Partner Architecture Webinar Secure Data Center 구본일부장, 김종만부장 Cisco Systems Jun 2017
시작하기앞서
스위치패브릭아키텍처 - Shared Memory 주로중앙집중형스위치구조를갖는스위치아키텍쳐에서사용 단순한시스템구조 중소형스위치디자인에유리 ( 대용량대역폭처리에제한적 ) FWD Table Shared Memory Catalyst 4500 의 Shared Memory 아키텍쳐
스위치패브릭아키텍처 - Crossbar 아키텍쳐 샤시내의 Crossbar 구조의단일스위칭패브릭을통해각각의라인카드를연결 패브릭대역폭이 Fabric ASIC 에고정 ( 확장불가 ) Catalyst 6509 의 Crossbar 아키텍쳐
스위치패브릭아키텍처 - Multi-stage Crossbar 아키텍쳐 Fabric ASIC 을라인카드에 ingress 와 egress 로두고 Middle stage 를다중의 Fabric module 로두어전체스위칭패브릭용량을확장 Nexus 7000 시리즈의 Multi-stage Crossbar
전통적인네트워크아키텍쳐 계층적디자인 (Hierarchical Network Design) 전통적인네트워크디자인인캠퍼스네트워크와같이단말의트래픽이외부영역으로이동하기위해코어영역으로집중 (North-South 트래픽 ) 되는환경에서효율적 Dist Dist Core Core Dist Dist 각지역간링크를최소화하고두대의장비가각 layer 에서이중화로구성되어 Fail-Over 수행 Access Access Access Access Access Access Access Access 성능개선을위해서는트래픽이집중되는코어와분산스위치의업그레이드필요 (Scale-Up 구조 ) 계층적네트워크디자인의예
네트워크아키텍쳐의변화 SPINE/LEAF SPINE/LEAF 디자인 Spine-Leaf 구조는데이터센터의트래픽이수직적 (North- South) 에서수평적 (East- West) 으로변화되는것을효과적으로대응하기위해적용되기시작 LEAF LEAF SPINE LEAF SPINE LEAF SPINE LEAF SPINE LEAF LEAF LEAF 성능개선을위해서는트래픽분산을위해 SPINE 스위치를추가연결하는구조 (Scale-Out 구조 ) Spine-Leaf 디자인의예
CLOS NETWORK https://ia801602.us.archive.org/11/items/bstj32-2-406/bstj32-2-406.pdf
CLOS NETWORK Charles Clos 의 A Study of Non-blocking Switching Networks (1953) 에서발표된스위치아키텍쳐 다단계의스위치연결을통해최소한의 Cross point 를사용하여전화회선을 Block 없이처리하는방법을소개
SPINE/LEAF Fabric = Folded Clos Fabric Spine-Leaf 특징 SPINE-LEAF 구조는 Clos 네트워크와동일한구조 (Folded Clos Fabric) 작은포트수의고정형스위치로도 non-blocking 기반의대규모네트워크패브릭구축가능 Massively Scalable Data Center (MSDC) Design and Implementation Guide http://www.cisco.com/c/en/us/td/docs/solutions/enterprise/data_center/msdc/1-0/msdc_phase1.pdf
목차 Cisco NGDC 패브릭 Application Centric Infrastructure (ACI) 환경의보안 보안구성요소 보안적용방안
시스코 NGDC 패브릭
시스코차세대데이터센터네트워크 3 대전략 시스코의차세대데이터센터네트워크전략은프로그래머빌리티네트워크, 프로그래머블패브릭, 통합 SDN 솔루션방식등, 3 가지의전략으로 미래의데이터센터네트워크아키텍쳐를구현하고있습니다. 프로그래머빌리티네트워크 프로그래머블패브릭 Turnkey 기반의 SDN 솔루션 개방형 API 제어및정책배포방식 개방형 API 또는상용제어 / 정책서버기반 통합 SDN 솔루션기반 Nexus OS기반의 API 제공모델 Open NX-OS 기반의 Object 모델구현 DevOps 도구들과의유연한연계방식 - Puppet, Chef, Ansible, Bash, Container 등. 표준기반모델링 VXLAN BGP EVPN 3 rd Party 제어부지원 VTS / NFM, 개방형관리도구들과의연동 다양한제품군수용 네트워크정책에대한중앙집중형관리방식 SDN 제어부의 REST API / SDK 개방형 다양한에코시스템과의협업모델 구성의편의성, 가시성, 민첩성, 확장성등에초점 Nexus 제품군 Nexus 제품군 ACI 솔루션
1/10GE 차세대네트워크기술동향 패브릭네트워크 패브릭네트워크는기존데이터센터네트워크에비해, 단일패브릭으로구성되어있어확장및관리가매우용이하며, 물리적장비단위의서비스 구분을하지않기때문에 TCO 에도매우유리한아키텍쳐입니다. 일반적인네트워크아키텍쳐 패브릭네트워크아키텍쳐 40GE/100GE 1/10/25 GE 서비스별별도의네트워크 Silo 구성 각서비스별별도의네트워크서비스구성 (F.W,L4) 서비스구분을위해 IP Subnet, VLAN, 물리적스위치구성 계층적구조로가상화이동성, 응답시간, 성능, 추적관리등이매우어려움. 전체네트워크를하나의 Fabric으로관리구성 네트워크서비스배치편의성구현 어플리케이션을인지하여서비스구분 Flat한패브릭구조로가상화이동성, 응답시간최적화, 성능극대화, 추적관리를위한제어부제공으로엔터프라이즈데이터센터에적합
