0616_secure_data_center

Similar documents
PowerPoint 프레젠테이션

vm-웨어-앞부속

Network seminar.key

제목을 입력하세요

UDP Flooding Attack 공격과 방어

네트워크 안정성을 지켜줄 최고의 기술과 성능 TrusGuard는 국내 최초의 통합보안솔루션으로서 지난 5년간 약 4천여 고객 사이트에 구축 운영되면서 기술의 안정성과 성능면에서 철저한 시장 검증을 거쳤습니다. 또한 TrusGuard는 단독 기능 또는 복합 기능 구동 시

vm-웨어-01장

AGENDA 모바일 산업의 환경변화 모바일 클라우드 서비스의 등장 모바일 클라우드 서비스 융합사례

Agenda 오픈소스 트렌드 전망 Red Hat Enterprise Virtualization Red Hat Enterprise Linux OpenStack Platform Open Hybrid Cloud

Network of Networks l RingNet l 02 안녕하십니까? 링네트 대표이사 입니다. 링네트는 SI/NI 컨설팅, 설치, 유지보수, Security, IP Telephony, 모바일 네트워크, 서버, 스토리지, 가상화 등 Cloud 사업을 통해 더 빠르

Service-Oriented Architecture Copyright Tmax Soft 2005

Web Application Hosting in the AWS Cloud Contents 개요 가용성과 확장성이 높은 웹 호스팅은 복잡하고 비용이 많이 드는 사업이 될 수 있습니다. 전통적인 웹 확장 아키텍처는 높은 수준의 안정성을 보장하기 위해 복잡한 솔루션으로 구현

Beyond SDN, 방향성을제시하다. 최인성과장 E-Techsystem, Datacenter SE

PowerPoint 프레젠테이션

PowerPoint Presentation

Tech Trends 클라우드 버스팅의 현주소와 과제 아직 완벽한 클라우드 버스팅을 위해 가야 할 길이 멀지만, 하이브리드 클라우드는 충분한 이점을 가져다 준다. Robert L. Scheier Networkworld 매끄러운 클라우드 버스팅(Cloud Bursting

Installing Template Theme Files

R710 R720 R310 R500 R600 M510 MU-MIMO BeamFlex ac Wave 2 AP MU-MIMO, BeamFlex+ 2.5Gbps ac Wave 2 AP BeamFlex ac Wave 1 AP BeamFlex+

PCServerMgmt7

클라우드컴퓨팅이란? WHAT IS CLOUD COMPUTING? 2

PowerPoint Presentation

Cisco SDN 3.0 DDoS DDoS Cisco DDoS Real Demo 2008 Cisco Systems, Inc. All rights reserved. 2

Agenda 1 Network Virtualization Today 2 Management Plane Scale-Out 3 Control Plane Evolution 4 High-Performance Data Plane 5 NSX Vision : Driving NSX

歯이시홍).PDF

오늘날의 기업들은 24시간 365일 멈추지 않고 돌아간다. 그리고 이러한 기업들을 위해서 업무와 관련 된 중요한 문서들은 언제 어디서라도 항상 접근하여 활용이 가능해야 한다. 끊임없이 변화하는 기업들 의 경쟁 속에서 기업내의 중요 문서의 효율적인 관리와 활용 방안은 이

<4D F736F F D205B4354BDC9C3FEB8AEC6F7C6AE5D3131C8A35FC5ACB6F3BFECB5E520C4C4C7BBC6C320B1E2BCFA20B5BFC7E2>

歯A1.1함진호.ppt

Model Investor MANDO Portal Site People Customer BIS Supplier C R M PLM ERP MES HRIS S C M KMS Web -Based

PowerPoint 프레젠테이션

라우터

歯I-3_무선통신기반차세대망-조동호.PDF

침입방지솔루션도입검토보고서

Azure Stack – What’s Next in Microsoft Cloud

Cisco FirePOWER 호환성 가이드

Special Theme _ 모바일웹과 스마트폰 본 고에서는 모바일웹에서의 단말 API인 W3C DAP (Device API and Policy) 의 표준 개발 현황에 대해서 살펴보고 관 련하여 개발 중인 사례를 통하여 이해를 돕고자 한다. 2. 웹 애플리케이션과 네이

