Интеграция решений Radware в Cisco ACI, Cisco UCS, SDN
•
2 gostaram•1,287 visualizações
Интеграция решений Radware в Cisco ACI, Cisco UCS, SDN
Recomendados
Recomendados
Mais conteúdo relacionado
Mais procurados
Mais procurados (20)
Destaque
Destaque (15)
Semelhante a Интеграция решений Radware в Cisco ACI, Cisco UCS, SDN
Semelhante a Интеграция решений Radware в Cisco ACI, Cisco UCS, SDN (20)
Mais de Cisco Russia
Mais de Cisco Russia (20)
Интеграция решений Radware в Cisco ACI, Cisco UCS, SDN
- 1. Regional Team Director michaels@radware.com Интеграция решений Radware в Cisco ACI, Cisco UCS, SDN Michael Soukonnik June 2015
- 2. Два слова о Radware Текущая ситуация Технология отражения атак, внедряемая в Cisco Совместные решения Radware/Cisco Summary
- 3. Немного статистики Global Technology Partners Более10,000 клиентов 3 43.7 54.8 68.4 77.6 81.4 88.6 94.6 108.9 144.1 167.0 189.2 193.0 221.9 1% 25% 25% 13% 5% 9% 7% 15% 32% 16% 13% 2% 15% 50.00 100.00 150.00 200.00 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 USD Millions Рост продаж
- 4. Radware предлагает решение, обеспечивающее производительность в соответствие с SLA даже во время атаки Контроллеры доставки приложений(ADC) Система отражения атак (AMS) • Серверная балансировка нагрузки (соответствие SLA для всех пользователей) • Повышение производительности приложений (removing SSL, cashing, TCP, compression, etc) • vADC – полная изоляция приложений • Производительность работы пользователей (SLA), мониторинг в реальном времени • Ускорение загрузки WEB страниц • Обеспечение работы легитимных пользователей в соответствие с SLA даже во время атаки • Защита от DoS/DDoS атак в автоматическом режиме • IPS • Поведенческий анализ • Cloud&Hybrid • Автоматическая защита против атак на уязвимости OWASP-‐10 (WAF)
- 5. Лидер в системах отражения атак 7 из 14 Мировых Фондовых Бирж 12 из 22 Крупнейших Банков 6 из 20 Крупнейших ретейлеров NBA, NHL, MLB & Nascar 6 из 10 Мировых Телеком Компаний 2 из 5 Ведущих Облачных Провайдеров 5
- 7. Посмотрим вместе: 1. WW3 map (one of) – Карта боевых действий 2. Easy and cheap (to start) – Просто и дешево 3. Hard to mizgate – Сложно противостоять
- 10. Мотивация атакующих 10 Source: Hackmageddon.com Преступники • Деньги • И снова деньги Хактивизм • Протест • Месть Шпионаж • Хищение секретов • Национальная безопасность • Экономика Война • Задачи: уничтожить, замедлить, заблокировать • Политика 10
- 11. Злоумышленник маскируется Slide 11 • Маскировка – Использование динамических IP адресов – Несколько атакующих, использующих один IP адрес • Типовой инструментарий – Content Delivery Network (CDN) – Proxy servers – Proxy botnets – NAT devices – Anonymizers – Encrypted communicazon • Результат: Атаку сложней идентифицировать и отразить. 11
- 12. Несколько векторов атаки одновременно Volumetric network flood aˆacks SSL based aˆacks SYN flood attack Applicazon Flood aˆacks Web aˆacks: XSS, Brute force Port scan “Low & Slow” aˆacks Network scan Intrusion Applicazon vulnerability, malware Web aˆacks: SQL Injeczon 12 Достаточно одного успешного вектора атаки для остановки бизнеса!
