Segurança em SDN

Cisco Confidential 1© 2013-2014 Cisco and/or its affiliates. All rights reserved.

Segurança em SDN

Fernando Zamai

Security [email protected]


Arquitetura do Data Center

Físico Virtual Industrial


Data Center Físico(Antes de 2006)


IDS

DC Físico: Rede com Topo-de-Rack

Internet/WAN

Conexão L3Conexão L2

Nort

e-sul

Leste-oeste

ACLs

Firewall Contexts

VlanBroadcast


Data Center Físico: Ataques Mais Comuns

Viruses1990–2000

Worms2000–2005

• Phishing

• Baixa sofisticação

• Fama

• Destrutivos

• Impacto na Rede

• Ex: CodeRed


DC Físico: Contextos

VLAN1

VLAN2

VLAN3

Aplicação 3

Aplicação 2

Aplicação 1

Server Load BalancerFirewall


Data Center Virtual(2007-2012)


Limitação de PODs ou Racks

DC

POD POD

DC

POD POD

Data Center Virtualizado

DC Virtual: Mobilidade de VMs


DC Virtual: Tipos de Ataques

Spyware and Rootkits2005–2013

• Nascimento da industria Hacking

• Tecnicas de obfuscação


Host

1H

ost

3H

ost

2

Host

4H

ost

5

Host

7H

ost

6

Fabric = Grande Switch Non-Blocking

Host1

Host3

Host4

Host5

Host7

Host2

Host6


Host

1H

ost

3H

ost

2

Host

4H

ost

5

Host

7H

ost

6

LC

LC

LC

LC

LC

LC

LC

LC

LC

LC

FM

FM

FM

Fabric ≅ Grande Switch Non-Blocking


DC Virtual: FabricPath

Internet/WAN

Edge

Border Leaves

Rack Blade Server UCS

Spines

Conexão L3Conexão L2Fabric Path

Leaves


Firewall Físico

Border Leaf

Conexão L3Conexão L2Fabric Path

VPC“Virtual Port Channel”

Firewall Clustering

Alta Performancecom

Inspeção Avançada


Desafios de Redes Virtuais

NIC

Host

AppOS

VM

AppOS

VM

vSwitch

NIC

Perímetro de

Rede

VMs em VLANs erradas

SemVisibilidade

Comunicação ilícita entre VMs

Políticasdiferentes

DMZ Virtual?

STP para HA???


Virtual Ethernet Module

vPath

WS2012 Hyper-V

VXLAN


vPath

KVM/OpenStack

VXLAN


vPath

ESX

VXLAN

Cisco Nexus 1000V para Ambientes Multi-Hypervisor

Appliances VirtuaisVirtual

SupervisorModulesvWAASVSGASAv NS1000V

Appliance Físico: Cloud Service Platform

vNAM VSG

PrimaryVSM NS1000V

vNAM VSG

SecondaryVSM NS1000V

Rede DC


Data Center Industrial(Depois de 2013)


Tipos de Ataques

APTs Cyberware2013-Hoje

• Códigos sofisticados

• Evasão de Defesas

• Multiplas técnicas

• Espalhamento Horizontal


Perguntas Válidas dos Clientes

Como ter a mesma política de segurança para máquinas físicas e virtuais?

Como provisionar redes de forma automática com segurança?

Como ter visibilidade sobre o tráfego de aplicações?


Componentes do ACI

APPLICATION CENTRIC INFRASTRUCTURE

APPLICATION POLICY INFRASTRUCTURE

CONTROLLER

APIC

sSWITCHES NEXUS

9000ECOSSISTEMA


P P P

App DBWeb

ClientesExternos

QoS

Filtro

QoS

Serviço

QoS

Filtro

Podem ser várias VMs

Misto de máquinas físicas e virtuais

Maioria recursosfísicos

AppNetwork

Profile

P = Política de Conectividade

“A Aplicação”

ACI e Aplicações de 3 Camadas


DB Tier

Storage Storage

Cliente

Web Tier App Tier

Modelagem da Política

Instanciação da Política

VM VMVM

10.2.4.7

VM

10.9.3.37

VM

10.32.3.7

VMVM

APIC


VISIBILIDADE

T h r e a t

i n

p l a i n

s i g h t

s

h i d d e n


FirePOWER + ACI

ANTESDescubraProteja

DEPOISRegistre

ContenhaRemedie

DeteteBloqueieDefenda

DURANTE

Segmentação e isolamento via EPGs

Visibilidade e controlegranular de aplicação

Inserção automática de segurança (NGIPS, NGFW)

Visibilidade & Deteção

Micro-segmentação para quarentena (AVS)

Proteção avançada de Malware

Servidor Máquina

VirtualContainers


FirePOWER 9300 - Security Services Platform

Multi-ServicesBest of Breed Cisco Security + 3rd Party ASA | NGFW | NGIPS | DDoSOther Security Apps

Performance Industry Leading PERF / RU 600% Higher PerformanceIntelligent Fastpath EnabledLow Latency Ready

Port Density30% Higher Terabit Backplane10G/40G I/O; 100G Ready

ProgrammabilityRestful/JSON API

Template Driven Security Service Profiles

Secure Containerization for custom apps

Power EfficiencyModular Architecture

Front-to-Back AirflowNEBS Ready

Universal PSU(AC/DC)Compact Form-Factor

Multi

Services

Ultra High

Performance

High

Port Density

Flexible

Programmability

Power

Efficiency

3RU

NEW


Security Modules (up to 3)• SM-36 “Extreme”: 72 x86 CPU cores (up to 80Gbps of firewalled throughput)• SM-24 “Enterprise”: 48 x86 CPU cores (up to 60Gbps of firewalled throughput• Cisco (ASA) and third-party (Radware DDoS) applications

Supervisor• Application deployment and orchestration• Network attachment and traffic distribution• Clustering base layer for ASA/FTD

Firepower 9300 Overview

Network Modules• 10GE/40GE and future 100GE• Hardware bypass for inline NGIPS


Capítulo 1: Definição de virtualização e conceitos de Data CenterCapítulo 2: Evolução do Ethernet, topologias comuns de rede e norma ANSI/TIA-942Capítulo 3: VLANs e VRFsCapítulo 4: Balanceamento de servidores e contextos virtuaisCapítulo 5: VDCsCapítulo 6: vPC e FabricPathCapítulo 7: FEXCapítulo 8: EoMPLS, VPLS e OTVCapítulo 9: Conceitos de armazenamento, SCSI e virtualizaçãoCapítulo 10: Conceitos de Fibre Channel e VSANsCapítulo 11: FCIP, IVR e NPVCapítulo 12: DCB e FCoECapítulo 13: Evolução de servidores (x86, virtualização e UCS)Capítulo 14: Service Profiles do UCSCapítulo 15: Nexus 1000V, VXLAN e VM-FEXCapítulo 16: vPath, VSG, ASA 1000V, vWAAS e CSR 1000VCapítulo 17: Conceitos de Cloud computing, automação, SDN

Referência

Segurança em SDN

Technology

Transcript of Segurança em SDN