SlideShare uma empresa Scribd logo

PLNOG19 - Krzysztof Banel - Nowe modele bezpieczeństwa w sieciach SDN

PROIDEA
PROIDEA

Co modelowanie sieci z poziomu kontrolera SDN oznacza dla bezpieczeństwa? Kompatybilność bezpieczeństwa systemów dedykowanych, zwirtualizowanych i skonteneryzowanych. Segmentowanie mikrousług jako kolejny etap migracji ze środowisk monolitycznych. Ujednolicanie usług bezpieczeństwa w redundantnych i rozproszonych modelach przetwarzania. Konwergencja bezpieczeństwa infrastruktury kampusowej i centrum przetwarzania.

Software
1 de 41
Baixar para ler offline
Nowe modele bezpieczeństwa w sieciach SDN Krzysztof Banel Cisco Systems Poland Consulting Systems Engineer, DataCenter CCIE #9341
AUTOMATYZACJA IT: CZŁOWIEK CZY MASZYNA ?
Wydajność dzięki AI i machine learning będzie rosła
Czy będziemy uwolnieni od ciężkiej pracy w IT jak kiedyś w rolnictwie i w przemyśle ?
Co to oznacza dla miejsc pracy w IT ?
Co to oznacza dla miejsc pracy w IT ?
Co to oznacza dla miejsc pracy w IT ?
Cyfrowa rewolucja Mała świadomość biznesu i IT 63 miliony włączanych nowych urządzeń na sekundę do 20201 Złożoność Wolne i podatne na błędy wdrażanie i zarządzanie 3X więcej wydatków na utrzymanie sieci niż na samą sieć2 Bezpieczeństwo Nieograniczony potencjał ataków Nawet 6 miesięcy do wykrycia włamania3 Dlaczego automatyzacja ? Bo wymagania dla sieci nigdy nie były tak wysokie jak dziś 1: Gartner Report - Gartner’s 2017 Strategic Roadmap for Networking 2. McKinsey Study of Network Operations for Cisco – 2016 3. Ponemon Research Institute Study on Malware Detection, Mar 2016
Stale się broni Stale się adaptuje Stale się uczy Intuicyjna sieć Nowoczesna sieć: im więcej ją wykorzystujesz tym szybciej się uczy. Nawet setek nowych urządzeń, aplikacji, użytkowników Odpowiada błyskawicznie na potrzeby biznesu nawet przy szczupłym personelu IT i małym budżecie Rozpoznaje i przewiduje ataki i zagrożenia – błyskawicznie reaguje
Informowana kontekstowo Widocznosć ruchu i interpretacja zagrożeń Kto, Co, Kiedy, Gdzie, Jak Zasilona intencjami Translacja intencji użytkownika do polityki sieciowej Automatyzacja błyskawicznego uruchamiania i zarządzania milionami urządzeń Sieć oparta o intencje Sterowana intuicją Samoucząca się inteligencja maszynowa na duża skalę Przewidywanie zachowań i potrzeb aby zapewnić wydajność i bezpieczeństwo
Cisco ACI – Application Centric Infrastructure Deklaratywny model dla intuicyjnej sieci SDN INTENT BUSINESS POLICY OpFlex OVS/FD.ioOpFlex AVS-NG VDSOpFlex AVS-NG DC1 DC n WAN/Campus OpFlex Cloud Sieć & Zakres polityk API API L4-L7 Services
APP OS APP OS APP OS APP OS Kontroler APIC i wirtualne przełączanie Jeden kontroler dla wszystkich środowisk VDS APP OS APP OS APP OS APP OS Any vSwitch APP OS APP OS APP OS APP OS AVSNG KVM w/ OVS APP OS APP OS APP OS APP OS N9K Leaf Docker w/ OVS VMware vCenter Microsoft SCVMM N9K Leaf Policy and Visibility PointNorthbound APIs OpFlex Spójna wirtualizacja sieci, mikrosegmentacja i polityki – widziana całość ruchu Application Traffic
Domena APIC dla Kubernetes VMM APIC inwentaryzuje POD-y i ich metadane (labels, annotations), wdrożenia, repliki, itd. Wizualizacja POD-a per węzeł, mapowanie do enkapsulacji, fizycznego dołączenia do fabryki. Administrator APIC może wyszukiwać węzły k8s, POD-y, usługi …
Zdalny PoD Multi-Pod / Multi-Site Chmura hybrydowa ACI Anywhere Dowolne środowisko, dowolna lokalizacja, dowolna chmura ACI Anywhere IP WANIP WAN Wyniesiona lokalizacja Chmura publicznaChmura prywatna Wszędzie bezpieczeństwo Wszędzie politykaWszędzie analityka 22
Bezpieczeństwo i mikrosegmentacja w ACI Prostota, wielość środowisk, skalowalność Automatyczne audytowanie, wykrywanie, ograniczanie Polityki– środowiska wirtualne i fizyczne Stateful firewall i Mikrosegmentacja Funkcjonalność zintegrowana w ACI Zewnętrzne integracje usług L4-L7 Ochrona inwestycji Wykorzystanie mozliwości i rozwiązań 3rd party
W oparciu o atrybuty/tagi Wewnątrz segmentów EPGW oparciu o segmenty EPG ACI Benefits PROD POD DMZ SHARED SERVICES Basic DC Segmentation DEV TEST PROD Application Lifecycle Segmentation WEB APP DB Service Level Segmentation Network-Centric Segmentation VLAN 1 VXLAN 2 VLAN 3 FW OS ‘Linux’ IP ‘1.1.1.1’ FW Name ‘Video’ Intra-EPG Isolation All Workloads Can Communicate Application Tier Policy Group Isolate Workloads within Application Tier Application Tier Policy Group Quarantine Compromised Workloads Isolate VMware VDS KVM Cisco AVS Mikrosegmentacja w oparciu o polityki dostępna dla dowolnego środowiska Physical Segmentacja sieciowa w ACI Mikrosegmentacja niezależna od hypervisora MSFT Hyper-V
• Bloki WEB i APP jako maszyny VM dzielące jedną podsieć (segment) • Ruch między WEB i APP musi byc filtrowany (firewall) • Aplikacje łączą się z bazą SQL na serwerze bare metal • Model bezpieczeństwa White-List Model dla bezpieczeństwa(zero-trust) • Zautomatyzowane wdrożenie polityk Przykład mikrosegmentacji w ACI Wiele aplikacji webowych podzielonych na bloki, korzystających ze wspólnej fizycznej DB i oddzielonych od siebie WEB-APP SUBNET DB SUBNET Web VM Web VM App VM App VM Fizyczna baza SQL WEB-TIER APP-TIER
Uruchom wszystkie maszyny VM w tym samym segmencie – „staging” Internet extEPG Proxy extEPG Ansible Monitoring L3Out Web-Tier PortGroup (BaseEPG) (PVLAN 2300/2301) proxy-svc ansible dns monitor BaseEPG- Web-Tier MasterEPG SQL DB Stwórz bazowe EPG. Pozwól na dostęp do narzędzi, usług uruchamiania, itp. W czasie uruchamiania maszyny VMs mają dostęp tylko do odp. narzędzi
Stwórz Mikro-EPG wraz z zasadami kwalifikacji maszyn VM do nich Internet extEPG Proxy extEPG Ansible Monitoring L3Out Web-Tier PortGroup (BaseEPG) (PVLAN 2300/2301) proxy-svc ansible dns monitor BaseEPG- Web-Tier MasterEPG SQL DB Stwórz uEPG i sklasyfikuj zadanie używając atrybutów VM Attributes (np. Tagów) Tag==Web AND Tag==Prod Tag==App AND Tag==Prod uEPG-Web uEPG-App
Stwórz politykę bezpieczeństwa dla swojej aplikacji Internet extEPG Proxy extEPG Ansible Monitoring L3Out Web-Tier PortGroup (BaseEPG) (PVLAN 2300/2301) proxy-svc ansible dns monitor BaseEPG- Web-Tier MasterEPG SQL DB Opcjonalnie uEPGs mogą dziedziczyć polityki z Base EPG Tag==Web AND Tag==Prod Tag==App AND Tag==Prod uEPG-Web uEPG-App Kontrakty automatycznie dziedziczone
