Network Sensors (Telemetry Only) Cisco Tetration Analytics Cluster REST API Event Notification Third Party Sources (Configuration Data) Tetration Apps ü Self Managed Cluster ü No Hadoop / Data Science Background Needed ü Easy Integration via Open interfaces ü One Touch Deployment ü No External Storage Needed ü Open Data Lake (via Tetration Apps)

27 Nowy model bezpieczeństwa: Przed zagrożeniem PROTECT Discover Enforce Harden DETECT Block Defend REMEDIATE Scope Contain Co jest aplikacją? Jak grupować elementy aplikacji? Jak tworzyć intencje polityk? Jak je wymuszać?

28 Tetration Application Discovery Mapping (ADM) Tetration Infrastruktura sieciowa VLAN = BD = EPG Web App DB Bez polityki Analytics Engine Cisco Tetration Analytics Platform Rozpoznawanie aplikacji i śledzenie Aplikacje Web (tet-web) App (tet-app) DB (tet-db) Polityka bezpieczeństwa BRKACI Cisco and/or its affiliates. All rights reserved. Cisco Public 28

29 Identyfikacja środowisk i komunikacji Telemetry Data Ingestion Pipeline Workload: X IP: Insight Exchange Identity Repository Workload: X IP: Lifecycle: Production Restricted: PCI Location: AWS SGT: 20 URL: Username: steven

30 Identyfikacja w sieci kampusowej (SGT) Automatycznie propagowana do Tetration Tetration ISE Controller Tetration dynamically learns User Bindings via annotations and filters 30

31 Segmentacja intencja wyrażona w ludzkim języku Np. Development nie może się łączyć z Produkcją Tetration wie kto reprezentuje Development Tetration wie kto reprezentuje Produkcję Polityki są ciągle aktualizowane w miarę zmian aplikacji

32 Jak to działa? Tetration automatycznie konwertuje intencję do postaci white list Intent Rules Zablokuj ruch aplikacji nieprodukcyjnych do aplikacji produkcyjnych Pozwól na dostęp aplikacjom HR do bazy pracowników Zablokuj wszystkie połączenia HTTP które nie są kierowane do serwerów Web SOURCE /8 DEST /8 SOURCE /24 DEST /24 SOURCE * DEST /24 PORT = 80 SOURCE * DEST * PORT = 80

33 Wdrażanie polityki w dowolnym miejscu Cisco Tetration Analytics Google Google 1. Unikalna polityka dla każdego agenta 2. Wysyła politykę do wszystkich agentów Azure Azure Amazon Amazon 3. Agent wdraża politykę na lokalnym FW 4. Ciągłe wyznaczanie polityki na podstawie zmieniającej się identyfikacji i klasyfikacji Public Cloud Bare Metal Virtual Cisco ACI TM* Traditional Network

34 Model bezpieczeństwa analityki Tetration PROTECT Discover Enforce Harden DETECT Block Defend REMEDIATE Scope Contain Która komunikacja wykracza poza ramy? Przeszukiwanie w czasie rzeczywistym i historyczne Jakie są wyjątki? Powszechne wdrażanie nowych reguł `

35 Weryfikacja polityki w rzeczywistym środowisku Polityka oparta na intencji w Tetration Polityka monitorowana w czasie rzeczywistym dla sprawdzania zgodności i odchyleń Sprawdzanie wpływu nowej polityki w czasie rzecz. Symulowanie zmiany polityki na historycznym ruchu Pokazywanie odchyłek ruchu dla szybkiej orientacji Audyt staje się funkcją uczenia maszynowego

36 Model bezpieczeństwa analityki Tetration PROTECT Discover Enforce Harden DETECT Block Defend REMEDIATE Scope Contain Kwarantanna problematycznych hostów Wysłanie alertu do SIEM Integracja z orkiestratorami bezpieczeństwa

37 Analityka Tetration : otwarty system Northbound application Northbound consumers Northbound consumers Kafka Broker Interfejs API (programistyczny) Publikacja komunikatów Aplikacje dla Tetration Kafka Cisco Tetration Analytics Platform REST API Przeszukiwanie flow ów Zarządzanie sensorami Push Notification Niestandardowe zdarzenia Zdarzenia definiowane przez użytkowników Tetration Apps Dostęp do danych Tworzenie własnych aplikacji

38 ACI + Tetration: zasilane intencjami Policy ACI Fabric Tetration Analytics Network Policy Enforcement Host Security Enforcement

39 Q&A Cisco Digital Forum, 23 październik 2017 Krzysztof Banel Consulting Systems Engineer CCIE #9341

40 ACI Anywhere Any Workload, Any Location, Any Cloud Multi-Site Security Everywhere Analytics Everywhere Policy Everywhere Site A Site B Site C Public Cloud* VM VM VM *Future

41 Tetration Analytics Everywhere Pervasive Policy Across Multicloud Cisco Tetration (39RU) Tetration M (8RU) Cisco Tetration Analytics Tetration Cloud Cisco Tetration Analytics Coming Soon