2. Организационные вопросы
1. Нам очень важно Ваше мнение – заполняйте, пожалуйста,
предложенные анкеты, после каждой сессии!
2. Пожалуйста, помните, что в зале курить запрещено!
3. Пожалуйста, выключите ваши мобильные телефоны!
4. Пожалуйста, используйте мусорные ведра!
5. Пожалуйста, держите Ваш регистрационный пропуск при себе!
3. Основные вызовы безопасности в виртуальной
среды
Изоляция и сегментация
Физический сервер
Sensitive
Риски эксплуатации
Network
Team
Server
Team
Security
Team
Non-Sensitive
Как внедрять политику?
Физический сервер
Отсутствие
видимости
4. Архитектура Cisco Data Center
Зоны виртуализации
Сервисы
Виртуальн.
доступ
VM
SAN
Вычисления
Доступ
Агрегация и
сервисы
Ядро
Граница
IPмагистраль
App
App
App
Virtual Device
Contexts
OS
OS
OS
Zones,
vSANs
App
App
App
OS
OS
Firewall
Contexts
OS
Интернет
VRFs
App
App
App
Virtual Device
Contexts
OS
OS
OS
Service
Profiles
Virtual Machine
Optimization
Port Profiles
& VN-Link
App
App
App
OS
OS
OS
App
App
App
OS
OS
OS
IP-NGN
Port Profiles
& VN-Link
Партнеры
Fabric Extension
5. Физические устройства защиты
Физические
Физические устройства и модули
Cisco Multi-Scale™ data center-class Cisco®
ASA devices
Виртуальные и облачные
Облачный фаервол
Продвинутая облачная безопасность
Cisco Catalyst® 6500
Series ASA Services
Module
• Масштабируемая производительность
Cisco ASA 1000V
Cloud Firewall
• Надежный фаервол для облака
• Политики безопасности для Edge
• Специфические политики для
арендаторов и виртуальных машин
Cisco ASA
5585-X
• Гибкая модель развертывания
Cisco VSG
• Автоматизация и развертывание по
политике
6. Физические устройства защиты
Сервисный Модуль ASA
Web
Server
App
Server
Database
Server
Hypervisor
Устройства ASA 5585
VLANs
Virtual Contexts
Traditional Service Nodes
Устройства защиты от атак Cisco IPS
7. Межсетевые Экраны Cisco ASA 5585-X
ASA 5585-SSP60
ASA 5585-SSP40
ASA 5585-SSP10
4 Гбит/c — пропускная
способность
межсетевого экрана
2 Гбит/с — пропускная
способность системы
IPS
50 000 соединений в
секунду
ASA 5585-SSP20
10 Гбит/с —
пропускная
способность
межсетевого экрана
3 Гбит/с — пропускная
способность системы
IPS
125 000 соединений в
секунду
Комплекс зданий
20 Гбит/с —
пропускная
способность
межсетевого экрана
5 Гбит/с — пропускная
способность системы
IPS
200 000 соединений в
секунду
40 Гбит/с —
пропускная
способность
межсетевого экрана
10 Гбит/c —
пропускная
способность системы
IPS
350 000 соединений в
секунду
Центр обработки данных
8. Новый модуль ASA для Catalyst 6500
Показатель
Значение
Производительность шасси
64 Гбит/сек
Производительность модуля
16 Гбит/сек
Одновременных сессий
10M
Новых соединений в секунду
350K