Stwórz politykę bezpieczeństwa dla swojej aplikacji Internet extEPG Proxy extEPG Ansible Monitoring L3Out Web-Tier PortGroup (BaseEPG) (PVLAN 2300/2301) proxy-svc ansible dns monitor BaseEPG- Web-Tier MasterEPG SQL DB Tag==Web AND Tag==Prod Tag==App AND Tag==Prod uEPG-Web uEPG-App App-service SQL-DB web-service Dodaj kontrakty odpowiednie dla Twojej aplikacji
Dodaj Tagi maszynom VM - wpadną do swoich uEPG Internet extEPG Proxy extEPG Web-Tier PortGroup (BaseEPG) (PVLAN 2300/2301) Ansible Monitoring L3Outproxy-svc ansible dns monitor BaseEPG- Web-Tier MasterEPG SQL DB uEPG-Web uEPG-App Web Prod Web Prod App Prod App Prod app-service SQL-DB web-service PolItyki dla maszyn VM zostają automatycznie przyłożone bez rekonfiguracji hypervisora. Polityki podążają za maszyną VM
Mikrosegmentacja dla maszyn bare metal, maszyn VM na wielu vCenter i w wielu ośrodkach DC SITE 1 SITE 2 IP connectivity vCenter1 vCenter2 Cluster-01 Cluster-02 Spójna klasyfikacja do Mikro-EPG w oparciu o atrybuty Web Prod Web Prod uEPG-Web App Prod App Prod uEPG-App SQL-EPG Spójne polityki dla wielu ośrodków DC
Podstawa modelu bezpieczeństwa: Polityki oparte o identyfikację Embedded L4 Security Embedded Sensors Firewall at Each Leaf switch Servers (Physical, Virtual, Containers, Micro Services) Next Gen Stateful L4-7 Visibility and Control Multi-Tier Sensor Data Gathering App1 DBWeb1 QoS Filter QoS Service QoS Filter Branch Identity & Policy Driven Security Architecture Identity and Policy Federation Policy Discovery, Monitoring and Control MACSEC and INS-SEC Encryption
Łączenie domen identyfikacji TrustSec domain Voice Employee Supplier BYOD Campus / Branch / Non-Fabric TrustSec Policy Domain Voice VLAN Data VLAN Web App DB ACI Fabric Data Center APIC Policy Domain APIC WAN Policy Domains ISE TrustSec Policy Domain APIC Policy Domain • Po zdefiniowaniu aplikacji w Data Center jak mapować użytkowników ? • ISE + ACI umożliwiaja mapowanie między użytkownikiem i zasobem w Data Center ASR 1K Nexus 7K Campus/Branch TrustSec Border Router (ACI 2.3) Data Plane (VXLAN)
BRKACI-2050
Architektura analityki Cisco Tetration Zbieranie danych - telemetria Software Sensor and Enforcement Embedded Network Sensors (Telemetry Only) Third Party Sources (Configuration Data) Maszyna analityczna Cisco Tetration Analytics Cluster Otwarty dostęp Web GUI REST API Event Notification Tetration Apps  Self Managed Cluster  One Touch Deployment  Easy Integration via Open interfaces  Open Data Lake (via Tetration Apps)  No Hadoop / Data Science Background Needed  No External Storage Needed
PROTECT Discover Enforce Harden DETECT Block Defend REMEDIATE Scope Contain Nowy model bezpieczeństwa: Przed zagrożeniem Co jest aplikacją ? Jak grupować elementy aplikacji ? Jak tworzyć intencje polityk ? Jak je wymuszać ?
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Tetration – Application Discovery Mapping (ADM) VLAN = BD = EPG Infrastruktura sieciowa Analytics Engine Cisco Tetration Analytics™ Platform Web (tet-web) App (tet-app) DB (tet-db) Aplikacje Tetration BRKACI-2050 Web App DB Bez polityki Polityka bezpieczeństwaRozpoznawanie aplikacji i śledzenie 30
Identyfikacja środowisk i komunikacji Workload: X IP: 1.1.1.1 Ingestion Pipeline Telemetry Data Identity Repository Workload: X IP: 1.1.1.1 Lifecycle: Production Restricted: PCI Location: AWS SGT: 20 URL: http://www.cisco.com/* Username: steven Insight Exchange
Np. Development nie może się łączyć z Produkcją Segmentacja – intencja wyrażona w ludzkim języku Tetration wie kto reprezentuje „Development” Tetration wie kto reprezentuje „Produkcję” Polityki są ciągle aktualizowane w miarę zmian aplikacji
SOURCE 128.0.10.0/24 DEST 128.0.11.0/24 SOURCE 10.0.0.0/8 DEST 128.0.0.0/8 SOURCE * DEST 128.0.100.0/24 PORT = 80 SOURCE * DEST * PORT = 80 Jak to działa ? Tetration automatycznie konwertuje intencję do postaci white list Zablokuj ruch aplikacji nieprodukcyjnych do aplikacji produkcyjnych Pozwól na dostęp aplikacjom HR do bazy pracowników Zablokuj wszystkie połączenia HTTP które nie są kierowane do serwerów Web Intent Rules
Wdrażanie polityki w dowolnym miejscu Google AmazonAzure Public Cloud Virtual Cisco ACITM* Traditional NetworkBare Metal Azure Amazon Cisco Tetration Analytics 1. Unikalna polityka dla każdego agenta 2. Wysyła politykę do wszystkich agentów 3. Agent wdraża politykę na lokalnym FW 4. Ciągłe wyznaczanie polityki na podstawie zmieniającej się identyfikacji i klasyfikacji Google
Model bezpieczeństwa analityki Tetration PROTECT Discover Enforce Harden DETECT Block Defend REMEDIATE Scope Contain Która komunikacja wykracza poza ramy ? Przeszukiwanie w czasie rzeczywistym i historyczne Jakie są wyjątki ? Powszechne wdrażanie nowych reguł `
Weryfikacja polityki w rzeczywistym środowisku Polityka oparta na intencji w Tetration Polityka monitorowana w czasie rzeczywistym dla sprawdzania zgodności i odchyleń • Sprawdzanie wpływu nowej polityki w czasie rzecz. • Symulowanie zmiany polityki na historycznym ruchu • Pokazywanie “odchyłek” ruchu dla szybkiej orientacji • Audyt staje się funkcją uczenia maszynowego
Model bezpieczeństwa analityki Tetration PROTECT Discover Enforce Harden DETECT Block Defend REMEDIATE Scope Contain Kwarantanna problematycznych hostów Wysłanie alertu do SIEM Integracja z orkiestratorami bezpieczeństwa
Analityka Tetration : otwarty system Northbound application Kafka Broker Northbound consumers Northbound consumers Interfejs API (programistyczny) Publikacja komunikatów Aplikacje dla Tetration REST API • Przeszukiwanie flow’ów • Zarządzanie sensorami Push Notification • Niestandardowe zdarzenia • Zdarzenia definiowane przez użytkowników Tetration Apps • Dostęp do danych • Tworzenie własnych aplikacji Cisco Tetration Analytics Platform Kafka
ACI + Tetration: zasilane intencjami Tetration Analytics ACI Fabric Network Policy Enforcement Host Security Enforcement Policy
KRZYSZTOF BANEL CISCO SYSTEMS POLAND kbanel@cisco.com

