Cisco TrustSec. Security Group Tags (SGT) Segmentacja Overlay Następnej Generacji. Gaweł Mikołajczyk gmikolaj@cisco.com

Cisco TrustSec Security Group Tags (SGT) Segmentacja Overlay Następnej Generacji Gaweł Mikołajczyk gmikolaj@cisco.com Security Technical Solutions Architect CCIE #24987, CISSP-ISSAP, CISA, C EH PLNOG11, September 30, 2013, Kraków, Poland 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 1

2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 2

Marzec 2012 Bezpieczeństwo L2 Segmentacja N-S Segmentacja E-W RBAC Service Sandwich FW LB IPS NAM Multitenant VMDC TrustSec intro Widoczność per VM http://plnog.pl/spotkanie-8-marzec/materialy http://www.youtube.com/watch?v=kocinci4au0 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 3

Październik 2012 Firewall Clustering Virtual Tenant Edge Firewall Cloud Services Routing intro Segmentacja overlay z TrustSec ASA1000V VSG Nexus1000V vpath http://plnog.pl/spotkanie-9-pazdziernik/materialy-2013-krakow http://www.youtube.com/watch?v=wq_da2buttw 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 4

Luty 2013 SDNizing the DC Virtual DC Security VXLAN vpath Service Chaining N1kV dla Hyper-V N1kV dla KVM (ß) N1kV InterCloud CSR1000V Cloud Services Router - IOS-XE architecture - MPLS use case - FlexVPN use case http://plnog.pl/spotkanie-10-luty/materialy http://www.youtube.com/watch?v=4stqjvadwvq 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 5

2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 6

Źródło Wszystkich Danych Routuje Wszystkie Zapytania Obsługuje Wszystkie Urządzenia Kontroluje Wszystkie Przepływy Widzi Cały Ruch Dotyka Wszystkich Użytkowników Zintegrowane i Holistyczne podejście oparte o SIEĆ

0 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 8

Wstęp do SGT Segmentacja VLAN Filtrowanie dacl na wejściu Data VLAN Voice VLAN Quarantine VLAN Data VLAN Voice VLAN L2 Access L3 Distribution L2 Access Distribution Subnet DHCP Scope IP Address Design STP HSRP VACL PBR permit ip any 10.1.100.0/24 deny udp any 192.1.23.0/24 eq 445 permit tcp any 192.1.23.0/24 eq 80. Oparte o standardy (agnostyczne od producenta) Łatwa implementacja Ukryte koszty implementacji Potrzeba kreacji wszędzie nowych VLANów Punkt definicji polityk i ACL nadal statyczne Pracochłonne utrzymanie zmian chronionych zasobów Niezależne od topologii (podmieniamy źródło) Centralnie zarządzana polityka (Dynamiczne przypisanie) Wszystkie chronione zasoby muszą być zdefiniowane Wyzwanie z pojemnością ACE w TCAM Pracochłonne utrzymanie zmian chronionych zasobów 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 9

Wstęp do SGT NY SF LA NY 10.2.34.0/24 10.2.35.0/24 10.2.36.0/24 10.3.102.0/24 10.3.152.0/24 10.4.111.0/24. DC-MTV (SRV1) DC-MTV (SAP1) DC-RTP (SCM2) Serwery Produkcyjne SJC DC-RTP (VDI) Source Tradycyjne Reguły ACL/FW Destination permit NY to SRV1 for HTTPS deny NY to SAP2 for SQL deny NY to SCM2 for SSH permit SF to SRV1 for HTTPS deny SF to SAP1 for SQL deny SF to SCM2 for SSH permit LA to SRV1 for HTTPS deny LA to SAP1 for SQL deny LA to SAP for SSH Globalny Bank = dedykowanych 24 inżynierów ACL dla 3 obiektów source & 3 destination dla zarządzania regułami Firewalli Permit SJC to SRV1 for HTTPS Wysoka złożoność deny SJC to SAP1 replikowalnych for SQL Dodanie source czynności Object administracyjnych deny SJC to SCM2 for SSH permit NY to VDI for RDP deny SF to VDI for RDP deny LA to VDI for RDP deny SJC to VDI for RDP Dodanie destination Object 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 10