Контекстов безопасности
250
VLANs
1K
9. Высокий уровень масштабируемости
•
Выход за рамки традиционных
решений
•
Наращивание мощностей в
соответствии с ведущими
отраслевыми системными
возможностями
–
–
1,2 млн. соединений в секунду
–
1 000 виртуальных контекстов
–
•
64 Гбит/с
4 000 сетей VLAN
Поддержка решений для ЦОД,
например развертываний
частных облачных
инфраструктур
10. Устройства Cisco IPS серии 4500
•
Специализированные
высокоскоростные устройства IPS с
учетом контекста
•
Обработка с аппаратным ускорением
Regex
•
Развертывания на уровне ядра ЦОД
или
предприятия
•
Один интерфейс Gigabit Ethernet,
один интерфейс 10 Gigabit Ethernet и
слот SFP
•
Масштабируемость: доступен слот
для будущего наращивания
мощностей
11. Cisco IPS 4510
Производительность
Отсеки для
жесткого диска
(пустые)
•
•
•
Порты
управления
Интегрированный
ввод-вывод
6 GE Cu
Реальный средний показатель: 3 Гбит/с
Реальный диапазон показателей: 1.2-5 Гбит/с
Транзакционная передача по HTTP: 5 Гбит/с
•
•
2 RU (шасси)
Многоядерный ЦП корпоративного класса (8
ядер, 16 потоков)
24 ГБ ОЗУ
Резервный источник питания
Аппаратное ускорение Regex
Открытый слот (в верхней части) для
использования в будущем
Характеристики платформы:
•
•
•
•
Интегрированный
ввод-вывод
4 слота 10 GE
SFP
Индикаторы
состояния
2 порта
USB
Порт AUX и
консоль
Места развертывания
•
•
•
•
•
Средние и крупные предприятия
ЦОД кампуса
Требуется 3 Гбит/с реальной пропускной
способности IPS
Требуется резервный источник питания
Требуется специализированная система IPS
12. Cisco IPS 4520
Производительность
Отсеки для
жесткого
диска (пустые)
•
•
•
Порты
управления
Интегрированный
ввод-вывод
6 GE Cu
Реальный средний показатель: 5 Гбит/с
Реальный диапазон показателей: 2.5-7.7 Гбит/с
Транзакционная передача по HTTP: 7,6 Гбит/с
•
•
2 RU (шасси)
Многоядерный ЦП корпоративного класса (12
ядер, 24 потоков)
48 ГБ ОЗУ
Резервный источник питания
Аппаратное ускорение Regex (x2)
Открытый слот (в верхней части) для
использования в будущем
Характеристики платформы:
•
•
•
•
Интегрированный
ввод-вывод
4 слота 10 GE
SFP
Индикаторы
состояния
2 порта
USB
Порт AUX и
консоль
Места развертывания
•
•
•
•
•
Средние и крупные предприятия
Центр обработки данных
Требуется 5 Гбит/с реальной пропускной
способности IPS
Требуется резервный источник питания
Требуется специализированная система IPS
13. CSR 1000V – Cloud Services Router
Основан на IOS-XE
CSR 1000V
App
App
OS
OS
VPC/ vDC
Hypervisor
Virtual Switch
Server
Избранный функционал IOS-XE для Облачных архитектур
Инфраструктурно независимый
Сервер, Коммутатор и Мульти-Гипервизор
Cisco UCS – Intel Nehalem и выше
Работает на N1KV,vSwitch,dVS.