ACI 환경의보안
ACI 아키텍쳐모델
ACI Security Automated Security With Built In Multi-Tenancy Distributed Stateless Firewall ACI Services Graph Line Rate Security Enforcement Open: Integrate Any Security Device PCI, FIPS, CC, UC-APL, USG-v6 Embedded Security White-list 정책기반의 Firewall Model RBAC Rules CentOS 7.2 기반의 Hardened OS 인증서 (X.509) 기반 Northbound API 인증 Intra-VLAN 암호화 (TLS 1.2) Image 확인을위한 Secure Key-Store Micro-Segmentation Security Automation Hypervisor 제약없음 (ESX, Hyper-V, KVM*) Dynamic Service Insertion and Chaining Physical, Virtual Machine, Container Closed Loop Feedback for Remediation Attribute Based Isolation/Quarantine Centralized Security Provisioning & Visibility Point and Click Micro-segmentation Security Policy Follows Workloads TrustSec-ACI Integration Encryption Link MACSEC INS-SEC Overlay Encryption MKA, SAP GCM-AES-256/128-XPN GCM-AES-256/128
The ACI Security Toolbox EPGs & Contracts ACI Policy Model Micro-segmented EPGs with attributes Intra-EPG isolation Integration with L4/L7 Services ecosystem
The ACI Security Toolbox EPGs & Contracts ACI Policy Model 일반적인 EPG 와 Contract 으로도충분히지원가능 고객의대다수의요구사항은 Application Tier Segmentation, Security Zone 기반의 Segmentation 등으로일반적사용가능
EPGs & Contracts
The ACI Security Toolbox Endpoint 를여러 Attribute 를통해 EPG 로생성 (µepg) Network 기반의 Attributes: IP/MAC Micro-segmented EPGs with attributes VM-based attributes: Guest OS, VM name, ID, vnic, DVS, Datacenter 등 새로운 Port Group 을생성하지않음 (no vnic reassign) ACI 1.1(1) 부터지원
Micro-Segmentation with ACI Attributec MAC Address Filter IP Address Filter VNic Dn (vnic domain name) VM Identifier VM Name Hypervisor Identifier VMM Domain Datacenter Custom Attribute (VMWare AVS/vDS only) Operating System Type Network Network VM VM VM VM VM VM VM VM VLAN VLAN VLAN or VLAN VLAN VXLAN vds Cisco AVS IP/MAC EPG Hyper-V vswitch Open vswitch Open vswitch EPG-Web Micro-Segmentation Across any Workload VLAN
The ACI Security Toolbox Isolated Private VLAN 과동일한기능 : EPG 의모든 Endpoint 를각각 Isolation ACI 1.2(2) 부터지원 Intra-EPG isolation Micro-Segmented EPG 와함께사용가능
Intra-EPG Isolation Problem Intra-EPG Isolation 은 EPG 안에서의통신을불가하게함 Solution
The ACI Security Toolbox DPI 등의기능을사용하기위해 L4/7 Service Insertion EPG, Intra-Isolated EGP, µepg 와함께사용하여강화된보안정책사용가능 ACI 1.2(1) 부터 Managed 방식이나 Unmanaged 방식으로지원 Integration with L4/L7 Services ecosystem