Recomendados

PLNOG 9: Gaweł Mikołajczyk - Bezpieczne Data Center i Bezpieczna Chmura
PLNOG 9: Gaweł Mikołajczyk - Bezpieczne Data Center i Bezpieczna Chmura PLNOG 9: Gaweł Mikołajczyk - Bezpieczne Data Center i Bezpieczna Chmura
PLNOG 9: Gaweł Mikołajczyk - Bezpieczne Data Center i Bezpieczna Chmura PROIDEA
 
[PL] Mechanizmy bezpieczeństwa w sieciach z rodziny 802.11x
[PL] Mechanizmy bezpieczeństwa w sieciach z rodziny 802.11x[PL] Mechanizmy bezpieczeństwa w sieciach z rodziny 802.11x
[PL] Mechanizmy bezpieczeństwa w sieciach z rodziny 802.11xWojciech Podgórski
 
PLNOG 13: Artur Gmaj: Architecture of Modern Data Center
PLNOG 13: Artur Gmaj: Architecture of Modern Data CenterPLNOG 13: Artur Gmaj: Architecture of Modern Data Center
PLNOG 13: Artur Gmaj: Architecture of Modern Data CenterPROIDEA
 
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...Gawel Mikolajczyk
 
PLNOG19 - Michał Szczęsny - 5G – czy jest już gotowe do wdrożenia?
PLNOG19 - Michał Szczęsny - 5G – czy jest już gotowe do wdrożenia?PLNOG19 - Michał Szczęsny - 5G – czy jest już gotowe do wdrożenia?
PLNOG19 - Michał Szczęsny - 5G – czy jest już gotowe do wdrożenia?PROIDEA
 
PLNOG 22 - Marcel Guzenda - Pierwsze w Polsce wdrożenie Cisco SDA u klienta z...
PLNOG 22 - Marcel Guzenda - Pierwsze w Polsce wdrożenie Cisco SDA u klienta z...PLNOG 22 - Marcel Guzenda - Pierwsze w Polsce wdrożenie Cisco SDA u klienta z...
PLNOG 22 - Marcel Guzenda - Pierwsze w Polsce wdrożenie Cisco SDA u klienta z...PROIDEA
 
[CareerCon] Wirtualizacja (PL)
[CareerCon] Wirtualizacja (PL)[CareerCon] Wirtualizacja (PL)
[CareerCon] Wirtualizacja (PL)Jaroslaw Sobel
 
[PL] Chmura hybrydowa - w poszukiwaniu zewnętrznych zasobów IT
[PL] Chmura hybrydowa - w poszukiwaniu zewnętrznych zasobów IT[PL] Chmura hybrydowa - w poszukiwaniu zewnętrznych zasobów IT
[PL] Chmura hybrydowa - w poszukiwaniu zewnętrznych zasobów ITPiotr Pietrzak
 

Recomendados

PLNOG 9: Gaweł Mikołajczyk - Bezpieczne Data Center i Bezpieczna Chmura
PLNOG 9: Gaweł Mikołajczyk - Bezpieczne Data Center i Bezpieczna Chmura PLNOG 9: Gaweł Mikołajczyk - Bezpieczne Data Center i Bezpieczna Chmura
PLNOG 9: Gaweł Mikołajczyk - Bezpieczne Data Center i Bezpieczna Chmura PROIDEA
 
[PL] Mechanizmy bezpieczeństwa w sieciach z rodziny 802.11x
[PL] Mechanizmy bezpieczeństwa w sieciach z rodziny 802.11x[PL] Mechanizmy bezpieczeństwa w sieciach z rodziny 802.11x
[PL] Mechanizmy bezpieczeństwa w sieciach z rodziny 802.11xWojciech Podgórski
 
PLNOG 13: Artur Gmaj: Architecture of Modern Data Center
PLNOG 13: Artur Gmaj: Architecture of Modern Data CenterPLNOG 13: Artur Gmaj: Architecture of Modern Data Center
PLNOG 13: Artur Gmaj: Architecture of Modern Data CenterPROIDEA
 
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...Gawel Mikolajczyk
 
PLNOG19 - Michał Szczęsny - 5G – czy jest już gotowe do wdrożenia?
PLNOG19 - Michał Szczęsny - 5G – czy jest już gotowe do wdrożenia?PLNOG19 - Michał Szczęsny - 5G – czy jest już gotowe do wdrożenia?
PLNOG19 - Michał Szczęsny - 5G – czy jest już gotowe do wdrożenia?PROIDEA
 
PLNOG 22 - Marcel Guzenda - Pierwsze w Polsce wdrożenie Cisco SDA u klienta z...
PLNOG 22 - Marcel Guzenda - Pierwsze w Polsce wdrożenie Cisco SDA u klienta z...PLNOG 22 - Marcel Guzenda - Pierwsze w Polsce wdrożenie Cisco SDA u klienta z...
PLNOG 22 - Marcel Guzenda - Pierwsze w Polsce wdrożenie Cisco SDA u klienta z...PROIDEA
 
[CareerCon] Wirtualizacja (PL)
[CareerCon] Wirtualizacja (PL)[CareerCon] Wirtualizacja (PL)
[CareerCon] Wirtualizacja (PL)Jaroslaw Sobel
 
[PL] Chmura hybrydowa - w poszukiwaniu zewnętrznych zasobów IT
[PL] Chmura hybrydowa - w poszukiwaniu zewnętrznych zasobów IT[PL] Chmura hybrydowa - w poszukiwaniu zewnętrznych zasobów IT
[PL] Chmura hybrydowa - w poszukiwaniu zewnętrznych zasobów ITPiotr Pietrzak
 