Поддерживается VMware ESXi 5.0. Xen и Red Hat KVM
Поддержка Amazon AMI в будущем
Шлюз для Single Tenant WAN
4 vCPU (2 ядра *2 = 4 vCPU с поддержкой Hyper Threading)
APIs для Облачной Автоматизации
13
14. Поддерживаемый функционал – IOS / Виртуализация
IOS-XE
Поддерживаемые функции
Маршрутизация
BGP, EIGRP, OSPFv3, RIPv2, ISIS, MPLS, LISP
Безопасность
Zone Based Firewall, Site-to-Site VPN, EZVPN, DMVPN, FLEX VPN
L2
OTV, VPLS, L2TPv3, EVC
Отказоустойчивость
HSRP, VRRP
Оптимизация WAN
WCCPv2, AppNav
Управление
Flexible NetFlow , EEM, IP SLA
Инфраструктура
NAT, ACL, QoS, GRE, Multicast, NBAR2 / AVC
Поддерживаемый
Не
Поддерживаемый
Поддерживаемый функционал VMWare ESXi
Cloning, Templates, vMotion, NIC Teaming, High Availability, DRS, Fault
Tolerance (FT)
Snapshots
15. Простая Виртуальная Топология в Приватном
и/или Публичном Облаке ПО
L3 VPN
• Пример дизайна
виртуальных сервисов
• Виртуальный сервер – с
единой точка контроля для
арендатора (tenant)
• Выделенная зона VSG для
распределения рабочей
нагрузки
• Виртуальный
маршрутизатор для
арендатора
• Миграция рабочей нагрузки
Публичное облако ПО
Internet
ASA1000v
CSR1000v
vNAM
vWaaS
Load balancers
VSG
Public
Zone
Protected
Zone
Zone
1
FE Zones
Zone
2
Sub
Zon
e
W
Sub
Zon
eY
Sub
Zon
eX
Sub
Zon
eZ
Zone
3
Back-end Zones
Nexus 1kv + VPATH
15
16. Citrix NetScaler 1000V в Портфолио Облачных
Сервисов
• Citrix лучший в своем классе Контроллер
Citrix
NetScaler
1000V
предоставления виртуальных приложений
(virtual application delivery controller - vADC)
• Продается и поддерживается Cisco
• Интеграция с Nexus 1110/1010, vPath
vPath
Nexus 1000V
Any Hypervisor
VM
VM
Cisco Cloud Network Services (CNS)
Citrix
NetScaler
1000V
Prime virtual
NAM
Imperva
SecureSphere
WAF
VM
VSM
VSM
VSM = Virtual Supervisor Module
DCNM = Data Center Mgt. Center
DCNM*
Nexus 1110 Платформа Облачных
Сервисов
Virtual
Security
Gateway
17. NetScaler 1000V – Поддерживаемый функционал
Безопасность приложений
Platinum
Edition
Enterprise
Edition
Standard
Edition
Защита от L4 DoS
X
X
X
L7 фильтрация контента и перезапись
HTTP/URL
X
X
X
Коннектор XenMobile NetScaler
X
X
X
Поддержка SAML2
X
X
X
Защита от L7 DoS
X
X
AAA для Управления Трафиком
X
X
МСЭ приложений Citrix с поддержкой XML
X
18. ASA/VSG Развертывание и дизайн размещения
•
•
•
•
•
•
•
•
•
VSG это прозрачный фаервол
Используется внутри арендатора
(трафик восток-запад)
Независит от топологии и VLAN
Может фильтровать между
виртуальными машинами в одной
подсети и VLAN
ASA 1000V маршрутизирующий МСЭ
Используется на границе арендатора
(трафик север-юг)
Разрешает только трафик к/от VM с
inside интерфейса (нет физических
серверов в Inside)
Служит default gateway для VMs с
inside стороны
Все IP с inside интерфейса должны
быть в одной подсети с inside
интерфейсом
Virtual Security
Gateway
(VSG)
ASA 1000V
19. • Взаимодополняющая модель
безопасности
̶
̶
Cisco Virtual Secure Gateway (VSG) для
внутренней безопасности зоны
арендатора
VMware vCenter
Cisco® Virtual Network Management Center (VNMC)
Арендатор A
Арендатор B
VDC
VDC
vApp
Cisco ASA 1000V для безопасности
границы арендатора
Cisco
VSG
• Прозрачная интеграция
Cisco
VSG
С помощью Cisco Nexus® 1000V
коммутатора и Cisco vPath
̶
• Расширяем гибкость решения для
решения потребностей облака
̶
Много-экземплярное развертывание
для масштабирования в ЦОД
vApp
Cisco
VSG
Cisco
VSG
Cisco ASA
1000V
Cisco ASA
1000V
Cisco vPath
Hypervisor
Cisco Nexus® 1000V
20.