<목 차 > 제 1장 일반사항 4 I.사업의 개요 4 1.사업명 4 2.사업의 목적 4 3.입찰 방식 4 4.입찰 참가 자격 4 5.사업 및 계약 기간 5 6.추진 일정 6 7.사업 범위 및 내용 6 II.사업시행 주요 요건 8 1.사업시행 조건 8 2.계약보증 9 3

TTA Journal No.157_서체변경.indd

PWR PWR HDD HDD USB USB Quick Network Setup Guide xdsl/cable Modem PC DVR 1~3 1.. DVR DVR IP xdsl Cable xdsl Cable PC PC DDNS (

Portal_9iAS.ppt [읽기 전용]

Installing Template Theme Files

Sena Device Server Serial/IP TM Version

서현수

Windows Embedded Compact 2013 [그림 1]은 Windows CE 로 알려진 Microsoft의 Windows Embedded Compact OS의 history를 보여주고 있다. [표 1] 은 각 Windows CE 버전들의 주요 특징들을 담고

歯김병철.PDF

Click to edit Master text styles Second level Third level Agenda Fourth level 클라우드서비스살펴보기 - 클라우드서비스현황 - 클라우드서비스운영자동화의필요성 시스코클라우드관리솔루션 - Cisco Cloud St

[Brochure] KOR_LENA WAS_


TTA Verified : HomeGateway :, : (NEtwork Testing Team)

<353020B9DAC3E1BDC42DC5ACB6F3BFECB5E520C4C4C7BBC6C3BFA1BCADC0C720BAB8BEC820B0EDB7C1BBE7C7D7BFA120B0FCC7D120BFACB1B82E687770>

1.LAN의 특징과 각종 방식

PowerPoint 프레젠테이션


160322_ADOP 상품 소개서_1.0

Presentation title

Cisco EN3 Lanuch Web Seminar

Seoul, Korea March 28 29, 2013 클라우드미래를그려내다. Unified DataCenter 최우형수석부장 Cisco Systems Korea / Solution S.E team Cisco and/or

1,000 AP 20,000 ZoneDirector IT 5, WLAN. ZoneFlex AP ZoneDirector. WLAN. WLAN AP,,,,,,., Wi-Fi. AP. PSK PC. VLAN WLAN.. ZoneDirector 5000 WLAN L

레드햇과 오픈스택 Feb, 2014 Kim Yong Ki Solution Architect Red Hat Korea RED HAT ENTERPRISE LINUX OPENSTACK PLATFORM 2014


<4D F736F F D203134B9E9B5BFB8ED5FC0CFB9DD5F2DC0FAC0DAB0CBC5E4BCF6C1A4B9DDBFB55FB6EC5F2E646F6378>

Multi Channel Analysis. Multi Channel Analytics :!! - (Ad network ) Report! -! -!. Valuepotion Multi Channel Analytics! (1) Install! (2) 3 (4 ~ 6 Page

Interstage5 SOAP서비스 설정 가이드

Week13

thesis

[Brochure] KOR_TunA

PowerPoint Presentation

Voice Portal using Oracle 9i AS Wireless

USB USB DV25 DV25 REC SRN-475S REC SRN-475S LAN POWER LAN POWER Quick Network Setup Guide xdsl/cable Modem PC DVR 1~3 1.. DVR DVR IP xdsl Cable xdsl C

thesis

월간 CONTENTS 3 EXPERT COLUMN 영화 점퍼 와 트로이목마 4 SPECIAL REPORT 패치 관리의 한계와 AhnLab Patch Management 핵심은 패치 관리, 왜? 8 HOT ISSUE 2016년에 챙겨봐야 할 개인정보보호

solution map_....