PLNOG16: Praktyczne zastosowania technologii SDN w  6 4 2 0 Kolumna 1 Kolumn...
PLNOG16: Praktyczne zastosowania technologii SDN w  6 4 2 0 Kolumna 1 Kolumn...PLNOG16: Praktyczne zastosowania technologii SDN w  6 4 2 0 Kolumna 1 Kolumn...
PLNOG16: Praktyczne zastosowania technologii SDN w  6 4 2 0 Kolumna 1 Kolumn...PROIDEA
 
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel Mikolajczyk
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel MikolajczykSecurity B-Sides Warsaw 2014 - Network Security Treasures - Gawel Mikolajczyk
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel MikolajczykGawel Mikolajczyk
 
Budowanie sieci Grid
Budowanie sieci GridBudowanie sieci Grid
Budowanie sieci GridAlicja Sieminska
 
PLNOG 21: Krzysztof Mazepa - Transformacja_poprzez_innowacje
PLNOG 21: Krzysztof Mazepa - Transformacja_poprzez_innowacjePLNOG 21: Krzysztof Mazepa - Transformacja_poprzez_innowacje
PLNOG 21: Krzysztof Mazepa - Transformacja_poprzez_innowacjePROIDEA
 
"SIEM według potrzeb: Elasticsearch, Energy Logserver, Wazuh, Bro..."
"SIEM według potrzeb: Elasticsearch, Energy Logserver, Wazuh, Bro...""SIEM według potrzeb: Elasticsearch, Energy Logserver, Wazuh, Bro..."
"SIEM według potrzeb: Elasticsearch, Energy Logserver, Wazuh, Bro..."PROIDEA
 
GET.NET - Osiołkowi w żłobie dano, czyli o tym jak hostować aplikacje na Mic...
GET.NET - Osiołkowi w żłobie dano, czyli o tym jak hostować aplikacje na Mic...GET.NET - Osiołkowi w żłobie dano, czyli o tym jak hostować aplikacje na Mic...
GET.NET - Osiołkowi w żłobie dano, czyli o tym jak hostować aplikacje na Mic...Michal Furmankiewicz
 
PLNOG20 - Krzysztof Mazepa - Transformacja poprzez innowacje
PLNOG20 - Krzysztof Mazepa - Transformacja poprzez innowacjePLNOG20 - Krzysztof Mazepa - Transformacja poprzez innowacje
PLNOG20 - Krzysztof Mazepa - Transformacja poprzez innowacjePROIDEA
 
Citrix NetScaler - Drogą wstępu do ADC
Citrix NetScaler - Drogą wstępu do ADCCitrix NetScaler - Drogą wstępu do ADC
Citrix NetScaler - Drogą wstępu do ADCPawel Serwan
 
PLNOG15 :Three faces of SDN - ACI vs NSX vs Nuage, Maciej Lelusz,Jarosław Zie...
PLNOG15 :Three faces of SDN - ACI vs NSX vs Nuage, Maciej Lelusz,Jarosław Zie...PLNOG15 :Three faces of SDN - ACI vs NSX vs Nuage, Maciej Lelusz,Jarosław Zie...
PLNOG15 :Three faces of SDN - ACI vs NSX vs Nuage, Maciej Lelusz,Jarosław Zie...PROIDEA
 
PLNOG 17 - Maciej Flak - Cisco Cloud Networking - czyli kompletna infrastrukt...
PLNOG 17 - Maciej Flak - Cisco Cloud Networking - czyli kompletna infrastrukt...PLNOG 17 - Maciej Flak - Cisco Cloud Networking - czyli kompletna infrastrukt...
PLNOG 17 - Maciej Flak - Cisco Cloud Networking - czyli kompletna infrastrukt...PROIDEA
 
[CareerCon] as-a-Service czy Software Defined (PL)
[CareerCon] as-a-Service czy Software Defined (PL)[CareerCon] as-a-Service czy Software Defined (PL)
[CareerCon] as-a-Service czy Software Defined (PL)Jaroslaw Sobel
 
Prezentacja witruallizacja dc 1.3
Prezentacja witruallizacja dc 1.3Prezentacja witruallizacja dc 1.3
Prezentacja witruallizacja dc 1.3Marta Pacyga
 
PLNOG15: Virtualization and automation of network and security services in Da...
PLNOG15: Virtualization and automation of network and security services in Da...PLNOG15: Virtualization and automation of network and security services in Da...
PLNOG15: Virtualization and automation of network and security services in Da...PROIDEA
 
Wprowadzenie do Kubernetesa. K8S jako nowy Linux.
Wprowadzenie do Kubernetesa. K8S jako nowy Linux.Wprowadzenie do Kubernetesa. K8S jako nowy Linux.
Wprowadzenie do Kubernetesa. K8S jako nowy Linux.Wojciech Barczyński
 
PLNOG 21: Piotr Szczepanek - Elastic w Treatnet. Innowacyjny system wykrywani...
PLNOG 21: Piotr Szczepanek - Elastic w Treatnet. Innowacyjny system wykrywani...PLNOG 21: Piotr Szczepanek - Elastic w Treatnet. Innowacyjny system wykrywani...
PLNOG 21: Piotr Szczepanek - Elastic w Treatnet. Innowacyjny system wykrywani...PROIDEA
 
PLNOG15: Security and applications control in Next-Gen Data Center - Seweryn ...
PLNOG15: Security and applications control in Next-Gen Data Center - Seweryn ...PLNOG15: Security and applications control in Next-Gen Data Center - Seweryn ...
PLNOG15: Security and applications control in Next-Gen Data Center - Seweryn ...PROIDEA
 
Robert Olejnik - Bezpieczeństwo w chmurach, czyli jak i dlaczego stworzyliśmy...
Robert Olejnik - Bezpieczeństwo w chmurach, czyli jak i dlaczego stworzyliśmy...Robert Olejnik - Bezpieczeństwo w chmurach, czyli jak i dlaczego stworzyliśmy...
Robert Olejnik - Bezpieczeństwo w chmurach, czyli jak i dlaczego stworzyliśmy...Fundacja Rozwoju Branży Internetowej Netcamp
 
Publikacja usług Exchange 2013 w internecie. Co dalej bez TMG?
Publikacja usług Exchange 2013 w internecie. Co dalej bez TMG?Publikacja usług Exchange 2013 w internecie. Co dalej bez TMG?
Publikacja usług Exchange 2013 w internecie. Co dalej bez TMG?Konrad Sagala
 
infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń...
infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń...infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń...
infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń...PROIDEA
 
Poland- Smart Client Technology - MTS 2005
Poland- Smart Client Technology - MTS 2005Poland- Smart Client Technology - MTS 2005
Poland- Smart Client Technology - MTS 2005Tomasz Cieplak
 

