Como ter a mesma política de segurança para máquinas físicas e virtuais?
Como provisionar redes de forma automática com segurança?
Como ter visibilidade sobre o tráfego de aplicações?
1. Cisco Confidential3-2014 Cisco and/or its affiliates. All rights reserved.
Data Center Seguro
Gustavo Santana
CCIEx3# 8806 (DC, SAN, R&Sw)
Technical Solutions Architect
Fernando Zama
Consulting Systems Enginee
2. Cisco Confidential3-2014 Cisco and/or its affiliates. All rights reserved.
rquitetura do Data Center
Físico Virtual Industrial
4. Cisco Confidential3-2014 Cisco and/or its affiliates. All rights reserved.
ata Center Físico: Ataques Mais Comuns
Viruses
1990–2000
Worms
2000–2005
• Phishing
• Baixa sofisticação
• Fama
• Destrutivos
• Impacto na Rede
• Ex: CodeRed
5. Cisco Confidential3-2014 Cisco and/or its affiliates. All rights reserved.
IDS
Físico: Rede com Topo-de-Rack
Internet/WAN
Conexão L3
Conexão L2Norte-sul
Leste-oeste
ACLs
Firewall Contexts
6. Cisco Confidential3-2014 Cisco and/or its affiliates. All rights reserved.
DC Físico: VLANs São Seguras?
DMZ
Produção
DMZ
Produção
OU
Ferramentas que ajudaram: VRFs, CoPP,
RBAC, Storm Control
7. Cisco Confidential3-2014 Cisco and/or its affiliates. All rights reserved.
C Físico: Contextos
VLAN1
VLAN2
VLAN3
Aplicação 3
Aplicação 2
Aplicação 1
Server Load BalancerFirewall
9. Cisco Confidential3-2014 Cisco and/or its affiliates. All rights reserved.
Limitação de PODs ou Racks
DC
POD POD
DC
POD POD
Data Center Virtualizado
C Virtual: Mobilidade de VMs
10. Cisco Confidential3-2014 Cisco and/or its affiliates. All rights reserved.
DC Virtual: Tipos de Ataques
Spyware and
Rootkits
2005–2013
• Nascimento da industria Hacking
• Tecnicas de obfuscação
12. Cisco Confidential3-2014 Cisco and/or its affiliates. All rights reserved.
Host
1
Host
3
Host
2
Host
4
Host
5
Host
7
Host
6
LCLCLCLCLC
LCLCLCLCLC
FMFMFM
abric ≅ Grande Switch Non-Blocking
13. Cisco Confidential3-2014 Cisco and/or its affiliates. All rights reserved.
Virtual: FabricPath
Internet/WAN
Edge
Border
Leaves
Rack Blade Server UCS
Spines
Conexão L3
Conexão L2
Fabric Path
Leaves
14. Cisco Confidential3-2014 Cisco and/or its affiliates. All rights reserved.
esafios de Redes Virtuais
NIC
Host
App
OS
VM
App
OS
VM
vSwitch
NIC
Perímetro de
Rede
VMs em VLANs
erradas
Sem
Visibilidade
Comunicação ilícita
entre VMs
Políticas
diferentes
DMZ
Virtual?
STP para
HA???
15. Cisco Confidential3-2014 Cisco and/or its affiliates. All rights reserved.
Virtual Ethernet Module
vPath
WS2012 Hyper-V
VXLAN
Virtual Ethernet Module
vPath
KVM/OpenStack
VXLAN
Virtual Ethernet Module
vPath
ESX
VXLAN
Cisco Nexus 1000V para Ambientes Multi-Hypervisor
Appliances Virtuais
Virtual
Supervisor
ModulesvWAASVSGASAv NS1000V
Appliance Físico: Cloud Service Platform
vNAM VSG
Primary
VSM NS1000
vNAM VSG
Secondary
VSM NS1000
Rede DC
18. Cisco Confidential3-2014 Cisco and/or its affiliates. All rights reserved.
ipos de Ataques
APTs Cyberware
2013-Hoje
• Códigos sofisticados
• Evasão de Defesas
• Multiplas técnicas
• Espalhamento Horizontal
19. Cisco Confidential3-2014 Cisco and/or its affiliates. All rights reserved.
erguntas Válidas dos Clientes
omo ter a mesma política de segurança para máquinas físicas
e virtuais?