접근제어 시간은 없고, IT투자 비용이 정해져 있다면, 조금 더 스마트하게 제어하는 방법을 모색해야 한다. 그 중 하나 로 상황별 맞춤 보안 정책(Contextual security) 을 제 안한다. 상황별 맞춤 보안은 민감한 데이터와 그렇지 않은 것을 구분한 후 민감

StruxureWare Data Center Expert 7.2.x 의 새 기능 StruxureWare Data Center Expert 7.2.x 릴리스에서 사용할 수 있는 새 기능에 대해 자세히 알아보십시오. 웹 클라이언트 시작 화면: StruxureWare Cen

untitled

Microsoft PowerPoint - 2.Catalyst Switch Intrastructure Protection_이충용_V1 0.ppt [호환 모드]

차세대데이터센터를위한 VMware Software Defined DataCenter (SDDC) 가치

1217 WebTrafMon II

IPAK 윤리강령 나는 _ 한국IT전문가협회 회원으로서 긍지와 보람을 느끼며 정보시스템 활용하 자. 나는 _동료, 단체 및 국가 나아가 인류사회에 대하여 철저한 책임 의식을 가진 다. 나는 _ 활용자에 대하여 그 편익을 증진시키는데 최선을 다한다. 나는 _ 동료에 대해

<BCBCBBF3C0BB20B9D9B2D9B4C220C5ACB6F3BFECB5E520C4C4C7BBC6C3C0C720B9CCB7A128BCF6C1A4295F687770>

Backup Exec

Microsoft Word - 조병호

OMA Bcast Service Guide ATSC 3.0 (S33-2) T-UHDTV 송수신정합 Part.1 Mobile Broadcast (Open Mobile Alliance) 기반 Data Model ATSC 3.0 을위한확장 - icon, Channel No.

요 약 문 1. 제목 : 개인정보 오남용 유출 2차 피해 최소화 방안 2. 연구의 배경 개인정보란 살아 있는 개인에 관한 정보로서 개인을 알아볼 수 있는 정보로 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다.

PowerPoint 프레젠테이션

슬라이드 1

PowerPoint Presentation

istay

제20회_해킹방지워크샵_(이재석)

SchoolNet튜토리얼.PDF

Microsoft PowerPoint - L4-7Switch기본교육자료.ppt

PowerPoint Presentation

PowerPoint 프레젠테이션

5th-KOR-SANGFOR NGAF(CC)


PowerPoint 프레젠테이션

<C0CCBCBCBFB52DC1A4B4EBBFF82DBCAEBBE7B3EDB9AE2D D382E687770>

PowerPoint 프레젠테이션

4th-KOR-SANGFOR HCI(CC)

Why you are here? SAP 가상화? 클라우드?

I What is Syrup Store? 1. Syrup Store 2. Syrup Store Component 3.

Transcription:

Partner Architecture Webinar Secure Data Center 구본일부장, 김종만부장 Cisco Systems Jun 2017

시작하기앞서

스위치패브릭아키텍처 - Shared Memory 주로중앙집중형스위치구조를갖는스위치아키텍쳐에서사용 단순한시스템구조 중소형스위치디자인에유리 ( 대용량대역폭처리에제한적 ) FWD Table Shared Memory Catalyst 4500 의 Shared Memory 아키텍쳐

스위치패브릭아키텍처 - Crossbar 아키텍쳐 샤시내의 Crossbar 구조의단일스위칭패브릭을통해각각의라인카드를연결 패브릭대역폭이 Fabric ASIC 에고정 ( 확장불가 ) Catalyst 6509 의 Crossbar 아키텍쳐

스위치패브릭아키텍처 - Multi-stage Crossbar 아키텍쳐 Fabric ASIC 을라인카드에 ingress 와 egress 로두고 Middle stage 를다중의 Fabric module 로두어전체스위칭패브릭용량을확장 Nexus 7000 시리즈의 Multi-stage Crossbar

