Data center seguro

602 visualizações

Publicada em

Como ter a mesma política de segurança para máquinas físicas e virtuais?
Como provisionar redes de forma automática com segurança?

Como ter visibilidade sobre o tráfego de aplicações?

Publicada em: Tecnologia
  • Seja o primeiro a comentar

Data center seguro

  1. 1. Cisco Confidential3-2014 Cisco and/or its affiliates. All rights reserved. Data Center Seguro Gustavo Santana CCIEx3# 8806 (DC, SAN, R&Sw) Technical Solutions Architect Fernando Zama Consulting Systems Enginee
  2. 2. Cisco Confidential3-2014 Cisco and/or its affiliates. All rights reserved. rquitetura do Data Center Físico Virtual Industrial
  3. 3. Cisco Confidential3-2014 Cisco and/or its affiliates. All rights reserved. Data Center Físico (Antes de 2006)
  4. 4. Cisco Confidential3-2014 Cisco and/or its affiliates. All rights reserved. ata Center Físico: Ataques Mais Comuns Viruses 1990–2000 Worms 2000–2005 •  Phishing •  Baixa sofisticação •  Fama •  Destrutivos •  Impacto na Rede •  Ex: CodeRed
  5. 5. Cisco Confidential3-2014 Cisco and/or its affiliates. All rights reserved. IDS Físico: Rede com Topo-de-Rack Internet/WAN Conexão L3 Conexão L2Norte-sul Leste-oeste ACLs Firewall Contexts
  6. 6. Cisco Confidential3-2014 Cisco and/or its affiliates. All rights reserved. DC Físico: VLANs São Seguras? DMZ Produção DMZ Produção OU Ferramentas que ajudaram: VRFs, CoPP, RBAC, Storm Control
  7. 7. Cisco Confidential3-2014 Cisco and/or its affiliates. All rights reserved. C Físico: Contextos VLAN1 VLAN2 VLAN3 Aplicação 3 Aplicação 2 Aplicação 1 Server Load BalancerFirewall
  8. 8. Cisco Confidential3-2014 Cisco and/or its affiliates. All rights reserved. Data Center Virtual (2007-2012)
  9. 9. Cisco Confidential3-2014 Cisco and/or its affiliates. All rights reserved. Limitação de PODs ou Racks DC POD POD DC POD POD Data Center Virtualizado C Virtual: Mobilidade de VMs
  10. 10. Cisco Confidential3-2014 Cisco and/or its affiliates. All rights reserved. DC Virtual: Tipos de Ataques Spyware and Rootkits 2005–2013 •  Nascimento da industria Hacking •  Tecnicas de obfuscação
  11. 11. Cisco Confidential3-2014 Cisco and/or its affiliates. All rights reserved. Host 1 Host 3 Host 2 Host 4 Host 5 Host 7 Host 6 abric = Grande Switch Non-Blocking Host 1 Host 3 Host 4 Host 5 Host 7 Host 2 Host 6
  12. 12. Cisco Confidential3-2014 Cisco and/or its affiliates. All rights reserved. Host 1 Host 3 Host 2 Host 4 Host 5 Host 7 Host 6 LCLCLCLCLC LCLCLCLCLC FMFMFM abric ≅ Grande Switch Non-Blocking
  13. 13. Cisco Confidential3-2014 Cisco and/or its affiliates. All rights reserved. Virtual: FabricPath Internet/WAN Edge Border Leaves Rack Blade Server UCS Spines Conexão L3 Conexão L2 Fabric Path Leaves
  14. 14. Cisco Confidential3-2014 Cisco and/or its affiliates. All rights reserved. esafios de Redes Virtuais NIC Host App OS VM App OS VM vSwitch NIC Perímetro de Rede VMs em VLANs erradas Sem Visibilidade Comunicação ilícita entre VMs Políticas diferentes DMZ Virtual? STP para HA???
  15. 15. Cisco Confidential3-2014 Cisco and/or its affiliates. All rights reserved. Virtual Ethernet Module vPath WS2012 Hyper-V VXLAN Virtual Ethernet Module vPath KVM/OpenStack VXLAN Virtual Ethernet Module vPath ESX VXLAN Cisco Nexus 1000V para Ambientes Multi-Hypervisor Appliances Virtuais Virtual Supervisor ModulesvWAASVSGASAv NS1000V Appliance Físico: Cloud Service Platform vNAM VSG Primary VSM NS1000 vNAM VSG Secondary VSM NS1000 Rede DC
  16. 16. Cisco Confidential3-2014 Cisco and/or its affiliates. All rights reserved. Data Center Industrial (Depois de 2013)