21. • Один арендатор может иметь до трех уровней вложенности
• Каждый подуровень может иметь множественные организации
• Поддерживаются пересекающиеся адресные планы арендаторов
Уровень
Арендатора
vDC
Уровень
vApp
Уровень
Уровень
узла
Tier 1
DC 1
Арендатор A
App 1
App 2
Tier 3
DC 2
Root
Арендатор B
Tier 2
DC 3
28. Пример внедрения
VM
VM
VM
VM
VM
VM
VM
VM
VM 1
VM
VM
VM
VM
VM 2
VM
VM
VM
Nexus 1000V
Distributed Virtual Switch
vPath
VSG
Inside
Outside
ASA
vPath применяет политику
на VEM уровне и
политика сгружается от
VSG к VEM
vPath Encap links
Traffic Path
31. VSG Требования к развертыванию
VMWare vSphere 4.0+ и Virtual Center
Nexus 1000V Series коммутатор ( v1.4 и более)
vSphere
vPath
Один и более Активных VSGs на арендатора
Virtual Network Management Center (VNMC)
Заметка: Лицензирование основано на количестве
защищаемых CPU сокетов (как и Nexus 1000V)
VSG может защищать часть Nexus 1000V-
32. ASA1000V Требования к развертыванию
VMWare vSphere 4.1+ и Virtual Center
vSphere
Nexus 1000V Series коммутатор (4.2(1)SV1(5.2) и более)
Один и более Активных ASA на арендатора
Virtual Network Management Center (VNMC)
Заметка: Лицензирование основано на количестве
защищаемых CPU сокетов (как и Nexus 1000V)
ASA может защищать часть Nexus 1000V-
vPath
34. С чем сталкиваются заказчики ?
Внедрение политик информационной безопасности
Проблемы переноса политики с физических серверов на
виртуальные
Web
App
DB
Server
Server
Server
vMotion и аналоги могут нарушать политику
Hypervisor
Сегментация и изоляция
VLANs
Потеря изоляции VM из-за ошибок конфигурации или атак
Virtual Contexts
Уязвимости гипервизора и систем управления
Отсутствие наблюдаемости
Отсутствие контроля над трафиком между VMs
Риски эксплуатации
Разделение полномочий админов серверов, сети и безоп.
Часто администраторы имеют завышенные полномочия
Несвоевременная установка обновления на VMs и гипервизор
“Забытые” виртуальные машины
35. Безопасность гипервизора - ключ к безопасности
среды виртуализации
VMSA-2009-0006
Уязвимость в ESX 3.5, Workstation, etc.
Исполнение кода из VM Guest на хосте
Переполнение буфера в графическом
драйвере
Експлойт Blue Pill разработанный
Йоанной Рутковской для
процессоров AMD переносил
хостовую ОС в виртуальную
среду (2006)
Классические уязвимости среды виртуализации
36. Время не стоит на месте
Уязвимость в реализации инструкции SYSRET
всех выпущенных x86-64 процессоров Intel
позволяет выходить за пределы виртуальной
машины - http://www.xakep.ru/post/58862/
19.06.2012 http://www.xakep.ru/post/58862/
Как взломать Vmware vCenter за 60 секунда
http://2012.confidence.org.pl/materials - Май 2012
VASTO (Virtualization ASsessment Toolkit) –
Первый модуль поиска уязвимостей
виртуализации для Metasploit доступен для
широкой публики http://vasto.nibblesec.org/
38. Сегментация и изоляция VM
Обеспечение согласованной политики в пределах
физических и виртуальных границ сети
1. Сегментация на уровне
фабрики
UCS Fabric Interconnect
2. Сетевая сегментация
на коммутаторе
Nexus 1000V или физический
коммутатор ЦОД
3. Сегментация на
физических устройствах
безопасности
ASA 5585-X, IPS
4. Сегментация на
виртуальных
устройствах безопасности
Cisco Virtual Security Gateway,
Cisco ASA 1000V
39. 1
Сегментация на Унифицированной фабрики
Cisco ®
UCS VIC (Virtual Interface Card) поддерживает VM-FEX (VN-Link)