Mais conteúdo relacionado

Semelhante a PLNOG19 - Krzysztof Banel - Nowe modele bezpieczeństwa w sieciach SDN

PLNOG16: Praktyczne zastosowania technologii SDN w  6 4 2 0 Kolumna 1 Kolumn...
PLNOG16: Praktyczne zastosowania technologii SDN w  6 4 2 0 Kolumna 1 Kolumn...PLNOG16: Praktyczne zastosowania technologii SDN w  6 4 2 0 Kolumna 1 Kolumn...
PLNOG16: Praktyczne zastosowania technologii SDN w  6 4 2 0 Kolumna 1 Kolumn...PROIDEA
 
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel Mikolajczyk
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel MikolajczykSecurity B-Sides Warsaw 2014 - Network Security Treasures - Gawel Mikolajczyk
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel MikolajczykGawel Mikolajczyk
 
PLNOG 21: Krzysztof Mazepa - Transformacja_poprzez_innowacje
PLNOG 21: Krzysztof Mazepa - Transformacja_poprzez_innowacjePLNOG 21: Krzysztof Mazepa - Transformacja_poprzez_innowacje
PLNOG 21: Krzysztof Mazepa - Transformacja_poprzez_innowacjePROIDEA
 
"SIEM według potrzeb: Elasticsearch, Energy Logserver, Wazuh, Bro..."
"SIEM według potrzeb: Elasticsearch, Energy Logserver, Wazuh, Bro...""SIEM według potrzeb: Elasticsearch, Energy Logserver, Wazuh, Bro..."
"SIEM według potrzeb: Elasticsearch, Energy Logserver, Wazuh, Bro..."PROIDEA
 
GET.NET - Osiołkowi w żłobie dano, czyli o tym jak hostować aplikacje na Mic...
GET.NET - Osiołkowi w żłobie dano, czyli o tym jak hostować aplikacje na Mic...GET.NET - Osiołkowi w żłobie dano, czyli o tym jak hostować aplikacje na Mic...
GET.NET - Osiołkowi w żłobie dano, czyli o tym jak hostować aplikacje na Mic...Michal Furmankiewicz
 
PLNOG20 - Krzysztof Mazepa - Transformacja poprzez innowacje
PLNOG20 - Krzysztof Mazepa - Transformacja poprzez innowacjePLNOG20 - Krzysztof Mazepa - Transformacja poprzez innowacje
PLNOG20 - Krzysztof Mazepa - Transformacja poprzez innowacjePROIDEA
 
Citrix NetScaler - Drogą wstępu do ADC
Citrix NetScaler - Drogą wstępu do ADCCitrix NetScaler - Drogą wstępu do ADC
Citrix NetScaler - Drogą wstępu do ADCPawel Serwan
 
PLNOG15 :Three faces of SDN - ACI vs NSX vs Nuage, Maciej Lelusz,Jarosław Zie...
PLNOG15 :Three faces of SDN - ACI vs NSX vs Nuage, Maciej Lelusz,Jarosław Zie...PLNOG15 :Three faces of SDN - ACI vs NSX vs Nuage, Maciej Lelusz,Jarosław Zie...
PLNOG15 :Three faces of SDN - ACI vs NSX vs Nuage, Maciej Lelusz,Jarosław Zie...PROIDEA
 
PLNOG 17 - Maciej Flak - Cisco Cloud Networking - czyli kompletna infrastrukt...
PLNOG 17 - Maciej Flak - Cisco Cloud Networking - czyli kompletna infrastrukt...PLNOG 17 - Maciej Flak - Cisco Cloud Networking - czyli kompletna infrastrukt...
PLNOG 17 - Maciej Flak - Cisco Cloud Networking - czyli kompletna infrastrukt...PROIDEA
 
[CareerCon] as-a-Service czy Software Defined (PL)
[CareerCon] as-a-Service czy Software Defined (PL)[CareerCon] as-a-Service czy Software Defined (PL)
[CareerCon] as-a-Service czy Software Defined (PL)Jaroslaw Sobel
 
Prezentacja witruallizacja dc 1.3
Prezentacja witruallizacja dc 1.3Prezentacja witruallizacja dc 1.3
Prezentacja witruallizacja dc 1.3Marta Pacyga
 
PLNOG15: Virtualization and automation of network and security services in Da...
PLNOG15: Virtualization and automation of network and security services in Da...PLNOG15: Virtualization and automation of network and security services in Da...
PLNOG15: Virtualization and automation of network and security services in Da...PROIDEA
 
Wprowadzenie do Kubernetesa. K8S jako nowy Linux.
Wprowadzenie do Kubernetesa. K8S jako nowy Linux.Wprowadzenie do Kubernetesa. K8S jako nowy Linux.
Wprowadzenie do Kubernetesa. K8S jako nowy Linux.Wojciech Barczyński
 
PLNOG 21: Piotr Szczepanek - Elastic w Treatnet. Innowacyjny system wykrywani...
PLNOG 21: Piotr Szczepanek - Elastic w Treatnet. Innowacyjny system wykrywani...PLNOG 21: Piotr Szczepanek - Elastic w Treatnet. Innowacyjny system wykrywani...
PLNOG 21: Piotr Szczepanek - Elastic w Treatnet. Innowacyjny system wykrywani...PROIDEA
 
PLNOG15: Security and applications control in Next-Gen Data Center - Seweryn ...
PLNOG15: Security and applications control in Next-Gen Data Center - Seweryn ...PLNOG15: Security and applications control in Next-Gen Data Center - Seweryn ...
PLNOG15: Security and applications control in Next-Gen Data Center - Seweryn ...PROIDEA
 
Publikacja usług Exchange 2013 w internecie. Co dalej bez TMG?
Publikacja usług Exchange 2013 w internecie. Co dalej bez TMG?Publikacja usług Exchange 2013 w internecie. Co dalej bez TMG?
Publikacja usług Exchange 2013 w internecie. Co dalej bez TMG?Konrad Sagala
 
infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń...
infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń...infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń...
infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń...PROIDEA
 
Poland- Smart Client Technology - MTS 2005
Poland- Smart Client Technology - MTS 2005Poland- Smart Client Technology - MTS 2005
Poland- Smart Client Technology - MTS 2005Tomasz Cieplak
 

Semelhante a PLNOG19 - Krzysztof Banel - Nowe modele bezpieczeństwa w sieciach SDN (20)

PLNOG16: Praktyczne zastosowania technologii SDN w  6 4 2 0 Kolumna 1 Kolumn...
PLNOG16: Praktyczne zastosowania technologii SDN w  6 4 2 0 Kolumna 1 Kolumn...PLNOG16: Praktyczne zastosowania technologii SDN w  6 4 2 0 Kolumna 1 Kolumn...
PLNOG16: Praktyczne zastosowania technologii SDN w  6 4 2 0 Kolumna 1 Kolumn...
 
