data Сenter design&deploy forum - cisco€¦ · phdays vi Сityf: Противостояние...
TRANSCRIPT
2016 | Москва
Data СenterDesign&DeployForum
Data Сenter Design&Deploy Forum 2016 | Moscow
ОЛЕГ МАТЫКОВ,
руководитель направления развития продуктов для защиты приложений и промышленных сетей,Positive Technologies
Практическое использование фабрики ACI
Data Сenter Design&Deploy Forum 2016 | Moscow
Positive Technologies
Data Сenter Design&Deploy Forum 2016 | Moscow
4 года партнерства с Cisco
Исследования безопасности
устройств Cisco
Автоматическая инвентаризация и
анализ безопасности устройств Cisco
Контроль изменения конфигураций и
уровня защищенности продуктов Cisco
Защита веб-приложений в ЦОД на
базе Cisco
Data Сenter Design&Deploy Forum 2016 | Moscow
Positive Hack Days
Cisco на Positive Hack Days
Data Сenter Design&Deploy Forum 2016 | Moscow
PHDays VI СityF: Противостояние
ХАКЕРЫ (16) vs ЗАЩИТНИКОВ (5)
Защита (виртуальной)
инфраструктуры 5-ти компаний
Security Operation Center (3)
ЗАДАЧИ:1. Развернуть 900 виртуальных машин с использованием
Network Functions Virtualization
2. Разграничить виртуальную инфраструктуру на 5
организаций, SOC, «как бы интернет», сегмент защиты веб-
приложений и сегмент хакеров
Data Сenter Design&Deploy Forum 2016 | Moscow
Физическая инфраструктура CityF
2 x Cisco Nexus 9336PQ ACI Spine Switch
2 x Cisco Nexus 9372PX ACI Leaf Switch
1 x Cisco ASA 5585-X with SSP-10
14 серверов
100+ компьютеров участников
1 x Cisco Catalyst 3850
Data Сenter Design&Deploy Forum 2016 | Moscow
Виртуальные технологии CityF
VMware vCenter Server
VMware vSphere Distributed Switch
Cisco CSR 1000V
Cisco ASAv
Cisco ACI with VMware VDS Integration
Check Point vSEC Virtual Edition PT Application Firewall Virtual
Appliance
Data Сenter Design&Deploy Forum 2016 | Moscow
Схема сети виртуальной организации CityF
200 терминальных групп (EPGs) в 10 профилях приложений
Internet
DMZ – 203.0.113.128/25
Users – 10.125.4.0/24
CP-EDGE-2
Network Management Servers – 10.125.2.0/28
Windows Servers – 10.125.2.16/28
DB Servers – 10.125.2.32/28
203.0.113.0/29
ASA-MNG-1
Admins – 10.125.3.0/24
IOS-CORE-110.125.10.1
IOS-DST-210.125.10.4
IOS-DST-110.125.10.3
10.125.1.16/3010.125.1.4/30
IOS-CORE-210.125.10.2
10.125.1.8/30
10.125.1.12/30
10.125.1.0/30
ASA-VPN-1
203.0.113.8/29
VPN-Users10.125.5.0/24
Branch Users – 10.125.6.0/25
Branch Servers – 10.125.6.128/25
IOS-BRCH-110.125.10.5
198.51.100.4/30
198.51.100.8/30
10.125.1.64/30
ASA-BRCH-1
Branch-VPN-Users10.125.7.0/24
.10
.9
.66
.65
.5
.6
.17
.1
IOS-EDGE-1203.0.113.17
.2
.52
ClusterXL .36
.1.2
.34.50
.51.35
.1 .1
.26
.5
.13.27
.9
.6
.10
.14 .18
.17
.28
.9
ClusterXL .20
.12
.1.17
.33
HSRP .49 HSRP .33
HSRP .25
Головная организация
Филиал
Sit-to-Site VPN
.1
.129
.21 .22
.38.37
.130
.131
CP-EDGE-1
ClusterXL .130
1st Sync10.125.10.8/30
.10.9
Unix Servers – 10.125.2.48/28
.49
10.125.1.24/29
10.125.1.48/28 10.125.1.32/28 .40
CentOS-Squid
203.0.113.16/25
IOS-ISP-2
IOS-ISP-1
Data Сenter Design&Deploy Forum 2016 | Moscow
ИТОГИ
• Инфраструктура было развернута за 2
недели
• Конкурс начался в назначенное время
• Трафик в сети достигал 400 Гбит\с
• Серьезных сбоев не зафиксировано
• Защитники отстояли свои организации
• Форум посетили более 4000 человек
• Фабрика Cisco ACI будет использована
на следующем Positive Hack Days
Cisco и PT Application Firewall
Data Сenter Design&Deploy Forum 2016 | Moscow
Cisco ACI и PT Application Firewall: первый опыт
Защищаемый
веб-сервер
Веб-клиент
PT Application
Firewall
1
2
APIC
Data Сenter Design&Deploy Forum 2016 | Moscow
Зачем нужен WAF?
Через веб-сервисы в 2015 году были
скомпрометированы 78% компаний*
*по данным опросов Ponemon Institute
Data Сenter Design&Deploy Forum 2016 | Moscow
Варианты развертывания WAF
Data Сenter Design&Deploy Forum 2016 | Moscow
PT Application Firewall – технологический лидер
Data Сenter Design&Deploy Forum 2016 | Moscow
Автоматизация развертывания PT Application Firewall
Развертывание
экземпляра PT AF
Создание
сервисной цепочки
Встраивание
сервисной цепочки
Обновление
записи DNS
1
2
3
4
UCS Director использует REST API сервисной платформы CSP 2100
Платформа CSP 2100 запускает экземпляр виртуальной машины
Настройка IP-адреса управления для PT AF
Обновление записи DNS и перенаправление трафика
пользователей на PT AF
APIC
В APIC контроллер добавляется сервисное устройство
Создается профиль настроек PT AF
Создается сервисная цепочка
В существующий контракт между EPG Client и EPG Server добавляется
ссылка на сервисный граф
DNS-сервер
Enterprise
Backbone
1CSP 2100
Веб-клиент
Защищаемый
веб-сервер
PT AF
2 3
4
Платформа
Оркестрации
(UCS Director)
Data Сenter Design&Deploy Forum 2016 | Moscow
PT Application Firewall на Cisco UCS
Снижение стоимости владения PT Application Firewall
за счет использования технологий Cisco UCS
Cisco UCS-E140S
Cisco UCS-C220-M4S
Data Сenter Design&Deploy Forum 2016 | Moscow
Лучше один раз попробовать
С ТЕХНОЛОГИЯМИ РАЗВЕРТЫВАНИЯ CISCO
Спасибо!
ОЛЕГ МАТЫКОВ,
руководитель направления развития продуктов для защиты приложений и промышленных сетей,
Positive Technologies