Port Profiles
Definition
Cisco UCS с сетевой картой VIC
С VM-FEX, каждой виртуальной машине
унифицирует виртуальные(Nexus (VM) предоставляется выделенный
порт коммутатора доступа в ЦОД и физические сети
5500 или Fabric Interconnect)
WEB Apps
HR
DB
Весь трафик VM отсылается
Compliance
Hypervis
or
vEth
Physical Network
Hypervis
or
непосредственно на порт коммутатора
VLAN Web
VLAN HR
VLAN DB
VLAN Comp
vNIC
VM
VM
VM
VM
VM
VM
VM
VM
40. Сегментация на виртуальном коммутаторе
Cisco Nexus 1000V
2
VM
#1
Server 1
VM
#2
VM
#3
VM
#4
VEM
VMware vSwitch
VMW ESX
VM
#5
Server 2
VM
#6
VM
#7
VM
#8
Nexus 1000V
VEM
VMware vSwitch
VMW ESX
VM
#9
Server 3
VM
#10
VM
#11
VM
#12
VMware vSwitch
VEM
VMW ESX
Nexus 1000V
• До 64 виртуальных карты Virtual
Ethernet Module (VEM)
• 2 виртуальных супервизора
Virtual Supervisor Module (VSM)
Virtual Center
Nexus 1000V
• Политики безопасности
• Технология vPath для
подключения виртуальных
межсетевых экранов
VSM
Поддержка гипервизоров : vSphere ; анонс для Win8/Hyper-V/KVM/Xen
41. Возможности Nexus 1000V
Безопасность
Внедрение
Наблюдаемость
Управление
L2 Switching, 802.1Q Tagging, VLAN Segmentation, Rate Limiting (TX)
IGMP Snooping, QoS Marking (COS & DSCP)
Коммутация
Policy Mobility, Private VLANs w/ local PVLAN Enforcement
Access Control Lists (L2–4 w/ Redirect), Port Security
Dynamic ARP inspection, IP Source Guard, DHCP Snooping
Automated vSwitch Config, Port Profiles, Virtual Center Integration
Optimized NIC Teaming with Virtual Port Channel – Host Mode
VMotion Tracking, ERSPAN, NetFlow v.9 w/ NDE, CDP v.2
VM-Level Interface Statistics
Virtual Center VM Provisioning, Cisco Network Provisioning, CiscoWorks
Cisco CLI, Radius, TACACs, Syslog, SNMP (v.1, 2, 3)
42. Изоляция VM: Cisco Private VLAN
•
Private VLAN изоляция
хостов из одной подсети
на L2
•
Поддержка традиционных
Cisco PVLAN: порты
Isolated и Community
•
Физическая
инфраструктура
понимает PVLAN
Promiscuous
Port
Isolated
VLAN
Community
VLAN
43. Изоляция VM и контроль трафика
•
•
•
•
ACL на портах
Ограничение трафика между VM
Настройки как между физическими
серверами
Использовать вместе с VLANs, PVLAN
dcvsm(config)# ip access-list
deny-vm-to-vm-traffic
dcvsm(config-acl)# deny ip host
10.10.10.10 host 10.10.20.20
dcvsm(config-acl)# permit ip any
any
10.10.10.1
10.10.20.20
Promiscuous
Port
10.10.10.10
10.10.20.20
44. Наблюдаемость: мониторим трафик между VMs
с помощью физических IDS и анализатора
Aggregation
ID:2
ERSPAN DST
Intrusion Detection
ID:1
NetFlow Analyzer
NetFlow
SPAN
Для снятия трафика используем коммутатор Nexus
1000V с поддержкой
• NetFlow v9
• ERSPAN/SPAN
Используем для детектирования
• атак между серверами
• нецелевого использования ресурсов
• нарушения политики безопасности
Нужно быть готовым к большому объему трафика
Zone B
Zone C
VDC
VDC
vApp
vApp
vPath
vSphere
Nexus 1000V
45. VSG/VNMC Шаги развертывания
VMWare
vCenter
2
1)
2)
3)
4)
5)
6)
7)
Virtual Network
Установка VNMC
Management Center
Регистрация VNMC в vCenter(VNMC)
Регистрация VSM в VNMC
Развертывание VSG
Регистрация VSG в VNMC
3
Развертывание ASA
Регистрация ASA to VNMC
VSM
1
6
7
ASA
5
VSG
4
Заметка: vCenter, vSphere and Nexus 1000V (VSM & VEMs) предполагается что уже установлены;
VSM может быть VM или Nexus 1110
46. Определения
• Compute Firewall
Представление VSG
виртуальной машины в VNMC.