- 13. Как противостоять 13 Cloud Interne t of Things Perimeter Breakdown Policy Enforcement Weakness Slow Incident Response Limited Security Testing Endpoint Security Chaos Network Virtualizat ion Тенденции ИТ Управление безопасностью 13
- 15. Никто не в безопасности Ресурсы – основная цель Скорость определит победителя
- 16. Никто не будет в безопасности – Неожиданные цели Цели в новых секторах экономики, и организациях Здравоохранение и образование – новые цели злоумышленников Онлайн игры, хостинг и ISP – высокая вероятность атак Финансовый сектор – некоторое снижение рисков 2014 Изменения с 2013 16
- 17. Интернет канал – в основном большие пакеты – размеры канала Брандмауэр и другие аналитические устройства (stateful devices) – производительность, количество пакетов Серверы – ограничения производительности, очереди на обслуживание, количество запросов, открытые сессии, SSL Приложения – использование уязвимостей и ограничений Основные цели - рессурсы
- 18. Мультивекторная атака IPS/IDS “Low & Slow” DoS aˆacks (e.g.Sockstress) Large volume network flood aˆacks Syn Floods Network Scan HTTP Floods SSL Floods App Misuse Brute Force Облачная DDoS защита DDoS защита Поведенческий анализ IPS WAF Защита от атак под SSL Интернет канал Брандмауэр Балансировщики Атакуемые серверы SQL серверы 18
- 19. Добавление новых ресурсов обходится дороже, чем совершенствование атаки Тратить деньги или отразить атаку? Ресурсы во время атаки Принципы противостояния: • Боремся за доступность ресурсов для легитимных пользователей и исполнение их SLA • Технологии ограничения пропускной способности (rate limit) – атомная бомба, убивающая всех. • Мы должны отличать легитимного пользователя от злоумышленника. • Наконец, должны быть отброшены только атакующие пакеты, запрос, сессии.
- 20. Время – Продолжительность атак растет Атаки стали сложные и продолжительные В предыдущие годы продолжительные атаки редко превышали 6% от общего количества В 2014 -‐ 19% были продолжительными/ постоянными 52% респондентов могут бороться только против однодневных атак или даже менее продолжительных атак % 5% 10% 15% 20% 25% 30% 35% 40% Less than a day 1 hour-‐1 day 1 day-‐1 week over a week Constantly 2011 2012 2013 2014 В 2014, 19% of атак были постоянными 20
- 21. Проблема не только в продолжительности атаки. Современные атаки могут менять вектора раз в 3-‐7 минут! Устаревшие методы – анализ и отражение «вручную» недостаточно производительны и не обеспечивают эффективности. Время Принципы противостояния: • Время реакции – секунды! • Постоянное противостояние злоумышленнику • Работа в автоматическом режиме
- 22. Система Отражения Атак Radware Attack Mitigation System (AMS)
- 23. DefensePro – уровни защиты Поведенческая защиты DME DDoS Mitigation Engine (200M PPS) L7 Regex Acceleration ASIC Multi Purpose Multi Cores CPU’s (Up to 300 Gbps) & Reputaxon Engine Hardware Architecture – Tailored for Aˆack Mizgazon
- 24. Attack Degree = 10 (Attack) Abnormal rate of packets,… Aˆack Case Rate-based anomaly axis Y-axis X-axis Z-axis AttackDegreeaxis Attack area Suspicious area Normal adapted area Принятие решения -‐ Атака Slide 24 Abnormal protocol distribution [%] Slide 24
- 25. Принятие решения – рост легитимного траффика Rate parameter input Rate-‐invariant input parameter Degree of AEack (DoA) AEack area Suspicious area Normal adapted area Low DoA Flash crowd scenario Slide 25
- 26. Доступные сервисы Behavioral DoS Real Time Signature Network Challenge Response Behavioral Anti- Scan SSL Session and Network Protection Behavioral DNS Protection DNS Challenge Response Behavioral HTTP Flood Protection Behavioral Server Cracking HTTP Polymorphic Challenge Response Приложения Серверы Сеть Уникальные технологии Radware Web Advanced Fingerprinting Signaling Encrypted Challenge Response
- 27. Attack Mitigation System Ключевые «моменты»: • Защита всех ресурсов • Базируется на информации с 3-‐го по 7-‐й уровень OSI для определения поведения легитимных клиентов. Дает возможность работы под атакой. Лицензируется по легитимному трафику. • Построение динамической сигнатуры против атаки за 18 секунд! • Не требует участия администратора ИБ • Включает как собственное оборудование, так и облачный сервис • Защищает от всех атак OWASP-‐10 • Все изменения в WEB – автоматически определяются, уязвимости блокируются
