Co modelowanie sieci z poziomu kontrolera SDN oznacza dla bezpieczeństwa? Kompatybilność bezpieczeństwa systemów dedykowanych, zwirtualizowanych i skonteneryzowanych. Segmentowanie mikrousług jako kolejny etap migracji ze środowisk monolitycznych. Ujednolicanie usług bezpieczeństwa w redundantnych i rozproszonych modelach przetwarzania. Konwergencja bezpieczeństwa infrastruktury kampusowej i centrum przetwarzania.
9. Cyfrowa rewolucja
Mała świadomość
biznesu i IT
63 miliony włączanych nowych
urządzeń na sekundę do 20201
Złożoność
Wolne i podatne na
błędy wdrażanie i
zarządzanie
3X więcej wydatków na utrzymanie
sieci niż na samą sieć2
Bezpieczeństwo
Nieograniczony
potencjał ataków
Nawet 6 miesięcy do
wykrycia włamania3
Dlaczego automatyzacja ?
Bo wymagania dla sieci nigdy nie były tak wysokie jak dziś
1: Gartner Report - Gartner’s 2017 Strategic Roadmap for Networking
2. McKinsey Study of Network Operations for Cisco – 2016
3. Ponemon Research Institute Study on Malware Detection, Mar 2016
10. Stale się broni
Stale się
adaptuje
Stale się uczy
Intuicyjna
sieć
Nowoczesna sieć: im więcej ją wykorzystujesz
tym szybciej się uczy.
Nawet setek nowych
urządzeń, aplikacji,
użytkowników
Odpowiada błyskawicznie na potrzeby
biznesu nawet przy szczupłym
personelu IT i małym budżecie
Rozpoznaje i przewiduje ataki i
zagrożenia – błyskawicznie reaguje
11. Informowana
kontekstowo
Widocznosć ruchu i
interpretacja zagrożeń
Kto, Co, Kiedy,
Gdzie, Jak
Zasilona
intencjami
Translacja intencji
użytkownika do polityki
sieciowej
Automatyzacja
błyskawicznego uruchamiania
i zarządzania milionami
urządzeń
Sieć oparta o intencje
Sterowana intuicją
Samoucząca się inteligencja maszynowa na
duża skalę
Przewidywanie zachowań i potrzeb aby
zapewnić wydajność i bezpieczeństwo
12. Cisco ACI – Application Centric Infrastructure
Deklaratywny model dla intuicyjnej sieci SDN
INTENT
BUSINESS POLICY
OpFlex OVS/FD.ioOpFlex AVS-NG VDSOpFlex AVS-NG
DC1 DC n
WAN/Campus
OpFlex
Cloud
Sieć & Zakres polityk
API API
L4-L7 Services
13. APP
OS
APP
OS
APP
OS
APP
OS
Kontroler APIC i wirtualne przełączanie
Jeden kontroler dla wszystkich środowisk
VDS
APP
OS
APP
OS
APP
OS
APP
OS
Any vSwitch
APP
OS
APP
OS
APP
OS
APP
OS
AVSNG
KVM w/ OVS
APP
OS
APP
OS
APP
OS
APP
OS
N9K Leaf
Docker w/ OVS
VMware vCenter
Microsoft
SCVMM
N9K Leaf
Policy and
Visibility PointNorthbound APIs
OpFlex
Spójna wirtualizacja sieci, mikrosegmentacja i polityki – widziana całość ruchu
Application
Traffic
14. Domena APIC dla Kubernetes VMM
APIC inwentaryzuje POD-y i ich
metadane (labels, annotations),
wdrożenia, repliki, itd.
Wizualizacja POD-a per
węzeł, mapowanie do
enkapsulacji, fizycznego
dołączenia do fabryki.