Service Graph Type Unmanaged Network Policy 3 3 Managed Service Policy Hybrid Service Manager Threat Defense Policies NGIPS, AMP ACLs, Inspections, HA Interfaces, VLANs, IPs, Static or Dynamic Routes Security team manages all aspects via CLI, REST, or GUI NGFW (FTD), ASA, or NGIPS ASA Embedded FirePOWER Services - Threat Polices Security team configures via FMC ACLs, Inspections, HA, Special Features Interfaces, VLANs, IPs, Static or Dynamic Routes APIC Configures on ASA via ASA Device Package ASA with FirePOWER Services Threat Defense Policies NGIPS, AMP Access Control, URL filtering, Geolocation features, etc. Security team configures via FMC Interfaces, VLANs, FW L2/L3, Inline IPS, Security Zones APIC configures via FMC Via Firepower Device Package Firepower NGIPS/NGFW Nexus9k Leafs/Spines - Shadow EPG VLANs, L3outs APIC Configures Service Graph in the ACI Fabric 47
Device Package 를통한 Service 자동화 Device Package Device Specification <dev type= f5 > <service type= slb > <param name= vip > <dev ident= 210.1.1.1 <validator= ip <hidden= no > <locked= yes > Service 자동화를위해서는 Device Package 파일을 APIC 에설치 zip 파일포맷 Device 정보 (XML file) Device scripts (Python) APIC 컨트롤로는해당 Pythons 스크립트를 사용하여각장비와통신 XML 파일로해당장비의설정을변경 CLI 나 REST API 를사용하며 SSL, SSH 등으로암호화연결 Cisco APIC Policy Element Device Model Cisco APIC Script Interface Device-Specific Python Scripts Device Interface: REST/CLI Script Engine Device Manager Service automation requires a vendor device package. It is a zip file containing Device specification (XML file) Device scripts (Python) APIC Node Service Device
Cisco ACI + Cisco Advanced Security ACI Fabric Advanced 보안 ACI 서비스그래프 Stateful 방화벽 NGFW, NGIPS & APT 방어 L4-7 서비스 ACI 자체보안 Contract 기반의 Filter Micro-Segmentation ASA / FirePOWER / AMP / TrustSec / Stealthwatch 보안자동화구성 일관된보안정책 감염서버자동격리
Cisco ACI + Cisco Advanced Security ACI Fabric Advanced 보안 ACI 서비스그래프 Stateful 방화벽 NGFW, NGIPS & APT 방어 L4-7 서비스 ACI 자체보안 Contract 기반의 Filter Micro-Segmentation ASA / FirePOWER / AMP / TrustSec / Stealthwatch 보안자동화구성 일관된보안정책 감염서버자동격리
보안구성요소
시스코 Firepower (ASA 방화벽 ) Cisco FP2100,4100,9300 Cisco ASA 가상방화벽 방화벽 (multiple context),vpn(ipsec, SSL) NAT / PAT Routing, Multicasting 16- 노드, multi-site clustering 모든 ASA 기능지원 Vmware, KVM, Hyper-V 지원 Public 클라우드 (AWS, Azure) 100M, 1G, 2Gbps, 10G* 성능 강력한 CLI, Restful API, 안정성 APIC- 기반프로비져닝, 오케스트레이션, 관리
시스코 Firepower (NGFW/NGIPS) FPv Cisco FP2100,4100,9300 NGFWv FMCv FPv FTDv FMCv Threat-focused NGFW 멀티서비스 (AVC, IPS, URL, VPN, AMP) 인터넷에지또는데이터센터 클러스트링, L3 HA Threat-focused NGFW 멀티서비스 (AVC, IPS, URL, VPN, AMP) Vmware, KVM Public 클라우드 (AWS, Azure) 위협차단중심네트워크보안