전통적인네트워크아키텍쳐 계층적디자인 (Hierarchical Network Design) 전통적인네트워크디자인인캠퍼스네트워크와같이단말의트래픽이외부영역으로이동하기위해코어영역으로집중 (North-South 트래픽 ) 되는환경에서효율적 Dist Dist Core Core Dist Dist 각지역간링크를최소화하고두대의장비가각 layer 에서이중화로구성되어 Fail-Over 수행 Access Access Access Access Access Access Access Access 성능개선을위해서는트래픽이집중되는코어와분산스위치의업그레이드필요 (Scale-Up 구조 ) 계층적네트워크디자인의예

네트워크아키텍쳐의변화 SPINE/LEAF SPINE/LEAF 디자인 Spine-Leaf 구조는데이터센터의트래픽이수직적 (North- South) 에서수평적 (East- West) 으로변화되는것을효과적으로대응하기위해적용되기시작 LEAF LEAF SPINE LEAF SPINE LEAF SPINE LEAF SPINE LEAF LEAF LEAF 성능개선을위해서는트래픽분산을위해 SPINE 스위치를추가연결하는구조 (Scale-Out 구조 ) Spine-Leaf 디자인의예

CLOS NETWORK https://ia801602.us.archive.org/11/items/bstj32-2-406/bstj32-2-406.pdf

CLOS NETWORK Charles Clos 의 A Study of Non-blocking Switching Networks (1953) 에서발표된스위치아키텍쳐 다단계의스위치연결을통해최소한의 Cross point 를사용하여전화회선을 Block 없이처리하는방법을소개

SPINE/LEAF Fabric = Folded Clos Fabric Spine-Leaf 특징 SPINE-LEAF 구조는 Clos 네트워크와동일한구조 (Folded Clos Fabric) 작은포트수의고정형스위치로도 non-blocking 기반의대규모네트워크패브릭구축가능 Massively Scalable Data Center (MSDC) Design and Implementation Guide http://www.cisco.com/c/en/us/td/docs/solutions/enterprise/data_center/msdc/1-0/msdc_phase1.pdf

목차 Cisco NGDC 패브릭 Application Centric Infrastructure (ACI) 환경의보안 보안구성요소 보안적용방안

시스코 NGDC 패브릭

시스코차세대데이터센터네트워크 3 대전략 시스코의차세대데이터센터네트워크전략은프로그래머빌리티네트워크, 프로그래머블패브릭, 통합 SDN 솔루션방식등, 3 가지의전략으로 미래의데이터센터네트워크아키텍쳐를구현하고있습니다. 프로그래머빌리티네트워크 프로그래머블패브릭 Turnkey 기반의 SDN 솔루션 개방형 API 제어및정책배포방식 개방형 API 또는상용제어 / 정책서버기반 통합 SDN 솔루션기반 Nexus OS기반의 API 제공모델 Open NX-OS 기반의 Object 모델구현 DevOps 도구들과의유연한연계방식 - Puppet, Chef, Ansible, Bash, Container 등. 표준기반모델링 VXLAN BGP EVPN 3 rd Party 제어부지원 VTS / NFM, 개방형관리도구들과의연동 다양한제품군수용 네트워크정책에대한중앙집중형관리방식 SDN 제어부의 REST API / SDK 개방형 다양한에코시스템과의협업모델 구성의편의성, 가시성, 민첩성, 확장성등에초점 Nexus 제품군 Nexus 제품군 ACI 솔루션

1/10GE 차세대네트워크기술동향 패브릭네트워크 패브릭네트워크는기존데이터센터네트워크에비해, 단일패브릭으로구성되어있어확장및관리가매우용이하며, 물리적장비단위의서비스 구분을하지않기때문에 TCO 에도매우유리한아키텍쳐입니다. 일반적인네트워크아키텍쳐 패브릭네트워크아키텍쳐 40GE/100GE 1/10/25 GE 서비스별별도의네트워크 Silo 구성 각서비스별별도의네트워크서비스구성 (F.W,L4) 서비스구분을위해 IP Subnet, VLAN, 물리적스위치구성 계층적구조로가상화이동성, 응답시간, 성능, 추적관리등이매우어려움. 전체네트워크를하나의 Fabric으로관리구성 네트워크서비스배치편의성구현 어플리케이션을인지하여서비스구분 Flat한패브릭구조로가상화이동성, 응답시간최적화, 성능극대화, 추적관리를위한제어부제공으로엔터프라이즈데이터센터에적합