Wstęp do SGT SGT = Security Group Tags, czyli Znaczniki Grup Bezpieczeństwa SGT pozwalają zdefiniować politykę w sensowny, wysokopoziomowy sposób Klasyfikacja kontekstualna Polityka Biznesowa TAG Security Group Tag Destination Source HR Database Prod HRMS Storage Exec BYOD X X X Rozproszone wymuszenie polityki Exec PC X X Prod HRMS HR Database X Switch Router DC FW DC Switch 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 11

Wstęp do SGT Marketing NY SF LA SJC DC-MTV (SRV1) DC-MTV (SAP1) DC-RTP (SCM2) DC-RTP (VDI) Production Servers BYOD Source SGT: Employee (10) Security Group Filtering Destination SGT: Production_Servers (50) BYOD (200) VDI (201) Polityka podąża za użytkownikiem / maszyną niezależnie od lokalizacji / topologii Permit Employee to Production_Servers eq HTTPS Permit Employee to Production_Servers eq SQL Permit Employee to Production_Servers eq SSH Uproszczony Audyt (Niższy OPEX) Permit Employee to VDI eq RDP VDI Servers Łatwiejsze utrzymanie reguł bezpieczeńswa (Optymalizacja) Deny BYOD to Production_Servers Deny BYOD to VDI eq RDP 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 12

Wstęp do SGT Użytkownicy / Urządzenia Klasyfikacja ISE Enforcement Directory Fin Servers SGT = 4 SGT:5 HR Servers SGT = 10 Switch Router DC FW DC Switch Transport SGT SGT jest rozwiązaniem kontroli ruchu sieciowego end-to-end Klasyfikacja systemów/użytkowników oparta jest o kontekst (rola użytkownika, urządzenie, lokalizacja, metoda dostępu) Klasyfikacja kontekstowa jest propagowana z użyciem SGT SGT jest używane przez urządzenia sieciowe dla inteligentnych decyzji związanych z filtrowaniem ruchu od Kampusu po Data Center 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 13

I 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 14

Klasyfikacja Klasyfikacja Zarządzanie Politykami Catalyst 2K Catalyst 3K Catalyst 4K Catalyst 6K WLC (7.2) Nexus 7000 Nexus 5000 Nexus 1000v ASA (Roadmap) Identity Services Engine Enforcement WLAN LAN Remote Access (roadmap) N7K / N5K (SGACL) Cat6K (SGACL) Cat3K-X (SGACL) ASA (SGFW) ASR1K/ISRG2 (SGFW) Transport Cat 2K-S (SXP) Cat 3K (SXP) Cat 3K-X (SXP/SGT) Cat 4K (SXP) Cat 6K Sup2T (SXP/SGT) N7K (SXP/SGT) N5K (SGT) N1Kv (SXP) ASR1K (SXP/SGT) ISR G2 (SXP) ASA (SXP) MACsec Capable with Tagging: Cat3K-X, Cat6K-Sup2T, N7K 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 15

Klasyfikacja Interfejs SVI do SGT Klasyfikacja użytkownika / urządzenia do SGT Mapowanie serwera fizycznego do SGT Campus Access Distribution Core DC Core EOR DC Access Enterprise Backbone SRC: 10.1.100.98 Hypervisor SW Mapowanie VLAN do SGT WLC FW Urządzenie BYOD jest klasyfikowane do SGT Mapowanie maszyny wirtualnej do SGT 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 16

Klasyfikacja Proces mapowania SGT do Adresu IP Może być Statyczna lub Dynamiczna Dynamiczna 802.1X MAC Authentication Bypass Web Authentication Statyczna IP to SGT Mapping VLAN to SGT Mapping Subnet to SGT Mapping L2 Interface to SGT Mapping L3 Interface to SGT Mapping Nexus Port Profile to SGT Mapping Layer 2 IP to Port Mapping 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 17

Klasyfikacja Suplikant Switch / WLC ISE 00:00:00:AB:CD:EF Layer 2 Layer 3 EAPoL Transaction RADIUS Transaction EAP Transaction 1 Authorized MAC: 00:00:00:AB:CD:EF SGT = 5 Authorization SGT Authentication Authorized 0 Ewaluacja Polityki 2 DHCP cisco-av-pair=cts:security-group-tag=0005-01 DHCP Lease: 10.1.10.100/24 ARP Probe IP Device Tracking Binding: 00:00:00:AB:CD:EF = 10.1.10.100/24 3 SRC: 10.1.10.1 = SGT 5 3560X#show cts role-based sgt-map all details Active IP-SGT Bindings Information IP Address Security Group Source ============================================= 10.1.10.1 3:SGA_Device INTERNAL 10.1.10.100 5:Employee LOCAL Wymagany jest IP Device Tracking 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 18