Используется для ассоциации
конфигурации с VSG
• Edge Firewall
Представление ASA 1000V
виртуальной машины в VNMC.
Используется для ассоциации
конфигурации с ASA 1000V
47. Определения
• Edge Device Profile
Содержит сервисные политики,
включая: routing, DHCP, и global
VPN конфигурацию.
Используется для применения
конфигураций для конкретных ASA
• Edge Security Profile
Содержит политики безопасности:
ACL, NAT, Protocol Inspections,
VPN, и TCP Intercept
Применяется используя vservice
команду на Nexus 1000V
Используется для применения
конфигурации к конкретной ASA
или группе VM
48. Определения
• Device Profile
Содержит политику устройства,
включая AAA, syslog, и SNMP
колитики.
Используется для применения
политик к устройствам разных
типов.
49. Определения
• Policy Set
Содержит одну или более
политик
Назначаются профилю
• Policy
Содержит конкретные
правила, такие как ACL
записи, NAT настройки,
инспекции протоколов и т.д.
50. Формирование политики безопасности
Policy Management > Firewall Policy > Tenant > Zones
1
2
3
4
5
6
Zones
Policies
Rules
Conditions
Policy Set
SecurityProfile
7 Assign VSG
8 ProfileBinding
51. Формирование политики безопасности
Policy Management > Service Policies > Tenant > Policy
helpers > Zones
1
2
3
4
5
6
Zones
Policies
Rules
Conditions
Policy Set
SecurityProfile
7 Assign VSG
8 ProfileBinding
52. Формирование политики безопасности
Policy Management > Service Profiles > Tenant > Security Profile >
Policy Set
1
2
3
4
5
6
Zones
Policies
Rules
Conditions
Policy Set
SecurityProfile
7 Assign VSG
8 ProfileBinding
53. Формирование политики безопасности
Отредактируйте политику, чтобы создать правила, где Source и Destination
основываются на атрибутах
1
2
3
4
5
6
Zones
Policies
Rules
Conditions
Policy Set
SecurityProfile
7 Assign VSG
8 ProfileBinding
55. Пример очередности сервисов
Свяжем VSG и ASA 1000V для арендатора в цепочку
vservice node ASA1 type asa
— ip address 172.18.25.110
— adjacency l2 vlan 3770
vservice node VSG1 type vsg
— ip address 192.168.1.97
— adjacency l3
vservice path chain-TenantA
— node VSG1 profile sp-web order 10
— node ASA1 profile sp-edge order 20
port-profile type vethernet Tenant-A
—org root/Tenant-A
—vservice path chain-TenantA
Обозначим
сервисные ноды на
Nexus 1000V
Выставим цепочку и
сервисных нод –
очередь изнутри
наружу
Включим сервисную
цепочку в портовом
профиле
57
56. Пример внедрения
3-х узловая серверная зона
ASA 1000V - Edge Security Profile
VSG - Compute Security Profile
Web Client
ASA: Разрешает только порт
80(HTTP) к Веб-Серверам
ASA: NAT External
IP 10.10.25.100
Web Server
ASA: Блокирует все внешние
запросы к ДБ серверам
ASA
Web-Zone
Web
Server
IP – 192.168.1.1
Database-Zone
DB
Server
IP – 192.168.1.2
App-Zone
Client
IP – 192.168.1.203
VSG
VSG: Разрешает доступ к ДБ
серверам только от WEB-серверов
Арендатор-A
VSG: Разрешает клиентам соединяться
только к WEB-серверам, запрещает
доступ к ДБ серверам
57. Поддержка виртуализации в ASA
Виртуальные контексты на семействе ASA
FW_1
FW_2 FW_3
до 256 виртуальных контекстов на ASA 5585 и ASA SM (до 1000
контекстов на кластер с ASA 9.0)
до 1024 VLAN, которые могут разделяться между контекстами (до
4000 VLAN на кластер с ASA 9.0)