ACI 환경의보안

ACI 아키텍쳐모델

ACI Security Automated Security With Built In Multi-Tenancy Distributed Stateless Firewall ACI Services Graph Line Rate Security Enforcement Open: Integrate Any Security Device PCI, FIPS, CC, UC-APL, USG-v6 Embedded Security White-list 정책기반의 Firewall Model RBAC Rules CentOS 7.2 기반의 Hardened OS 인증서 (X.509) 기반 Northbound API 인증 Intra-VLAN 암호화 (TLS 1.2) Image 확인을위한 Secure Key-Store Micro-Segmentation Security Automation Hypervisor 제약없음 (ESX, Hyper-V, KVM*) Dynamic Service Insertion and Chaining Physical, Virtual Machine, Container Closed Loop Feedback for Remediation Attribute Based Isolation/Quarantine Centralized Security Provisioning & Visibility Point and Click Micro-segmentation Security Policy Follows Workloads TrustSec-ACI Integration Encryption Link MACSEC INS-SEC Overlay Encryption MKA, SAP GCM-AES-256/128-XPN GCM-AES-256/128

The ACI Security Toolbox EPGs & Contracts ACI Policy Model Micro-segmented EPGs with attributes Intra-EPG isolation Integration with L4/L7 Services ecosystem

The ACI Security Toolbox EPGs & Contracts ACI Policy Model 일반적인 EPG 와 Contract 으로도충분히지원가능 고객의대다수의요구사항은 Application Tier Segmentation, Security Zone 기반의 Segmentation 등으로일반적사용가능

EPGs & Contracts

The ACI Security Toolbox Endpoint 를여러 Attribute 를통해 EPG 로생성 (µepg) Network 기반의 Attributes: IP/MAC Micro-segmented EPGs with attributes VM-based attributes: Guest OS, VM name, ID, vnic, DVS, Datacenter 등 새로운 Port Group 을생성하지않음 (no vnic reassign) ACI 1.1(1) 부터지원

Micro-Segmentation with ACI Attributec MAC Address Filter IP Address Filter VNic Dn (vnic domain name) VM Identifier VM Name Hypervisor Identifier VMM Domain Datacenter Custom Attribute (VMWare AVS/vDS only) Operating System Type Network Network VM VM VM VM VM VM VM VM VLAN VLAN VLAN or VLAN VLAN VXLAN vds Cisco AVS IP/MAC EPG Hyper-V vswitch Open vswitch Open vswitch EPG-Web Micro-Segmentation Across any Workload VLAN

The ACI Security Toolbox Isolated Private VLAN 과동일한기능 : EPG 의모든 Endpoint 를각각 Isolation ACI 1.2(2) 부터지원 Intra-EPG isolation Micro-Segmented EPG 와함께사용가능

Intra-EPG Isolation Problem Intra-EPG Isolation 은 EPG 안에서의통신을불가하게함 Solution

The ACI Security Toolbox DPI 등의기능을사용하기위해 L4/7 Service Insertion EPG, Intra-Isolated EGP, µepg 와함께사용하여강화된보안정책사용가능 ACI 1.2(1) 부터 Managed 방식이나 Unmanaged 방식으로지원 Integration with L4/L7 Services ecosystem

Service Graph Type Unmanaged Network Policy 3 3 Managed Service Policy Hybrid Service Manager Threat Defense Policies NGIPS, AMP ACLs, Inspections, HA Interfaces, VLANs, IPs, Static or Dynamic Routes Security team manages all aspects via CLI, REST, or GUI NGFW (FTD), ASA, or NGIPS ASA Embedded FirePOWER Services - Threat Polices Security team configures via FMC ACLs, Inspections, HA, Special Features Interfaces, VLANs, IPs, Static or Dynamic Routes APIC Configures on ASA via ASA Device Package ASA with FirePOWER Services Threat Defense Policies NGIPS, AMP Access Control, URL filtering, Geolocation features, etc. Security team configures via FMC Interfaces, VLANs, FW L2/L3, Inline IPS, Security Zones APIC configures via FMC Via Firepower Device Package Firepower NGIPS/NGFW Nexus9k Leafs/Spines - Shadow EPG VLANs, L3outs APIC Configures Service Graph in the ACI Fabric 47