Klasyfikacja 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 19

Klasyfikacja Przykład IOS CLI Mapowanie IP do SGT cts role-based sgt-map A.B.C.D sgt SGT_Value Mapowanie L2IF do SGT * (config-if-cts-manual)#policy static sgt SGT_Value Mapowanie VLAN do SGT* cts role-based sgt-map vlan-list VLAN sgt SGT_Value Mapowanie L3IF do SGT** cts role-based sgt-map interface name sgt SGT_Value Mapowanie Podsieci do SGT cts role-based sgt-map A.B.C.D/nn sgt SGT_Value Mapowanie L3 ID do Portu** (config-if-cts-manual)#policy dynamic identity name * Zależy od IP Device Tracking ** Zależy od Route Prefix Snooping 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 20

Klasyfikacja Switche/AP 3 rd Party lub Legacy VLAN 10 -> Employee: SGT (10/000A) VLAN 11 -> Contractor: SGT (11/000B) Łącze Trunk 802.1X RADIUS Contractor MAC:0050.56BC.14AE 11.11.11.11/32 Cat6500/Sup2T 3K-X ISE 1.1 Pracownik MAC:0070.56BC.237B 10.1.10.100/32 Traffic MAC Address Port SGT IP Address VLAN 0050.56BC.14AE Fa2/1 11/000B 11.11.11.11 11 0070.56BC.237B Fa2/1 10/000B 10.1.10.100 10 Cat6500/Sup2T 3K-X IP Device Tracking (ARP/DHCP inspection) SXP Binding Table Tagging SRC: 11.11.11.11 SGT (11/000B) 11.11.11.11 N7K SRC: 10.1.10.100 SGT (10/000A) 10.1.10.100 * Istnieją limity wspieranych VLANs 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 21 Tagging

Klasyfikacja Monitorowanie prefiksów routingu na określonym interfejsie L3 i przypisanie SGT Może być zaaplikowane do interfejsu L3 niezależnie od rodzaju interfejsu fizycznego: Routed port SVI (interfejs VLAN interface) Subinterfejs Layer 3 portu Layer 2 Tunnel interface cts role-based sgt-map interface GigabitEthernet 3/0/1 sgt 8 cts role-based sgt-map interface GigabitEthernet 3/0/2 sgt 9 Route Updates 17.1.1.0/24 VSS-1#show cts role-based sgt-map all Active IP-SGT Bindings Information IP Address SGT Source ======================================== 11.1.1.2 2 INTERNAL 12.1.1.2 2 INTERNAL 13.1.1.2 2 INTERNAL 17.1.1.0/24 8 L3IF 43.1.1.0/24 9 L3IF 49.1.1.0/24 9 L3IF Joint Ventures g3/0/1 EOR DC Access Business Partners g3/0/2 Route Updates 43.1.1.0/24 49.1.1.0/24 Hypervisor SW 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 22

II 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 23

Classification Zarządzanie Politykami Catalyst 2K Catalyst 3K Catalyst 4K Catalyst 6K WLC (7.2) Nexus 7000 Nexus 5000 Nexus 1000v Identity Services Engine Enforcement WLAN LAN Remote Access (roadmap) N7K / N5K (SGACL) Cat6K (SGACL) Cat3K-X (SGACL) ASA (SGFW) ASR1K/ISRG2 (SGFW) Transport Cat 2K-S (SXP) Cat 3K (SXP) Cat 3K-X (SXP/Inline) Cat 4K (SXP) Cat 6K Sup2T (SXP/Inline) N7K (SXP/Inline) N5K (SXP Speaker/Inline) N1Kv (SXP Speaker) ASR1K (SXP/Inline) ISR G2 (SXP) ASA (SXP) MACsec Capable z Tagowaniem: Cat3K-X, Cat6K-Sup2T, N7K, N5K 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 24