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel Mikolajczyk
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel MikolajczykSecurity B-Sides Warsaw 2014 - Network Security Treasures - Gawel Mikolajczyk
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel Mikolajczyk
 
Budowanie sieci Grid
Budowanie sieci GridBudowanie sieci Grid
Budowanie sieci Grid
 
PLNOG 21: Krzysztof Mazepa - Transformacja_poprzez_innowacje
PLNOG 21: Krzysztof Mazepa - Transformacja_poprzez_innowacjePLNOG 21: Krzysztof Mazepa - Transformacja_poprzez_innowacje
PLNOG 21: Krzysztof Mazepa - Transformacja_poprzez_innowacje
 
"SIEM według potrzeb: Elasticsearch, Energy Logserver, Wazuh, Bro..."
"SIEM według potrzeb: Elasticsearch, Energy Logserver, Wazuh, Bro...""SIEM według potrzeb: Elasticsearch, Energy Logserver, Wazuh, Bro..."
"SIEM według potrzeb: Elasticsearch, Energy Logserver, Wazuh, Bro..."
 
GET.NET - Osiołkowi w żłobie dano, czyli o tym jak hostować aplikacje na Mic...
GET.NET - Osiołkowi w żłobie dano, czyli o tym jak hostować aplikacje na Mic...GET.NET - Osiołkowi w żłobie dano, czyli o tym jak hostować aplikacje na Mic...
GET.NET - Osiołkowi w żłobie dano, czyli o tym jak hostować aplikacje na Mic...
 
PLNOG20 - Krzysztof Mazepa - Transformacja poprzez innowacje
PLNOG20 - Krzysztof Mazepa - Transformacja poprzez innowacjePLNOG20 - Krzysztof Mazepa - Transformacja poprzez innowacje
PLNOG20 - Krzysztof Mazepa - Transformacja poprzez innowacje
 
Citrix NetScaler - Drogą wstępu do ADC
Citrix NetScaler - Drogą wstępu do ADCCitrix NetScaler - Drogą wstępu do ADC
Citrix NetScaler - Drogą wstępu do ADC
 
PLNOG15 :Three faces of SDN - ACI vs NSX vs Nuage, Maciej Lelusz,Jarosław Zie...
PLNOG15 :Three faces of SDN - ACI vs NSX vs Nuage, Maciej Lelusz,Jarosław Zie...PLNOG15 :Three faces of SDN - ACI vs NSX vs Nuage, Maciej Lelusz,Jarosław Zie...
PLNOG15 :Three faces of SDN - ACI vs NSX vs Nuage, Maciej Lelusz,Jarosław Zie...
 
PLNOG 17 - Maciej Flak - Cisco Cloud Networking - czyli kompletna infrastrukt...
PLNOG 17 - Maciej Flak - Cisco Cloud Networking - czyli kompletna infrastrukt...PLNOG 17 - Maciej Flak - Cisco Cloud Networking - czyli kompletna infrastrukt...
PLNOG 17 - Maciej Flak - Cisco Cloud Networking - czyli kompletna infrastrukt...
 
[CareerCon] as-a-Service czy Software Defined (PL)
[CareerCon] as-a-Service czy Software Defined (PL)[CareerCon] as-a-Service czy Software Defined (PL)
[CareerCon] as-a-Service czy Software Defined (PL)
 
Prezentacja witruallizacja dc 1.3
Prezentacja witruallizacja dc 1.3Prezentacja witruallizacja dc 1.3
Prezentacja witruallizacja dc 1.3
 
PLNOG15: Virtualization and automation of network and security services in Da...
PLNOG15: Virtualization and automation of network and security services in Da...PLNOG15: Virtualization and automation of network and security services in Da...
PLNOG15: Virtualization and automation of network and security services in Da...
 
Wprowadzenie do Kubernetesa. K8S jako nowy Linux.
Wprowadzenie do Kubernetesa. K8S jako nowy Linux.Wprowadzenie do Kubernetesa. K8S jako nowy Linux.
Wprowadzenie do Kubernetesa. K8S jako nowy Linux.
 
PLNOG 21: Piotr Szczepanek - Elastic w Treatnet. Innowacyjny system wykrywani...
PLNOG 21: Piotr Szczepanek - Elastic w Treatnet. Innowacyjny system wykrywani...PLNOG 21: Piotr Szczepanek - Elastic w Treatnet. Innowacyjny system wykrywani...
PLNOG 21: Piotr Szczepanek - Elastic w Treatnet. Innowacyjny system wykrywani...
 
PLNOG15: Security and applications control in Next-Gen Data Center - Seweryn ...
PLNOG15: Security and applications control in Next-Gen Data Center - Seweryn ...PLNOG15: Security and applications control in Next-Gen Data Center - Seweryn ...
PLNOG15: Security and applications control in Next-Gen Data Center - Seweryn ...
 
Robert Olejnik - Bezpieczeństwo w chmurach, czyli jak i dlaczego stworzyliśmy...
Robert Olejnik - Bezpieczeństwo w chmurach, czyli jak i dlaczego stworzyliśmy...Robert Olejnik - Bezpieczeństwo w chmurach, czyli jak i dlaczego stworzyliśmy...
Robert Olejnik - Bezpieczeństwo w chmurach, czyli jak i dlaczego stworzyliśmy...
 
Publikacja usług Exchange 2013 w internecie. Co dalej bez TMG?
Publikacja usług Exchange 2013 w internecie. Co dalej bez TMG?Publikacja usług Exchange 2013 w internecie. Co dalej bez TMG?
Publikacja usług Exchange 2013 w internecie. Co dalej bez TMG?
 
infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń...
infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń...infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń...
infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeń...
 
Poland- Smart Client Technology - MTS 2005
Poland- Smart Client Technology - MTS 2005Poland- Smart Client Technology - MTS 2005
Poland- Smart Client Technology - MTS 2005
 