Device Package 를통한 Service 자동화 Device Package Device Specification <dev type= f5 > <service type= slb > <param name= vip > <dev ident= 210.1.1.1 <validator= ip <hidden= no > <locked= yes > Service 자동화를위해서는 Device Package 파일을 APIC 에설치 zip 파일포맷 Device 정보 (XML file) Device scripts (Python) APIC 컨트롤로는해당 Pythons 스크립트를 사용하여각장비와통신 XML 파일로해당장비의설정을변경 CLI 나 REST API 를사용하며 SSL, SSH 등으로암호화연결 Cisco APIC Policy Element Device Model Cisco APIC Script Interface Device-Specific Python Scripts Device Interface: REST/CLI Script Engine Device Manager Service automation requires a vendor device package. It is a zip file containing Device specification (XML file) Device scripts (Python) APIC Node Service Device

Cisco ACI + Cisco Advanced Security ACI Fabric Advanced 보안 ACI 서비스그래프 Stateful 방화벽 NGFW, NGIPS & APT 방어 L4-7 서비스 ACI 자체보안 Contract 기반의 Filter Micro-Segmentation ASA / FirePOWER / AMP / TrustSec / Stealthwatch 보안자동화구성 일관된보안정책 감염서버자동격리

Cisco ACI + Cisco Advanced Security ACI Fabric Advanced 보안 ACI 서비스그래프 Stateful 방화벽 NGFW, NGIPS & APT 방어 L4-7 서비스 ACI 자체보안 Contract 기반의 Filter Micro-Segmentation ASA / FirePOWER / AMP / TrustSec / Stealthwatch 보안자동화구성 일관된보안정책 감염서버자동격리

보안구성요소

시스코 Firepower (ASA 방화벽 ) Cisco FP2100,4100,9300 Cisco ASA 가상방화벽 방화벽 (multiple context),vpn(ipsec, SSL) NAT / PAT Routing, Multicasting 16- 노드, multi-site clustering 모든 ASA 기능지원 Vmware, KVM, Hyper-V 지원 Public 클라우드 (AWS, Azure) 100M, 1G, 2Gbps, 10G* 성능 강력한 CLI, Restful API, 안정성 APIC- 기반프로비져닝, 오케스트레이션, 관리

시스코 Firepower (NGFW/NGIPS) FPv Cisco FP2100,4100,9300 NGFWv FMCv FPv FTDv FMCv Threat-focused NGFW 멀티서비스 (AVC, IPS, URL, VPN, AMP) 인터넷에지또는데이터센터 클러스트링, L3 HA Threat-focused NGFW 멀티서비스 (AVC, IPS, URL, VPN, AMP) Vmware, KVM Public 클라우드 (AWS, Azure) 위협차단중심네트워크보안

시스코 Firepower 9300 고성능, 확장성 모듈러 제품특징 표준및상호호환성준수 확장성높은유연한아키텍처 주요기능 템플릿형태의시큐리티 고객애플리케이션을위한시큐어컨테이너구조 Restful/JSON API 서드 - 파티오케스트레이션 / 매니지먼트 멀티 - 서비스시큐리티 제품특징 전방위시큐리티에대한통합제공 다이나믹서비스채이닝 주요기능 ASA 컨테이너 Firepower Threat Defense 컨테이너 NGIPS, AMP, URL, AVC 서드 - 파티컨테이너 Radware DDoS 케리어클래스 제품특징 업계최강의퍼포먼스 / RU 600% 높은고성능제공 30% 높은포트고집적도제공 주요기능 컴팩트사이즈, 3RU 폼팩터 10G/40G/100G Terabit 백플레인 Low latency, Intelligent fastpath NEBS ready