Transport ETHTYPE:0x8909 DMAC SMAC 802.1Q CMD ETYPE PAYLOAD CRC Security Group Tag CMD EtherType Version Length SGT Opt Type SGT Value Other CMD Options Cisco Meta Data 16 bit (64K Name Space) CMD Tylko overhead SGT Ethernet Frame field Ramka jest tagowana na porcie wejściowym urządzenia SGT-capable Proces tagowania zaczyna przed usługami L2, jak QoS Nie ma wpływu na IP MTU/Fragmentację Wpływ na MTU Ramki L2: ~ 20 bajtów= mniej niż baby giant (~1600 bajtów z 1552 bajtami MTU) Wsparcie dla N7k/N5k. Wsparcie ISR/ASR w trakcie. 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 25

Transport ETHTYPE:0x88E5 Encrypted field by MACsec Security Group Tag DMAC SMAC 802.1AE Header 802.1Q CMD ETYPE PAYLOAD ICV CRC CMD EtherType Version Length SGT Opt Type SGT Value Other CMD Options Cisco Meta Data 16 bit (64K Name Space) Ethernet Frame field 802.1AE Header CMD ICV jest to narzut L2 802.1AE + SGT Ramka jest tagowana na porcie wejściowym urządzenia SGT-capable Proces tagowania zaczyna przed usługami L2, jak QoS Nie ma wpływu na IP MTU/Fragmentację Wpływ na MTU Ramki L2: ~ 40 bajtów= mniej niż baby giant (~1600 bajtów z 1552 bajtami MTU) MACsec jest opcjonalny 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 26

Transport SXP jest protokołem Control Plane, który służy do transportu mapowań IP- SGT SXP używa TCP jako protokołu transportowego Przyspiesza wdrożenie SGT Speaker SXP Listener SW SXP (Agregacja) RT Wspiera Single Hop SXP & Multi-Hop SXP (agregacja) SW SXP Dwie role: Speaker (nadawca) i Listener (odbiorca) SW 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 27

Transport Inline SGT Tagging SXP CMD Field IP Address SGT 10.1.100.98 50 ASIC Opcjonalnie zaszyfrowane ASIC ASIC L2 Ethernet Frame SRC: 10.1.100.98 Campus Access Distribution Core DC Core EOR DC Access Enterprise Backbone SXP SRC: 10.1.100 Hypervisor SW WLC Inline SGT Tagging: Wsparcie sprzętowe na platformie SXP: Jeżeli urządzenie nie wspiera Inline (non SGT-capable) FW IP Address SGT SRC 10.1.100.98 50 Local SXP IP-SGT Binding Table 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 28

Transport IP Src: 10.1.3.2 Dst: 10.1.3.1 TCP Src Port: 16277 Dst Port: 64999 Flags: 0x02 (SYN) IP Src: 10.1.3.2 Dst: 10.1.3.1 TCP Src Port: 16277 Dst Port: 64999 Flags: 0x10 (ACK) Speaker TCP SYN TCP SYN-ACK IP Src: 10.1.3.1 Dst: 10.1.3.2 TCP Src Port: 64999 Dst Port: 16277 Flags: 0x12 (SYN, ACK) Listener 10.1.10.100 (SGT6) CTS6K 10.1.3.2 TCP ACK SXP OPEN CTS7K 10.1.3.1 ISE 1.1 IP Src: 10.1.3.2 Dst: 10.1.3.1 TCP Src Port: 16277 Dst Port: 64999 Flags: 0x10 ( ACK) SXP Type: Open Version: 1 Device ID: CTS6K IP Src: 10.1.3.2 Dst: 10.1.3.1 TCP Src Port: 16277 Dst Port: 64999 Flags: 0x10 (ACK) SXP Type: Update Update Type: Install IP Address: 10.1.10.100 SGT: 6 SXP UPDATE SXP OPEN_RESP IP Src: 10.1.3.1 Dst: 10.1.3.2 TCP Src Port: 64999 Dst Port: 16277 Flags: 0x18 (PSH, ACK) SXP Type: Open_Resp Version: 1 Device ID: CTS7K 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 29

Transport Single-Hop SXP SXP Speaker Listener Domena Non-TrustSec SGT Enabled SW/WLC SGT Capable HW Multi-Hop SXP SXP SXP Speaker Listener Speaker Listener SGT Enabled SW/WLC SGT Enabled SW SGT Capable HW Speaker SXP SGT Enabled SW/WLC 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 30