- 28. Два слова о Radware Текущая ситуация Технология отражения атак, внедряемая в Cisco Совместные решения Radware/Cisco Summary
- 29. Traditional Data Center Network Layer Business Applicazons 29 Service Layer Command & Control Command & Control Command & Control
- 30. Data Center Transformation – Software Defined … 30 Automazon Orchestrazon Stacks IT/DevOps Network Layer Business Applicazons Service Layer Command & Control Command & Control SDN Controller
- 31. Data Center Transformation – Software Defined … Automazon Orchestrazon Stacks IT/DevOps 31 Security Apps Delivery Network Layer Business Applicazons Command & Control SDN Controller
- 32. Data Center Transformation – Software Defined Services Business Applicazons Automazon Orchestrazon Stacks IT/DevOps 32 Radware is the only vendor that provides A}ack Mixgaxon Soluxons! Security Apps Delivery Security Network Layer
- 33. Data Center Transformation – Software Defined Services Network Layer Business Applicazons 33 Radware’s synergexc approach guarantees the highest service-‐level Security Apps Delivery Normal Operaxon Performance Degradaxon Outage
- 34. Introducing Radware Radware/Cisco Solution Mapping Solutions Overview & Differentiators Summary
- 35. Radware/Cisco Joint Solutions Mapping OpenDaylight SDN UCS Nexus 9000 ACI 35
- 36. Cisco ACI - Alteon Integration DDoS ADC ACI in the data center is a holiszc architecture with centralized automazon and policy-‐driven applicazon profiles. ACI delivers sožware flexibility with the scalability of hardware performance. 36 Typical Applicaxons: w w w
- 37. Cisco ACI-Alteon Integration DDoS ADC 37 Typical Applicaxons: w w w Radware Service Engines Available as: ADC Hypervisor
- 38. Cisco ACI-DefensePro Integration DoS/DDoS Protecxon ADC Typical Applicaxons: Per-‐tenant aˆack proteczon Infrastructure proteczon Value-‐add security services Radware Aˆack Mizgazon PlaŸorms Available as: DDoS Protecxon Appliance Protecxon Policy per Applicaxon 38 Typical Applicaxons: w w w
- 39. Cisco UCS: About Cisco Unified Compuzng System (UCS) is a next-‐ generazon data center plaŸorm that: - Unites compute, network, storage access, and virtualizazon into a cohesive system - Enterprise-‐class, x86-‐architecture servers - Designed to reduce TCO and increase business agility 39 Typical Applicaxons: w w w
- 40. Cisco UCS: Building Blocks www. ADC ADC DNS 40
- 41. Cisco UCS: Alteon NFV Integration www. DNS Typical Applicaxons: • Carrier core network applicazons • Online giant web applicazons 41
- 42. Cisco UCS: Alteon VA Integration www. Alteon VA: Load Balancing, WAF, Defense Messaging 42
- 43. Cisco UCS: DefensePro Integration www. Typical Applicaxons: • Per-‐applicazon aˆack monitoring • Per-‐applicazon aˆack mizgazon • Infrastructure proteczon • Value-‐add security services 43
- 44. Cisco SDN Solutions 44 SDN Control Layer Northbound API OpenFlow API SDN Applicazons SDN Data Plane The Cisco Open SDN Controller is a commercial distribuzon of OpenDaylight Delivers business agility through automazon of standard-‐based network infrastructure Cisco supports SDN through a range of Cisco switches and routers
- 45. Cisco SDN – Radware DDoS Protection SDN Data Plane 45 SDN Control Layer SDN Applicazons DefensePro Northbound API OpenFlow API Radware DefenseFlow: SDN Applicazon that programs networks for aˆack proteczon Radware DefensePro: - Best DDoS proteczon and aˆack mizgazon soluzon in the industry - Connect anywhere in the network - Virtualize security services per protected object
- 46. Cisco SDN – Radware DDoS Protection Perimeter LAN DefensePro Traffic Monitoring Clean traffic forwarded to desznazon Diverted suspicious traffic Internet Cisco Switch Traffic Monitoring Typical Applicaxons: Per network tenant aˆack proteczon Infrastructure proteczon Value-‐add security services A}ack Detected: Suspicious traffic diverted Clean traffic forwarded to desznazon 46
- 47. Два слова о Radware Текущая ситуация Технология отражения атак, внедряемая в Cisco Совместные решения Radware/Cisco Summary
- 48. Итоги Самое быстрое и точное решение для борьбы с DDoS атаками на всех уровнях Единственное интегрированное решение, позволяющее обеспечить SLA Первая система контроля доставки приложений для NFV Повышение гибкости ЦОД и услуг Интеграция во все новые решения Cisco для ЦОД и сетей операторов 48