시스코 Firepower 9300 고성능, 확장성 모듈러 제품특징 표준및상호호환성준수 확장성높은유연한아키텍처 주요기능 템플릿형태의시큐리티 고객애플리케이션을위한시큐어컨테이너구조 Restful/JSON API 서드 - 파티오케스트레이션 / 매니지먼트 멀티 - 서비스시큐리티 제품특징 전방위시큐리티에대한통합제공 다이나믹서비스채이닝 주요기능 ASA 컨테이너 Firepower Threat Defense 컨테이너 NGIPS, AMP, URL, AVC 서드 - 파티컨테이너 Radware DDoS 케리어클래스 제품특징 업계최강의퍼포먼스 / RU 600% 높은고성능제공 30% 높은포트고집적도제공 주요기능 컴팩트사이즈, 3RU 폼팩터 10G/40G/100G Terabit 백플레인 Low latency, Intelligent fastpath NEBS ready
TrustSec 그룹기반정책을사용한소프트웨어 Defined 세그멘테이션 SGT 5 -> SGT 12 Block SGT:5 네트워크 어플리케이션서버 SGT: 10 데이타베이스서버 SGT:12 분류 전달 (SXP) 제어 * SGT : Security Group Tag * SXP : SGT exchange Protocol
시스코스텔스워치솔루션 Public 클라우드 에이젼트 IPFIX Host 클라우드컨넥트 컨텍스트정보 C&C 시스코 ACI 패브릭 Network Anomaly Detection ISE 위협피드 매니지먼트콘솔 Full Net Flow NetFlow 디바이스 실시간가시성제공 플로우컬렉트
시스코 Secure DC 보안구성요소 ISE 스텔스워치 ASA5500-X Firepower Cisco ASA 방화벽 ASAv50 ASAv30 ASAv10 ASAv5 FTDv NGFWv / FMCv NGFW/NGIPS Firepower NGFW/NGIPS Firepower 매니지먼트센터
적용방안
데이타센터성능확장 Cisco ACI Fabric 유연한확장성 ECMP 로드밸런싱 비대칭플로우 대칭플로우 시스코 ASA/Firepower 클러스터링 스테이트풀
보안서비스구성자동화 서비스체이닝 App DB Vlan 100 Vlan 200 Vlan 300 Vlan 301 Vlan 302 Vlan 303 ASA 디바이스패키지 consumer provider consumer provider FMC Firepower 디바이스패키지 동일한서비스그래프에물리적 / 가상화동시지원 vnic2 vnic3 vnic2 vnic3 managed Service Manager ASAv NGIPSv/FTDv APIC
FMC 에서이벤트가시화예 OS 정보 IPS 정보평판정보 Geo Location 정보 감염정보 파일 (APT) 정보
APIC 에서방화벽룰 Dynamic Update FW 룰자동화 1: APIC 에서 EPG 를위한 Objet Group 생성 object-group network $EPG$_pod37-aprof-app network-object host 192.168.10.101 network-object host 192.168.10.102 2: APIC 에서 object-group 에자동으로새로운 EP 추가 (192.168.10.101, 192.168.102) access-list access-list-inbound extended permit tcp any object-group $EPG$_pod37-aprof-app eq www New New 192.168.10.101 192.168.10.102 WEB EPG APP EPG 방화벽룰 Object-group
선택적보안적용 FW 에서특정트래픽만검사 EPG 클라이언트 컨슈머 Contract 프로바이더 리다이렉트 EPG Web HTTP 트래픽만 FW 로리다이렉트후 WEB EPG 로전달 일반트래픽들은 WEB EPG 로 Direct 통신 EPG 클라이언트 EPG Web
그룹기반정책의확장 APIC-DC 그룹기반의정책을전체 Domain 으로확장 캠퍼스 / 지사 방화벽관리 소프트웨어정의데이타센터 (SDDC) IaaS Voice Employee Supplier BYOD www Web App DB
APIC 을통한감염된호스트의자동격리 4. APIC 에서감염된 App1 에대해마이크로세그멘테이션을이용하여차단 / 검역 3. FMC 에서상관관계분석후 Remediation module 을이용하여 APIC North Bound 로정보전달 4 ACI 패브릭 3 FMC( 통합관리 ) App1 App EPG App2 1 2 DB EPG 1. 감염된단말에서공격발생시 NGFW/NGIP 에서탐지후차단 2. 공격이벤트를관리콘솔 (FMC) 로전달하고감염된호스트정보추출
스텔스워치를통한호스트의격리 10.201.3.149 CoA SMC 시스코 ISE 스텔스워치관리콘솔 pxgrid 를통해검역소격리또는해제
요약
시스코 Secure Data Center 시스코 ACI 패브릭 자동화구성 서비스체이닝 (GUI 또는API Scripts) 방화벽룰자동화 Traffic 리다이렉트 세그멘테이션 ( 격리 ) 그룹기반보안정책 APIC + FMC 마이크로세그멘테이션 스텔스워치를이용한모니터링및세그멘테이션