PLNOG19 - Krzysztof Banel - Nowe modele bezpieczeństwa w sieciach SDN

  • 1. Nowe modele bezpieczeństwa w sieciach SDN Krzysztof Banel Cisco Systems Poland Consulting Systems Engineer, DataCenter CCIE #9341
  • 2.
  • 4. Wydajność dzięki AI i machine learning będzie rosła
  • 5. Czy będziemy uwolnieni od ciężkiej pracy w IT jak kiedyś w rolnictwie i w przemyśle ?
  • 6. Co to oznacza dla miejsc pracy w IT ?
  • 7. Co to oznacza dla miejsc pracy w IT ?
  • 8. Co to oznacza dla miejsc pracy w IT ?
  • 9. Cyfrowa rewolucja Mała świadomość biznesu i IT 63 miliony włączanych nowych urządzeń na sekundę do 20201 Złożoność Wolne i podatne na błędy wdrażanie i zarządzanie 3X więcej wydatków na utrzymanie sieci niż na samą sieć2 Bezpieczeństwo Nieograniczony potencjał ataków Nawet 6 miesięcy do wykrycia włamania3 Dlaczego automatyzacja ? Bo wymagania dla sieci nigdy nie były tak wysokie jak dziś 1: Gartner Report - Gartner’s 2017 Strategic Roadmap for Networking 2. McKinsey Study of Network Operations for Cisco – 2016 3. Ponemon Research Institute Study on Malware Detection, Mar 2016
  • 10. Stale się broni Stale się adaptuje Stale się uczy Intuicyjna sieć Nowoczesna sieć: im więcej ją wykorzystujesz tym szybciej się uczy. Nawet setek nowych urządzeń, aplikacji, użytkowników Odpowiada błyskawicznie na potrzeby biznesu nawet przy szczupłym personelu IT i małym budżecie Rozpoznaje i przewiduje ataki i zagrożenia – błyskawicznie reaguje
  • 11. Informowana kontekstowo Widocznosć ruchu i interpretacja zagrożeń Kto, Co, Kiedy, Gdzie, Jak Zasilona intencjami Translacja intencji użytkownika do polityki sieciowej Automatyzacja błyskawicznego uruchamiania i zarządzania milionami urządzeń Sieć oparta o intencje Sterowana intuicją Samoucząca się inteligencja maszynowa na duża skalę Przewidywanie zachowań i potrzeb aby zapewnić wydajność i bezpieczeństwo
  • 12. Cisco ACI – Application Centric Infrastructure Deklaratywny model dla intuicyjnej sieci SDN INTENT BUSINESS POLICY OpFlex OVS/FD.ioOpFlex AVS-NG VDSOpFlex AVS-NG DC1 DC n WAN/Campus OpFlex Cloud Sieć & Zakres polityk API API L4-L7 Services
  • 13. APP OS APP OS APP OS APP OS Kontroler APIC i wirtualne przełączanie Jeden kontroler dla wszystkich środowisk VDS APP OS APP OS APP OS APP OS Any vSwitch APP OS APP OS APP OS APP OS AVSNG KVM w/ OVS APP OS APP OS APP OS APP OS N9K Leaf Docker w/ OVS VMware vCenter Microsoft SCVMM N9K Leaf Policy and Visibility PointNorthbound APIs OpFlex Spójna wirtualizacja sieci, mikrosegmentacja i polityki – widziana całość ruchu Application Traffic
  • 14. Domena APIC dla Kubernetes VMM APIC inwentaryzuje POD-y i ich metadane (labels, annotations), wdrożenia, repliki, itd. Wizualizacja POD-a per węzeł, mapowanie do enkapsulacji, fizycznego dołączenia do fabryki. Administrator APIC może wyszukiwać węzły k8s, POD-y, usługi …
  • 15. Zdalny PoD Multi-Pod / Multi-Site Chmura hybrydowa ACI Anywhere Dowolne środowisko, dowolna lokalizacja, dowolna chmura ACI Anywhere IP WANIP WAN Wyniesiona lokalizacja Chmura publicznaChmura prywatna Wszędzie bezpieczeństwo Wszędzie politykaWszędzie analityka 22
  • 16. Bezpieczeństwo i mikrosegmentacja w ACI Prostota, wielość środowisk, skalowalność Automatyczne audytowanie, wykrywanie, ograniczanie Polityki– środowiska wirtualne i fizyczne Stateful firewall i Mikrosegmentacja Funkcjonalność zintegrowana w ACI Zewnętrzne integracje usług L4-L7 Ochrona inwestycji Wykorzystanie mozliwości i rozwiązań 3rd party
  • 17. W oparciu o atrybuty/tagi Wewnątrz segmentów EPGW oparciu o segmenty EPG ACI Benefits PROD POD DMZ SHARED SERVICES Basic DC Segmentation DEV TEST PROD Application Lifecycle Segmentation WEB APP DB Service Level Segmentation Network-Centric Segmentation VLAN 1 VXLAN 2 VLAN 3 FW OS ‘Linux’ IP ‘1.1.1.1’ FW Name ‘Video’ Intra-EPG Isolation All Workloads Can Communicate Application Tier Policy Group Isolate Workloads within Application Tier Application Tier Policy Group Quarantine Compromised Workloads Isolate VMware VDS KVM Cisco AVS Mikrosegmentacja w oparciu o polityki dostępna dla dowolnego środowiska Physical Segmentacja sieciowa w ACI Mikrosegmentacja niezależna od hypervisora MSFT Hyper-V
  • 18. • Bloki WEB i APP jako maszyny VM dzielące jedną podsieć (segment) • Ruch między WEB i APP musi byc filtrowany (firewall) • Aplikacje łączą się z bazą SQL na serwerze bare metal • Model bezpieczeństwa White-List Model dla bezpieczeństwa(zero-trust) • Zautomatyzowane wdrożenie polityk Przykład mikrosegmentacji w ACI Wiele aplikacji webowych podzielonych na bloki, korzystających ze wspólnej fizycznej DB i oddzielonych od siebie WEB-APP SUBNET DB SUBNET Web VM Web VM App VM App VM Fizyczna baza SQL WEB-TIER APP-TIER
  • 19. Uruchom wszystkie maszyny VM w tym samym segmencie – „staging” Internet extEPG Proxy extEPG Ansible Monitoring L3Out Web-Tier PortGroup (BaseEPG) (PVLAN 2300/2301) proxy-svc ansible dns monitor BaseEPG- Web-Tier MasterEPG SQL DB Stwórz bazowe EPG. Pozwól na dostęp do narzędzi, usług uruchamiania, itp. W czasie uruchamiania maszyny VMs mają dostęp tylko do odp. narzędzi
  • 20. Stwórz Mikro-EPG wraz z zasadami kwalifikacji maszyn VM do nich Internet extEPG Proxy extEPG Ansible Monitoring L3Out Web-Tier PortGroup (BaseEPG) (PVLAN 2300/2301) proxy-svc ansible dns monitor BaseEPG- Web-Tier MasterEPG SQL DB Stwórz uEPG i sklasyfikuj zadanie używając atrybutów VM Attributes (np. Tagów) Tag==Web AND Tag==Prod Tag==App AND Tag==Prod uEPG-Web uEPG-App
  • 21. Stwórz politykę bezpieczeństwa dla swojej aplikacji Internet extEPG Proxy extEPG Ansible Monitoring L3Out Web-Tier PortGroup (BaseEPG) (PVLAN 2300/2301) proxy-svc ansible dns monitor BaseEPG- Web-Tier MasterEPG SQL DB Opcjonalnie uEPGs mogą dziedziczyć polityki z Base EPG Tag==Web AND Tag==Prod Tag==App AND Tag==Prod uEPG-Web uEPG-App Kontrakty automatycznie dziedziczone
