Решения компании Cisco для обеспечения безопасности сетей операторов связи и услуг Михаил Кадер, инженер [email protected] [email protected] О чем будем говорить • Архитектура платформ безопасности нового поколения • Платформа Cisco Firepower 9300 • Новые функции программного обеспечения Cisco ASA для операторов связи • Решения компании Cisco для защиты от DDoS • Совместное решение с компанией Arbor • Совместное решение с компанией Radware • Дополнительная информация Архитектура платформ безопасности нового поколения Платформы нового поколения Модульные вычисления Архитектурное масштабирование Отсутствие единой точки отказа Независимость от вариантов внедрения Аппаратные компоненты системы могут легко модернизироваться Базируется на множестве передовых технологий (x86 и ARM, шифрование и сетевые процессоры, спец. микросхемы, кластеризация) Специальное программное и аппаратное обеспечение. Сервисы работают в независимых контейнерах, и не затрагивают другие сервисы Одинаковый набор возможностей как в физической, так и в виртуальной среде, включая поддержка SDN. Динамическое предоставление сервисов Динамическое управление цепочкой сервисов и добавление новых по мере необходимости Управление сервисами «на лету» Сервисы могут быть добавлены, удалены, или изменены без нарушения обслуживания существующих потоков данных Интеграция решений 3-их компаний Унифицированное управление политиками и лицензиями Архитектура позволяет быстро добавлять новые сервисы, необходимые заказчикам Использует унифицированные прикладные интерфейсы и интерфейсы управления для всех сервисов, включая политики и лицензирование Cisco Firepower 9300 Основные преимущества платформы Модульная платформа операторского класса с интерфейсами 10, 40, и 100 Гбпс. Объединение сервисов безопасности компании Cisco и других компаний Эластичная масштабируемость за счет кластеризации Ускоренная обработка для доверенных приложений Функции ПО Cisco ASA для операторов связи § Эффективная защита на сетевом и транспортном уровне § Трансляция адресов операторского класса (Carrier-grade NAT) § Анализ протоколов GTPv1 и GTPv2 начиная с ASA 9.5(1) § Анализ SCTP и Diameter в планах Обзор платформы Cisco Firepower 9300 Модуль управления Модули безопасности § Внедрение и управление приложениями § Сетевые интерфейсы и распределение трафика § Кластеризация для сервисов Cisco® ASA и прочих § Встроенный классификатор пакетов и потоков, а также ускоритель шифрования § Приложения компании Cisco (МСЭ, СОВ, и т.п.) и 3-их компаний (защита от DDoS, балансировка) § Работает отдельно или в кластере (до 240 Гбпс на шасси и более 1 Тбпс на кластер) Шасси Cisco Firepower 9300 § 3-х юнитовое устройство для монтажа в стойку 19 дюймов. § 4-ре модуля вентиляторов с возможностью «горячей» замены § Отказоустойчивость N+1 § Обдув от передней панели к задней § Двойной блок питания с балансировкой нагрузки и возможностью горячей замены модуля § 2500 and 1300W AC сейчас; 2500W DC в будущем § Внутренняя шина поддерживает до 200 Гбпс на каждый модуль безопасности Модуль управления RJ-45 Консоль Встроенные интерфейсы 10 Гбпс (SFP+) Дополнительные сетевые модули Интерфейс 1 Гбпс для управления (SFP) Общее управление устройством и сетевое подключение § Выделение сетевых интерфейсов и подключение сервисных модулей (внутренняя матрица коммутации 960 Гбпс.) § Хранение модулей программного обеспечения, их внедрение, и управление сервисами § Инфраструктура кластеризации § Управление лицензиями и сетевым временем для всего устройства Упрощенная аппаратная схема Модуль безопасности 1 2 x 40 Gbps Модуль безопасности 2 2 x 40 Gbps Модуль безопасности 3 RAM 2 x 40 Gbps Внутренняя фабрика коммутации(до 24x40GE) 2 x 40 Gbps 5 x 40 Gbps Встроенные интерфейсы 8 x 10 Гбпс Системная шина Ethernet x86 CPU 5 x 40 Gbps Сетевой модуль 1 Сетевой модуль 