контексты в режиме L2 или L3
контекст – это полнофункциональный файервол
контроль ресурсов для контекстов (MAC-адреса, соединения,
инспекции, трансляции…)
До 32 интерфейсов в L2-контекстах
4 интерфейса в бридж-группе. 8 бридж-групп на виртуальный
контекст
L2
L3
L2
58. Цепочка сервисов безопасности в технологии
vPath
Интеллектуальный отвод трафика с vPath
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
4 VSG
5
Cisco Nexus 1000V
®
vPath
Distributed Virtual Switch
3
2
1
Cisco ASA
1000V
®
59. Разделение обязанностей
Серверная
команда
Команда по ИБ
vCenter
VNMC
VM атрибуты
XML API
VNMC
vCenter
Manager /
Orchestrator
Tools
Security
Admin
Server
Admin
•
Nexus 1 KV
Cisco
Nexus
1000V
Управление
многопользовательскими ЦОД
(multitenant)
•
Динамическое управление на основе
политик
•
Гибкость с помощью внешнего XML
API
®
Network
Admin
Сетевая команда
61. Эволюция безопасности в IT
Физический
ЦОД
• Одно приложение на
сервере
• Ручная конфигурация
политик
Виртуальный
ЦОД
• Множество приложений
на сервере
• Динамич. конфигурация
Облачный
ЦОД
• Множество пользователей
на сервере
• “Чужая” инфраструктура
Гипервизор
VDC-1
VDC-2
Согласованные : Политики, Функции безопасности, Управление
Коммутация
Nexus 7K/5K/3K/2K
Nexus 1000V, VM-FEX
Безопасность
ASA 5585, ASA SM
VSG*, ASA 1000V**
Вычисления
UCS for Bare Metal
UCS for Virtualized Workloads
* Virtual only, ** Announced
62. Cloud Security Alliance (CSA)
“Security Guidance for Critical Areas of Focus in Cloud Computing”
Whitepaper: комплексное руководство, которое говорит как защищать
облачные архитектуры, как управлять Облаками и как безопасно
использовать облачные среды:
http://www.cloudsecurityalliance.org/csaguide.pdf
Также разработан модель угроз для облачных сред “Top threats to Cloud
Computing” :
http://www.cloudsecurityalliance.org/topthreats/csathreats.v1.0.pdf
В состав корпоративных членов CSA входят:
63. Cloud Security Alliance: Руководство по
безопасности облачных вычислений
Архитектура облачных вычислений
Управление облаком
Governance & Enterprise
Risk Management
Legal & eDiscovery
Compliance and Audit
Data Life Cycle Management
Portability & Interoperability
Эксплуатация
облачных сервисов
Traditional Security
Data Center Operations
Incident Response
Virtualization
Identity & Access Management
Application Security
Encryption & Key
Management
65. Полезные ресурсы по теме
Cisco
Virtualization Security
http://www.cisco.com/en/US/netsol/ns1095/index.html
Design Guide: Security and Virtualization in the Data Center
http://www.cisco.com/en/US/partner/docs/solutions/Enterprise/Data_Center/DC_3_0/dc_sec_design.html
Cisco VMDC Unified Data Center for cloud or traditional environments.
http://www.cisco.com/go/vmdc
Vmware
Vmware Security Hardening Guide
http://www.vmware.com/resources/techresources/10198
Microsoft
Hyper-V Security Guide
technet.microsoft.com/en-us/library/dd569113.aspx
PCI DSS
https://www.pcisecuritystandards.org/documents/Virtualization_InfoSupp_v2.pdf
NIST - Guide to Security for Full Virtualization Technologies
http://csrc.nist.gov/publications/nistpubs/800-125/SP800-125-final.pdf
Cloud Security Alliance
https://cloudsecurityalliance.org/