Transport Data Center IP Address SGT 10.1.10.1 Contractor - 10 10.1.10.4 Employee - 30 N7K NDAC/SAP 802.1AE Encryption 10.1.254.1 Contractor - 10 10.1.254.4 Employee - 30 SXP 6K w/720 6K w/ SUP 2T ISRG2 15.2(2)T ASR1K - IOS XE 3.4 ASR1K Listener-1 SXP ASR1K Listener-2 Cat6K(SUP 2T) - IOS 12.2(50)SY1 SXP WAN SXP Jednokierunkowy transport Enforcement branch do DC Speaker-1... Speaker-300 IP Address SGT IP Address SGT 10.1.10.1 10.1.10.4 Contractor - 10 Employee - 30 10.1.254.1 10.1.254.4 Contractor - 10 Employee - 30 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 31

Transport Data Center N7K ASR1K 3.9 Cat6K (SUP 2T) 15.1(1)SY ISR-G2 15.3(2)T Dwukierunkowe SXP z wykrywaniem pętli IP Address 10.1.10.1 10.1.10.4 10.1.254.1 10.1.254.4 SGT Contractor - 10 Employee - 30 Contractor - 10 Employee - 30 ASR1K 6K 6K ASR1K Pozwala headendowi ASR1K być relay IP/SGT remote-toremote SXPv4 Listener-1 WAN Listener-2 SXPv4 IP Address 10.1.10.1 10.1.10.4 10.1.254.1 10.1.254.4 SGT Contractor - 10 Employee - 30 Contractor - 10 Employee - 30 Speaker-1 IP Address 10.1.254.1 10.1.10.1 10.1.254.4 10.1.10.4 10.1.254.1 10.1.254.4... Speaker-300 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 32 SGT Contractor - 10 Employee - 30 Contractor - 10 Employee - 30

Transport SGACL WLC MACSec AP SGT L2 Frame Finance Catalyst Switch ISE Catalyst Switch Branch Network IPSEC Nexus 5500/2000 SXP Internet Employee Catalyst Switch Admin Remote Networks IPSEC Catalyst 6500 Nexus 7000 Data Center Contractor IPSec inline Tagging Nagłówek ESP Wymiana SGT Capability w trakcie negocjacji IKEv2 Pobieranie SGT z SXP lub metod Autoryzacji Wsparcie dla Site-to-Site IPSec DMVPN, DVTI, SVTI 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 33

Transport SGACL MACSec AP Finance WLC ISE SGT L2 Frame Catalyst Switch Branch Network GETVPN Catalyst 6500 Nexus 5500/2000 SXP Internet Employee GETVPN Remote Networks Nexus 7000 Data Center HR GETVPN Catalyst Switch Contractor ISR-G2 15.3T i ASR 3.9 GETVPN inline Tagging nagłówek GET Wymiana SGT Capability w trakcie negocjacji GET/GDOI Pobieranie SGT z SXP lub metod Autoryzacji 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 34

III 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 35

Classification Zarządzanie Politykami Catalyst 2K Catalyst 3K Catalyst 4K Catalyst 6K WLC (7.2) Nexus 7000 Nexus 5000 Nexus 1000v Identity Services Engine Enforcement WLAN LAN Remote Access (roadmap) N7K / N5K (SGACL) Cat6K (SGACL) Cat3K-X (SGACL) ASA (SGFW) ASR1K/ISRG2 (SGFW) Transport Cat 2K-S (SXP) Cat 3K (SXP) Cat 3K-X (SXP/SGT) Cat 4K (SXP) Cat 6K Sup2T (SXP/SGT) N7K (SXP/SGT) N5K (SGT) N1Kv (SXP) ASR1K (SXP/SGT) ISR G2 (SXP) ASA (SXP) MACsec Capable with Tagging: Cat3K-X, Cat6K-Sup2T, N7K 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 36

Enforcement Klasyfikacja Docelowa: Web_Dir: SGT 20 CRM: SGT 30 Marysia uwierzytelniona i sklasyfikowana jako Marketing (5) FIB Lookup Docelowy MAC/Port SGT 20 ISE SRC: 10.1.10.220 Cat3750X 5 SRC:10.1.10.220 DST: 10.1.100.52 SGT: 5 Cat6500 Cat6500 Nexus 7000 Rdzeń Sieci Enterprise Nexus 5500 Nexus 2248 Nexus 2248 Web_Dir DST: 10.1.100.52 SGT: 20 CRM DST: 10.1.200.100 SGT: 30 WLC5508 ASA5585 SRC\DST Marketing (5) Web_Dir (20) SGACL-A CRM (30) SGACL-B BYOD (7) Deny Deny 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 37