  • 22. Stwórz politykę bezpieczeństwa dla swojej aplikacji Internet extEPG Proxy extEPG Ansible Monitoring L3Out Web-Tier PortGroup (BaseEPG) (PVLAN 2300/2301) proxy-svc ansible dns monitor BaseEPG- Web-Tier MasterEPG SQL DB Tag==Web AND Tag==Prod Tag==App AND Tag==Prod uEPG-Web uEPG-App App-service SQL-DB web-service Dodaj kontrakty odpowiednie dla Twojej aplikacji
  • 23. Dodaj Tagi maszynom VM - wpadną do swoich uEPG Internet extEPG Proxy extEPG Web-Tier PortGroup (BaseEPG) (PVLAN 2300/2301) Ansible Monitoring L3Outproxy-svc ansible dns monitor BaseEPG- Web-Tier MasterEPG SQL DB uEPG-Web uEPG-App Web Prod Web Prod App Prod App Prod app-service SQL-DB web-service PolItyki dla maszyn VM zostają automatycznie przyłożone bez rekonfiguracji hypervisora. Polityki podążają za maszyną VM
  • 24. Mikrosegmentacja dla maszyn bare metal, maszyn VM na wielu vCenter i w wielu ośrodkach DC SITE 1 SITE 2 IP connectivity vCenter1 vCenter2 Cluster-01 Cluster-02 Spójna klasyfikacja do Mikro-EPG w oparciu o atrybuty Web Prod Web Prod uEPG-Web App Prod App Prod uEPG-App SQL-EPG Spójne polityki dla wielu ośrodków DC
  • 25. Podstawa modelu bezpieczeństwa: Polityki oparte o identyfikację Embedded L4 Security Embedded Sensors Firewall at Each Leaf switch Servers (Physical, Virtual, Containers, Micro Services) Next Gen Stateful L4-7 Visibility and Control Multi-Tier Sensor Data Gathering App1 DBWeb1 QoS Filter QoS Service QoS Filter Branch Identity & Policy Driven Security Architecture Identity and Policy Federation Policy Discovery, Monitoring and Control MACSEC and INS-SEC Encryption
  • 26. Łączenie domen identyfikacji TrustSec domain Voice Employee Supplier BYOD Campus / Branch / Non-Fabric TrustSec Policy Domain Voice VLAN Data VLAN Web App DB ACI Fabric Data Center APIC Policy Domain APIC WAN Policy Domains ISE TrustSec Policy Domain APIC Policy Domain • Po zdefiniowaniu aplikacji w Data Center jak mapować użytkowników ? • ISE + ACI umożliwiaja mapowanie między użytkownikiem i zasobem w Data Center ASR 1K Nexus 7K Campus/Branch TrustSec Border Router (ACI 2.3) Data Plane (VXLAN)
  • 28. Architektura analityki Cisco Tetration Zbieranie danych - telemetria Software Sensor and Enforcement Embedded Network Sensors (Telemetry Only) Third Party Sources (Configuration Data) Maszyna analityczna Cisco Tetration Analytics Cluster Otwarty dostęp Web GUI REST API Event Notification Tetration Apps  Self Managed Cluster  One Touch Deployment  Easy Integration via Open interfaces  Open Data Lake (via Tetration Apps)  No Hadoop / Data Science Background Needed  No External Storage Needed
  • 29. PROTECT Discover Enforce Harden DETECT Block Defend REMEDIATE Scope Contain Nowy model bezpieczeństwa: Przed zagrożeniem Co jest aplikacją ? Jak grupować elementy aplikacji ? Jak tworzyć intencje polityk ? Jak je wymuszać ?
  • 30. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Public Tetration – Application Discovery Mapping (ADM) VLAN = BD = EPG Infrastruktura sieciowa Analytics Engine Cisco Tetration Analytics™ Platform Web (tet-web) App (tet-app) DB (tet-db) Aplikacje Tetration BRKACI-2050 Web App DB Bez polityki Polityka bezpieczeństwaRozpoznawanie aplikacji i śledzenie 30
  • 31. Identyfikacja środowisk i komunikacji Workload: X IP: 1.1.1.1 Ingestion Pipeline Telemetry Data Identity Repository Workload: X IP: 1.1.1.1 Lifecycle: Production Restricted: PCI Location: AWS SGT: 20 URL: http://www.cisco.com/* Username: steven Insight Exchange
  • 32. Np. Development nie może się łączyć z Produkcją Segmentacja – intencja wyrażona w ludzkim języku Tetration wie kto reprezentuje „Development” Tetration wie kto reprezentuje „Produkcję” Polityki są ciągle aktualizowane w miarę zmian aplikacji
  • 33. SOURCE 128.0.10.0/24 DEST 128.0.11.0/24 SOURCE 10.0.0.0/8 DEST 128.0.0.0/8 SOURCE * DEST 128.0.100.0/24 PORT = 80 SOURCE * DEST * PORT = 80 Jak to działa ? Tetration automatycznie konwertuje intencję do postaci white list Zablokuj ruch aplikacji nieprodukcyjnych do aplikacji produkcyjnych Pozwól na dostęp aplikacjom HR do bazy pracowników Zablokuj wszystkie połączenia HTTP które nie są kierowane do serwerów Web Intent Rules
  • 34. Wdrażanie polityki w dowolnym miejscu Google AmazonAzure Public Cloud Virtual Cisco ACITM* Traditional NetworkBare Metal Azure Amazon Cisco Tetration Analytics 1. Unikalna polityka dla każdego agenta 2. Wysyła politykę do wszystkich agentów 3. Agent wdraża politykę na lokalnym FW 4. Ciągłe wyznaczanie polityki na podstawie zmieniającej się identyfikacji i klasyfikacji Google
  • 35. Model bezpieczeństwa analityki Tetration PROTECT Discover Enforce Harden DETECT Block Defend REMEDIATE Scope Contain Która komunikacja wykracza poza ramy ? Przeszukiwanie w czasie rzeczywistym i historyczne Jakie są wyjątki ? Powszechne wdrażanie nowych reguł `
  • 36. Weryfikacja polityki w rzeczywistym środowisku Polityka oparta na intencji w Tetration Polityka monitorowana w czasie rzeczywistym dla sprawdzania zgodności i odchyleń • Sprawdzanie wpływu nowej polityki w czasie rzecz. • Symulowanie zmiany polityki na historycznym ruchu • Pokazywanie “odchyłek” ruchu dla szybkiej orientacji • Audyt staje się funkcją uczenia maszynowego
  • 37. Model bezpieczeństwa analityki Tetration PROTECT Discover Enforce Harden DETECT Block Defend REMEDIATE Scope Contain Kwarantanna problematycznych hostów Wysłanie alertu do SIEM Integracja z orkiestratorami bezpieczeństwa
  • 38. Analityka Tetration : otwarty system Northbound application Kafka Broker Northbound consumers Northbound consumers Interfejs API (programistyczny) Publikacja komunikatów Aplikacje dla Tetration REST API • Przeszukiwanie flow’ów • Zarządzanie sensorami Push Notification • Niestandardowe zdarzenia • Zdarzenia definiowane przez użytkowników Tetration Apps • Dostęp do danych • Tworzenie własnych aplikacji Cisco Tetration Analytics Platform Kafka
  • 39. ACI + Tetration: zasilane intencjami Tetration Analytics ACI Fabric Network Policy Enforcement Host Security Enforcement Policy
  • 40.
  • 41. KRZYSZTOF BANEL CISCO SYSTEMS POLAND kbanel@cisco.com