2 Сетевые модули § Модуль управления обслуживает сетевые интерфейсы и направляет трафик на модули безопасности § Все интерфейсы носят название “Ethernet” и начинаются с 1 (Ethernet1/1, например) § Аппаратная поддержка «горячей» замены, программная поддержка в будущем § Возможность использования разных комбинаций двух сетевых модулей 10 и 40 Гбпс. половинной ширины § 8 x 10 Гбпс. SFP или SFP+ на один модуль § 4 x 40 Гбпс. QSFP на модуль; каждый порт может быть поделен на 4 порта по 10 Гбпс. § Модули 100 Гбпс. в будущем Сетевые модули, продолжение … Все сетевые модули требуют установки волоконно-оптических или медных интерфейсных трансиверов 8x10GE FXOS 1.1.1 • Оптические трансиверы 10 Гбпс • Медные трансиверв 10 Гбпс. FXOS 1.1.3 • Аппаратный обход Future 4x40GE 2x100GE FXOS 1.1.1 • Разделение каждого порта на 4x10 Гбпс. • Аппаратный обход Future • • • • • FXOS 1.1.3 Двойная ширина Коннектор QSFP28 Без возможности разделения Future Аппаратный обход Модуль одинарной ширины потребует замену модуля управления Future Модули безопасности § Три варианта § SM36: 72 x86 CPU ядер для производительности МСЭ до 80 Гбпс. § SM24: 48 x86 CPU дер для производительности МСЭ до 60 Гбпс. § В будущем – сертификация NEBS для SM24 § Два диска SSD емкостью 800ГБ собранные м RAID1 по умолчанию § Встроенный классификатор пакетов и потоков, а также ускоритель шифрования § Поддержка аппаратного ускорения шифрования в будущем Упрощенная схема модуля безопасности RAM x86 CPU 1 24 или 36 ядер x86 CPU 2 24 или 36 ядер 2 x 100 Gbps Встроенный Классификатор пакетов и потоков, а также ускоритель шифрования 2 x 100 Gbps System Bus Ethernet Подключение к модулю управления FXOS 1.1.1 Структура программного обеспечения Модуль управления и модули безопасности используют независимые образы программного обеспечения Все образы имеют цифровую подпись и контролируются Secure Boot Образы представлены в специальном формате Cisco Secure Package (CSP) Дополнительные приложения 3-их фирм (KVM) Приложения Cisco (Native) Обновления операционной системы FXOS применяются к модулю управления и его агентам на модулях безопасности Модуль управления хранит образы приложений в формате Cisco Secure Package (CSP) Модуль 1 DDoS ASA FXOS Модуль 2 Модуль 3 ASA ASA FXOS FXOS Firepower Extensible Operating System (FXOS) Модуль управления Обзор приложений безопасности § Приложения – это сервисы безопасности, работающие на модулях безопасности Firepower™ 9300 § Основное приложения изначально забирает все ресурсы модуля § Сейчас это Cisco® ASA § Изначально на всех модулях безопасности работает одно и тоже приложение § Дополнительное приложение разделяет ресурсы модуля с основным § Трафик идет от сетевых интерфейсов через дополнительное приложение к основному § Первым дополнительным приложением будет защита от DDoS Архитектура сервисов безопасности на Firepower 9300 Логическое устройство Элемент логического устройства Контроль соединения Cisco® ASA Cluster Security Module 1 Security Module 2 Security Module 3 ASA ASA ASA DDoS DDoS DDoS Основное приложение Дополнительное приложение Соединение Поток данных Внешние подключения Data Управление PortChannel1 Ethernet 1/7 (Management) On-Board 8 x 10 GE Interfaces 8 x 10 GE NM Slot 1 4 x 40 GE NM Slot 2 Ethernet 1/1-8 Ethernet 2/1-8 Ethernet 3/1-4 Application Image Storage Планы развития • • • • • Шасси Сетевые модули 10GE/40GE Кластеризация внутри шасси Резервирование Лицензирование • • • • • • Сетевой модуль 100GE Аппаратная поддержка шифрования Ускоренная обработка потоков Кластеризация между устройствами Захват пакетов на модуле управления Управление трафиком на внутренней шине July 2015 December 2015 ASA 9.4(1.200) ASA 9.5(2) FXOS 1.1.1 Radware vDP FXOS 1.1.3 FXOS 1.1.3 Несколько слов о Radware vDefensePro Внимание на целенаправленные атаки Доступные сервисы Приложения