Administrator APIC może
wyszukiwać węzły k8s, POD-y,
usługi …
16. Bezpieczeństwo i mikrosegmentacja w ACI
Prostota, wielość środowisk, skalowalność
Automatyczne
audytowanie,
wykrywanie,
ograniczanie
Polityki–
środowiska
wirtualne i
fizyczne
Stateful firewall i
Mikrosegmentacja
Funkcjonalność zintegrowana w ACI
Zewnętrzne integracje usług L4-L7
Ochrona inwestycji
Wykorzystanie mozliwości i rozwiązań 3rd party
17. W oparciu o atrybuty/tagi Wewnątrz segmentów EPGW oparciu o segmenty EPG
ACI Benefits
PROD
POD
DMZ
SHARED
SERVICES
Basic DC Segmentation
DEV
TEST
PROD
Application Lifecycle
Segmentation
WEB
APP
DB
Service Level
Segmentation
Network-Centric
Segmentation
VLAN 1 VXLAN 2
VLAN 3
FW
OS
‘Linux’
IP
‘1.1.1.1’
FW
Name
‘Video’
Intra-EPG Isolation
All Workloads Can Communicate
Application Tier Policy Group
Isolate Workloads within Application Tier
Application Tier Policy Group
Quarantine Compromised Workloads
Isolate
VMware VDS KVM Cisco AVS
Mikrosegmentacja w oparciu o polityki dostępna dla dowolnego środowiska
Physical
Segmentacja sieciowa w ACI
Mikrosegmentacja niezależna od hypervisora
MSFT Hyper-V
18. • Bloki WEB i APP jako maszyny VM
dzielące jedną podsieć (segment)
• Ruch między WEB i APP musi byc
filtrowany (firewall)
• Aplikacje łączą się z bazą SQL na
serwerze bare metal
• Model bezpieczeństwa White-List
Model dla bezpieczeństwa(zero-trust)
• Zautomatyzowane wdrożenie polityk
Przykład mikrosegmentacji w ACI
Wiele aplikacji webowych podzielonych na bloki, korzystających ze wspólnej
fizycznej DB i oddzielonych od siebie
WEB-APP SUBNET
DB SUBNET
Web
VM
Web
VM
App
VM
App
VM
Fizyczna baza SQL
WEB-TIER APP-TIER
19. Uruchom wszystkie maszyny VM w tym samym
segmencie – „staging”
Internet
extEPG
Proxy
extEPG
Ansible
Monitoring
L3Out
Web-Tier PortGroup (BaseEPG)
(PVLAN 2300/2301)
proxy-svc
ansible
dns
monitor
BaseEPG- Web-Tier
MasterEPG
SQL DB
Stwórz bazowe EPG.
Pozwól na dostęp do
narzędzi, usług
uruchamiania, itp.
W czasie uruchamiania
maszyny VMs mają dostęp
tylko do odp. narzędzi
20. Stwórz Mikro-EPG wraz z zasadami kwalifikacji
maszyn VM do nich
Internet
extEPG
Proxy
extEPG
Ansible
Monitoring
L3Out
Web-Tier PortGroup (BaseEPG)
(PVLAN 2300/2301)
proxy-svc
ansible
dns
monitor
BaseEPG- Web-Tier
MasterEPG
SQL DB
Stwórz uEPG i sklasyfikuj
zadanie używając atrybutów
VM Attributes (np. Tagów)
Tag==Web
AND
Tag==Prod
Tag==App
AND
Tag==Prod
uEPG-Web
uEPG-App
21. Stwórz politykę bezpieczeństwa dla swojej aplikacji
Internet
extEPG
Proxy
extEPG
Ansible
Monitoring
L3Out
Web-Tier PortGroup (BaseEPG)
(PVLAN 2300/2301)
proxy-svc
ansible
dns
monitor
BaseEPG- Web-Tier
MasterEPG
SQL DB
Opcjonalnie uEPGs mogą
dziedziczyć polityki z Base EPG
Tag==Web
AND
Tag==Prod
Tag==App
AND
Tag==Prod
uEPG-Web
uEPG-App
Kontrakty automatycznie
dziedziczone
22. Stwórz politykę bezpieczeństwa dla swojej aplikacji
Internet
extEPG
Proxy
extEPG
Ansible
Monitoring
L3Out
Web-Tier PortGroup (BaseEPG)
(PVLAN 2300/2301)
proxy-svc
ansible
dns
monitor
BaseEPG- Web-Tier
MasterEPG
SQL DB
Tag==Web
AND
Tag==Prod
Tag==App
AND
Tag==Prod
uEPG-Web
uEPG-App
App-service
SQL-DB
web-service
Dodaj kontrakty
odpowiednie dla Twojej
aplikacji
23. Dodaj Tagi maszynom VM - wpadną do swoich uEPG
Internet
extEPG
Proxy
extEPG
Web-Tier PortGroup (BaseEPG)
(PVLAN 2300/2301)
Ansible
Monitoring
L3Outproxy-svc
ansible
dns
monitor
BaseEPG-
Web-Tier
MasterEPG
SQL DB
uEPG-Web uEPG-App
Web
Prod
Web
Prod
App
Prod
App
Prod
app-service
SQL-DB
web-service
PolItyki dla maszyn VM zostają
automatycznie przyłożone bez
rekonfiguracji hypervisora.
Polityki podążają za maszyną VM
24. Mikrosegmentacja dla maszyn bare metal, maszyn
VM na wielu vCenter i w wielu ośrodkach DC
SITE 1 SITE 2
IP connectivity
vCenter1 vCenter2
Cluster-01 Cluster-02
Spójna klasyfikacja do
Mikro-EPG w oparciu o
atrybuty
Web
Prod
Web
Prod
uEPG-Web
App
Prod
App
Prod
uEPG-App
SQL-EPG
Spójne polityki dla wielu
ośrodków DC
25. Podstawa modelu bezpieczeństwa:
Polityki oparte o identyfikację
Embedded L4 Security
Embedded Sensors
Firewall at Each
Leaf switch
Servers (Physical, Virtual, Containers, Micro
Services)
Next Gen Stateful L4-7
Visibility and Control
Multi-Tier Sensor
Data Gathering
App1 DBWeb1
QoS
Filter
QoS
Service
QoS
Filter
Branch Identity & Policy
Driven Security
Architecture
Identity and Policy Federation
Policy Discovery, Monitoring
and Control
MACSEC and INS-SEC
Encryption
26. Łączenie domen identyfikacji
TrustSec domain
Voice Employee Supplier BYOD
Campus / Branch / Non-Fabric
TrustSec Policy Domain
Voice
VLAN
Data
VLAN
Web App DB
ACI Fabric
Data Center
APIC Policy Domain
APIC
WAN
Policy Domains
ISE TrustSec Policy Domain APIC Policy Domain
• Po zdefiniowaniu aplikacji w Data Center jak mapować użytkowników ?