Enforcement Portal_ACL permit tcp dst eq 443 permit tcp dst eq 80 permit tcp dst eq 22 permit tcp dst eq 3389 permit tcp dst eq 135 permit tcp dst eq 136 permit tcp dst eq 137 permit tcp dst eq 138 permit tcp des eq 139 deny ip 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 38

Enforcement Dlaczego Radius CoA? SGT SGT SGT SGT SGT Wymuszenie SGACL za Enforcement pomocą SGACL cts role-based permissions from 10 to 222 permit tcp dst eq 443 permit deny ip tcp dst eq 80 deny ip Domena Cisco TrustSec Identity Service Engine SRC \ DST Server A (111) Server B (222) User A (10) Permit all SGACL-C SGACL-A VLAN 110 VLAN 120 VLAN 130 User B (20) Deny all SGACL-B 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 39

IV 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 40

SGFW SGT Name Download IP Address SGT SXP SGFW Wymuszenie na Firewallu Polityki ASDM SGT 10 = PCI_User SGT 100 = PCI_Svr ISE dla Polityk SGACL 10.1.10.1 Marketing (10) Campus Network SGACL Autoryzacja z przydzieleniem SGT SXP Wymuszenie na switchu Data Center Spójna klasyfikacja i filtrowanie w środowisku przełącznikowym i na firewallach ASA Synchronizacja grup SGT z ISE i ASDM na firewallach ASA Bogate logowanie zdarzeń na SGFW Zarządzanie regułami 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 41

SGFW ISE for SGACL Policies SXP SGFW Enforcement on a ASR PCI SGACL Campus Network SGFW IP Address 10.1.10.1 SGT Marketing (10) Enforcement on a ISR SXP Enforcement on a switch Data Center Design Considerations Spójna klasyfikacja i filtrowanie w środowisku przełącznikowym i na routerach ISR-G2 / ASR1000. Wykorzystanie integracji Zone-Based Firewall z SGT Wsparcie ZBFW Active/Active dla routingu asymetrycznego po stronie headendu 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 42

ASA 5585-X ISE Źródłowy SGT Docelowy SGT Faza I: Context Agent Identity Firewall w ASA 8.4(2) Faza II: wsparcie dla TrustSec w ASA 9.0(1) SXP Listener / Speaker. ISE PAC Provisioning. SGACL w koegzystencji z dotychczasowymi ACL i IDFW z CDA 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 43

Enforcement 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 44

2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 45

Przykład użycia Security Group Firewalling Automatyzacja reguł Firewalla z uzyciem funkcji ASA SG-Firewall Data Center Rdzeń DC Agregacja Security Group Firewalling Automatyzacja reguł Firewalla z uzyciem funkcji ASA SG-Firewall DC Uslugi Security Group ACLs Segmentacja basująca na matrycy SGACL Aplikowane na przełącznikach Nexus 7000/5500/2000 niezależnie od topologii DC Dostęp Dostęp wirtualny Serwery Fizyczne Serwery Wirtualne SGACL enabled Device SG Firewall enabled Device 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 46

Przykład użycia Port-Profile kontener właściwości sieciowych VM dziedziczą konfigurację sieciową przy nadaniu Port-Profile Administrator VM otrzymuje gotowy konstrukt do użycia 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 47

Przykład użycia Port-profile są przypisaywane do VMs PCI_DB PCI_Web GeneralServers Employees PCI_Users Nexus 1000V propaguje SGT z użyciem SXP do przełączników i firewalli

Przykład użycia PCI_Users Campus Network Risk Level 1 SXP SXP Risk Level 2 ISE PCI_Web PCI_App PCI_DB LOB2_DB Klasyfikacja SGT serwerów (N1KV Port Profile, N7K IP/SGT) SGACL na przełącznikach w obrębie jednego dzierżawcy (Risk level) ASA SGFW pomiędzy dzierżawcami (mapowania IP/SGT za pomocą SXP)

Kod promocyjny: cisco2013 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 50

Buonasera! 2013 Cisco and/or its affiliates. All rights reserved. Cisco Public 51