TrustSec 그룹기반정책을사용한소프트웨어 Defined 세그멘테이션 SGT 5 -> SGT 12 Block SGT:5 네트워크 어플리케이션서버 SGT: 10 데이타베이스서버 SGT:12 분류 전달 (SXP) 제어 * SGT : Security Group Tag * SXP : SGT exchange Protocol

시스코스텔스워치솔루션 Public 클라우드 에이젼트 IPFIX Host 클라우드컨넥트 컨텍스트정보 C&C 시스코 ACI 패브릭 Network Anomaly Detection ISE 위협피드 매니지먼트콘솔 Full Net Flow NetFlow 디바이스 실시간가시성제공 플로우컬렉트

시스코 Secure DC 보안구성요소 ISE 스텔스워치 ASA5500-X Firepower Cisco ASA 방화벽 ASAv50 ASAv30 ASAv10 ASAv5 FTDv NGFWv / FMCv NGFW/NGIPS Firepower NGFW/NGIPS Firepower 매니지먼트센터

적용방안

데이타센터성능확장 Cisco ACI Fabric 유연한확장성 ECMP 로드밸런싱 비대칭플로우 대칭플로우 시스코 ASA/Firepower 클러스터링 스테이트풀

보안서비스구성자동화 서비스체이닝 App DB Vlan 100 Vlan 200 Vlan 300 Vlan 301 Vlan 302 Vlan 303 ASA 디바이스패키지 consumer provider consumer provider FMC Firepower 디바이스패키지 동일한서비스그래프에물리적 / 가상화동시지원 vnic2 vnic3 vnic2 vnic3 managed Service Manager ASAv NGIPSv/FTDv APIC

FMC 에서이벤트가시화예 OS 정보 IPS 정보평판정보 Geo Location 정보 감염정보 파일 (APT) 정보

APIC 에서방화벽룰 Dynamic Update FW 룰자동화 1: APIC 에서 EPG 를위한 Objet Group 생성 object-group network $EPG$_pod37-aprof-app network-object host 192.168.10.101 network-object host 192.168.10.102 2: APIC 에서 object-group 에자동으로새로운 EP 추가 (192.168.10.101, 192.168.102) access-list access-list-inbound extended permit tcp any object-group $EPG$_pod37-aprof-app eq www New New 192.168.10.101 192.168.10.102 WEB EPG APP EPG 방화벽룰 Object-group

선택적보안적용 FW 에서특정트래픽만검사 EPG 클라이언트 컨슈머 Contract 프로바이더 리다이렉트 EPG Web HTTP 트래픽만 FW 로리다이렉트후 WEB EPG 로전달 일반트래픽들은 WEB EPG 로 Direct 통신 EPG 클라이언트 EPG Web

그룹기반정책의확장 APIC-DC 그룹기반의정책을전체 Domain 으로확장 캠퍼스 / 지사 방화벽관리 소프트웨어정의데이타센터 (SDDC) IaaS Voice Employee Supplier BYOD www Web App DB

APIC 을통한감염된호스트의자동격리 4. APIC 에서감염된 App1 에대해마이크로세그멘테이션을이용하여차단 / 검역 3. FMC 에서상관관계분석후 Remediation module 을이용하여 APIC North Bound 로정보전달 4 ACI 패브릭 3 FMC( 통합관리 ) App1 App EPG App2 1 2 DB EPG 1. 감염된단말에서공격발생시 NGFW/NGIP 에서탐지후차단 2. 공격이벤트를관리콘솔 (FMC) 로전달하고감염된호스트정보추출

스텔스워치를통한호스트의격리 10.201.3.149 CoA SMC 시스코 ISE 스텔스워치관리콘솔 pxgrid 를통해검역소격리또는해제

요약

시스코 Secure Data Center 시스코 ACI 패브릭 자동화구성 서비스체이닝 (GUI 또는API Scripts) 방화벽룰자동화 Traffic 리다이렉트 세그멘테이션 ( 격리 ) 그룹기반보안정책 APIC + FMC 마이크로세그멘테이션 스텔스워치를이용한모니터링및세그멘테이션