Como provisionar redes de forma automática com
segurança?
Como ter visibilidade sobre o tráfego de aplicações?
20. Cisco Confidential3-2014 Cisco and/or its affiliates. All rights reserved.
mponentes do ACI
APPLICATION CENTRIC INFRASTRUCTURE
APPLICATION POLICY
INFRASTRUCTURE
CONTROLLER
APIC
s
SWITCHES NEXUS
9000
ECOSSISTEMA
21. Cisco Confidential3-2014 Cisco and/or its affiliates. All rights reserved.
P P P
App DBWeb
Clientes
Externos
QoS
Filtro
QoS
Serviço
QoS
Filtro
Podem ser várias VMs
Misto de máquinas físicas e virtuais
Maioria recurso
físicos
App
Network
Profile
P = Política de
Conectividade
“A Aplicação”
CI e Aplicações de 3 Camadas
2
22. Cisco Confidential3-2014 Cisco and/or its affiliates. All rights reserved.
Web
Server
EPG
A
Web
Server
Web
Server
EPG
B
App
Server
“Cadeia 5”
Redirecionamento
Admin
Aplicações
Admin
Serviços
Service
Graph
Início FimPasso 1
…..
Passo N
Providers
inst
inst
…
Firewall
inst
inst
…
Load Balancer
……..
ServiceProfile
Virtuais e Físicos
23. Cisco Confidential3-2014 Cisco and/or its affiliates. All rights reserved.
DB Tier
Storage Storage
Cliente
Web Tier App Tier
Modelagem da Política
nstanciação da Política
VM VMVM
10.2.4.7
VM
10.9.3.37
VM
10.32.3.7
VMVM
APIC
24. Cisco Confidential3-2014 Cisco and/or its affiliates. All rights reserved.
Admin de
Rede
Admin de
Virtualização
SERVIDOR
FÍSICO
VLAN
VXLAN
VLAN
NVGRE
VLAN
VXLAN
VLAN
ESXi Hyper-V KVM
Gerenciamento de
Hypervisor
ACI Fabric
APIC
VMware
Microsoft
Red Hat
XenServer
VMware Microsoft Red Hat
25. Cisco Confidential3-2014 Cisco and/or its affiliates. All rights reserved.
pplication Virtual Switch (AVS)
AVS
AVS
Fabric ACI Estendido
ADVS
Gerenciado via APIC
apsulamentos: VLAN,
VXLAN
rosegmentação: Port
up, MAC, IP, Guest OS,
e da VM, hypervisor, …
26. Cisco Confidential3-2014 Cisco and/or its affiliates. All rights reserved.
FirePOWER + ACI
ANTES
Descubra
Proteja
DEPOIS
Registre
Contenha
Remedie
Detete
Bloqueie
Defenda
DURANTE
Segmentação e
isolamento via EPGs
Visibilidade e controle
granular de aplicação
Inserção automática de
segurança (NGIPS, NGFW)
Visibilidade & Deteção
Micro-segmentação para
quarentena (AVS)
Proteção avançada de
Malware
Servidor Máquina
Virtual
Containers
27.
28. Cisco Confidential3-2014 Cisco and/or its affiliates. All rights reserved.
Capítulo 1: Definição de virtualização e conceitos de Data
Center
Capítulo 2: Evolução do Ethernet, topologias comuns de r
norma ANSI/TIA-942
Capítulo 3: VLANs e VRFs
Capítulo 4: Balanceamento de servidores e contextos virtu
Capítulo 5: VDCs
Capítulo 6: vPC e FabricPath
Capítulo 7: FEX
Capítulo 8: EoMPLS, VPLS e OTV
Capítulo 9: Conceitos de armazenamento, SCSI e virtualiz
Capítulo 10: Conceitos de Fibre Channel e VSANs
Capítulo 11: FCIP, IVR e NPV
Capítulo 12: DCB e FCoE
Capítulo 13: Evolução de servidores (x86, virtualização e U
Capítulo 14: Service Profiles do UCS
Capítulo 15: Nexus 1000V, VXLAN e VM-FEX
Capítulo 16: vPath, VSG, ASA 1000V, vWAAS e CSR 100
Capítulo 17: Conceitos de Cloud computing, automação, S
ferência