  17. 17. Cisco Confidential3-2014 Cisco and/or its affiliates. All rights reserved.
  18. 18. Cisco Confidential3-2014 Cisco and/or its affiliates. All rights reserved. ipos de Ataques APTs Cyberware 2013-Hoje •  Códigos sofisticados •  Evasão de Defesas •  Multiplas técnicas •  Espalhamento Horizontal
  19. 19. Cisco Confidential3-2014 Cisco and/or its affiliates. All rights reserved. erguntas Válidas dos Clientes omo ter a mesma política de segurança para máquinas físicas e virtuais? Como provisionar redes de forma automática com segurança? Como ter visibilidade sobre o tráfego de aplicações?
  20. 20. Cisco Confidential3-2014 Cisco and/or its affiliates. All rights reserved. mponentes do ACI APPLICATION CENTRIC INFRASTRUCTURE APPLICATION POLICY INFRASTRUCTURE CONTROLLER APIC s SWITCHES NEXUS 9000 ECOSSISTEMA
  21. 21. Cisco Confidential3-2014 Cisco and/or its affiliates. All rights reserved. P P P App DBWeb Clientes Externos QoS Filtro QoS Serviço QoS Filtro Podem ser várias VMs Misto de máquinas físicas e virtuais Maioria recurso físicos App Network Profile P = Política de Conectividade “A Aplicação” CI e Aplicações de 3 Camadas 2
  22. 22. Cisco Confidential3-2014 Cisco and/or its affiliates. All rights reserved. Web Server EPG A Web Server Web Server EPG B App Server “Cadeia 5” Redirecionamento Admin Aplicações Admin Serviços Service Graph Início FimPasso 1 ….. Passo N Providers inst inst … Firewall inst inst … Load Balancer …….. ServiceProfile Virtuais e Físicos
  23. 23. Cisco Confidential3-2014 Cisco and/or its affiliates. All rights reserved. DB Tier Storage Storage Cliente Web Tier App Tier Modelagem da Política nstanciação da Política VM VMVM 10.2.4.7 VM 10.9.3.37 VM 10.32.3.7 VMVM APIC
  24. 24. Cisco Confidential3-2014 Cisco and/or its affiliates. All rights reserved. Admin de Rede Admin de Virtualização SERVIDOR FÍSICO VLAN VXLAN VLAN NVGRE VLAN VXLAN VLAN ESXi Hyper-V KVM Gerenciamento de Hypervisor ACI Fabric APIC VMware Microsoft Red Hat XenServer VMware Microsoft Red Hat
  25. 25. Cisco Confidential3-2014 Cisco and/or its affiliates. All rights reserved. pplication Virtual Switch (AVS) AVS   AVS   Fabric ACI Estendido ADVS   Gerenciado via APIC apsulamentos: VLAN, VXLAN rosegmentação: Port up, MAC, IP, Guest OS, e da VM, hypervisor, …
  26. 26. Cisco Confidential3-2014 Cisco and/or its affiliates. All rights reserved. FirePOWER + ACI ANTES Descubra Proteja DEPOIS Registre Contenha Remedie Detete Bloqueie Defenda DURANTE Segmentação e isolamento via EPGs Visibilidade e controle granular de aplicação Inserção automática de segurança (NGIPS, NGFW) Visibilidade & Deteção Micro-segmentação para quarentena (AVS) Proteção avançada de Malware Servidor Máquina Virtual Containers
  27. 27. Cisco Confidential3-2014 Cisco and/or its affiliates. All rights reserved. Capítulo 1: Definição de virtualização e conceitos de Data Center Capítulo 2: Evolução do Ethernet, topologias comuns de r norma ANSI/TIA-942 Capítulo 3: VLANs e VRFs Capítulo 4: Balanceamento de servidores e contextos virtu Capítulo 5: VDCs Capítulo 6: vPC e FabricPath Capítulo 7: FEX Capítulo 8: EoMPLS, VPLS e OTV Capítulo 9: Conceitos de armazenamento, SCSI e virtualiz Capítulo 10: Conceitos de Fibre Channel e VSANs Capítulo 11: FCIP, IVR e NPV Capítulo 12: DCB e FCoE Capítulo 13: Evolução de servidores (x86, virtualização e U Capítulo 14: Service Profiles do UCS Capítulo 15: Nexus 1000V, VXLAN e VM-FEX Capítulo 16: vPath, VSG, ASA 1000V, vWAAS e CSR 100 Capítulo 17: Conceitos de Cloud computing, automação, S ferência

×