• ISE + ACI umożliwiaja mapowanie między użytkownikiem i zasobem w Data Center
ASR 1K Nexus 7K
Campus/Branch
TrustSec Border Router
(ACI 2.3)
Data Plane
(VXLAN)
28. Architektura analityki Cisco Tetration
Zbieranie danych -
telemetria
Software Sensor and
Enforcement
Embedded
Network Sensors
(Telemetry Only)
Third Party Sources
(Configuration Data)
Maszyna analityczna
Cisco
Tetration
Analytics
Cluster
Otwarty dostęp
Web GUI
REST API
Event Notification
Tetration Apps
Self Managed Cluster
One Touch Deployment
Easy Integration via Open interfaces
Open Data Lake (via Tetration Apps)
No Hadoop / Data Science Background Needed
No External Storage Needed
31. Identyfikacja środowisk i komunikacji
Workload: X
IP: 1.1.1.1
Ingestion
Pipeline
Telemetry Data
Identity
Repository
Workload: X
IP: 1.1.1.1
Lifecycle: Production
Restricted: PCI
Location: AWS
SGT: 20
URL: http://www.cisco.com/*
Username: steven
Insight Exchange
32. Np. Development nie może się łączyć z Produkcją
Segmentacja – intencja wyrażona w ludzkim języku
Tetration wie kto reprezentuje „Development”
Tetration wie kto reprezentuje „Produkcję”
Polityki są ciągle aktualizowane w miarę zmian aplikacji
33. SOURCE 128.0.10.0/24
DEST 128.0.11.0/24
SOURCE 10.0.0.0/8
DEST 128.0.0.0/8
SOURCE * DEST
128.0.100.0/24 PORT = 80
SOURCE * DEST * PORT = 80
Jak to działa ?
Tetration automatycznie konwertuje intencję do postaci white list
Zablokuj ruch aplikacji nieprodukcyjnych
do aplikacji produkcyjnych
Pozwól na dostęp aplikacjom HR
do bazy pracowników
Zablokuj wszystkie połączenia
HTTP które nie są kierowane
do serwerów Web
Intent Rules
34. Wdrażanie polityki w dowolnym miejscu
Google
AmazonAzure
Public Cloud Virtual Cisco ACITM* Traditional NetworkBare Metal
Azure Amazon
Cisco Tetration Analytics
1. Unikalna polityka dla każdego agenta
2. Wysyła politykę do wszystkich agentów
3. Agent wdraża politykę na lokalnym FW
4. Ciągłe wyznaczanie polityki na podstawie
zmieniającej się identyfikacji i klasyfikacji
Google
35. Model bezpieczeństwa analityki Tetration
PROTECT
Discover
Enforce
Harden
DETECT
Block
Defend
REMEDIATE
Scope
Contain
Która komunikacja
wykracza poza ramy ?
Przeszukiwanie w
czasie rzeczywistym i
historyczne
Jakie są wyjątki ? Powszechne
wdrażanie nowych
reguł `
36. Weryfikacja polityki w rzeczywistym środowisku
Polityka oparta na intencji w Tetration
Polityka monitorowana w czasie rzeczywistym
dla sprawdzania zgodności i odchyleń
• Sprawdzanie wpływu nowej polityki w czasie rzecz.
• Symulowanie zmiany polityki na historycznym ruchu
• Pokazywanie “odchyłek” ruchu dla szybkiej orientacji
• Audyt staje się funkcją uczenia maszynowego
37. Model bezpieczeństwa analityki Tetration
PROTECT
Discover
Enforce
Harden
DETECT
Block
Defend
REMEDIATE
Scope
Contain
Kwarantanna
problematycznych
hostów
Wysłanie alertu do
SIEM
Integracja z
orkiestratorami
bezpieczeństwa
38. Analityka Tetration : otwarty system
Northbound
application
Kafka Broker
Northbound
consumers
Northbound
consumers
Interfejs API (programistyczny) Publikacja
komunikatów
Aplikacje dla Tetration
REST API
• Przeszukiwanie flow’ów
• Zarządzanie sensorami
Push Notification
• Niestandardowe zdarzenia
• Zdarzenia definiowane
przez użytkowników
Tetration Apps
• Dostęp do danych
• Tworzenie własnych aplikacji
Cisco Tetration Analytics Platform
Kafka