Серверы Сеть Behavioral HTTP Flood ProtecDon DNS ProtecDon Behavioral DoS AnD-Scan SYN ProtecDon ConnecDon Limit Out-Of-State ConnecDon PPS Limit BL/WL Server Server Cracking Cracking Signature ProtecDon ProtecDon Signature § § § § До10 Гбпс. на модуль при выделени 6 ядер x86 Внутренняя кластеризация обеспечивает до 30 Гбпс с 3-мя модулями Пока нет поддержки внешней кластеризации Деградация производительности основного приложения ASA примерно 10-15% Возможности по отказоустойчивости и масштабированию § Отказоустойчивость на уровне модулей для Cisco® ASA § Основное-резервный, основнойосновной § Масштабирование за счет внутренней кластеризации для ASA § Производительность до 240 Гбпс. для одного устройства § В будущем – масштабирование за счет кластеризации модулей в разных устройствах § До 1.2 Тбпс. при 5-ти устройствах Ускоренная обработка потоков § Обработка доверенных соединий с очень высокой скоростью и ограниченным контролем § Высокая произаодительность и низкая задержка на поток § Использование выделенных ядер x86 § Цель - 40 Гбпс. на один поток TCP/UDP и 20 микросекунд задержки § Первоначально – статическая настройка, используя MPF на ASA policy-map OFFLOAD_POLICY class TRUSTED_FLOWS set connection advanced-options flow-offload § В дальнейшем – обработка в зависимости от условий и возможность выборочного анализа § Использование сетевых процессоров на модулях в дальнейшем, для независимости от ядер x86 Работа ускоренной обработки потоков (в будущем) Полный анализ § Динамически программирует процесс ускорения соединений после их установления § Периодически «забирает» соединения для полного анализа Приложение Новые и требующие полного анализа Входящий трафик Сетевой процессор Команда на ускорение обработки Доверенные соединения и большие пакеты Ускоренная обработка Cisco® ASA Информация о потоках Ускоренный путь обработки § Контроль состояния соединения на x86 или сетевом процессоре § Учет переданных байтов и контроль состояния соединений TCP § 40 Гбпс. на один поток TCP, задержка от 2 до 20 микросекунд, более 80 миллионов соединений Обзор управления § Управление устройством не зависит от приложений § Встроенная система управления – графический интерфейс и командная строка § Cisco® ASDM для управления Cisco ASA § В будущем – система управления Cisco FireSIGHT® для устройства и приложений § SNMP и syslog поддерживаются на модуле управления § Поддержка REST API на модуле управления § Поддержка SDN для управления предоставлением сервисов Новые функции ПО Cisco ASA для операторов связи Carrier Grade NAT: Динамическое выделение блоков портов § Порты выделяются блоками заданного размера § Выделение портов идет из диапазона от1024 до 65535 § При первом запросы не выделение порта, выделяется блок и он используется для всех дополнительных соединений от данного источника § Выделение блоков портов и портов внутри блока идет случайным образом § Сообщение в журнал syslog отправляется при выделении или освобождении блока Массовое выделение портов § Задача – уменьшить количество учетных сообщений § Принцип работы массового выделения портов Outside IP1 § Подписчик создает первое соединение § Выделяется блок из N последовательных портов (например, 2064 - 2080 если N = 16) § Генерируется сообщение (syslog или NSEL) о выделении этого блока Logging Record NAT Collector § Дополнительные соединения (до количества N) будут использовать порты из этого блока § Новый блок будет выделен, если подписчику будет надо больше чем N одновременных соединений § Когда подписчик освободит все порты из блока – будет сгенерировано соответствующее сообщение syslog или NSEL Syslog NetFlow Поддержка протоколов GTPv1 и GTPv2 § Cisco® ASA поддерживает анализ трафика в мобильных сетях 3G протоколов GPRS Tunneling Protocol (GTP) Version 0 и 1, начная со спецификации 3GPP TS 29.060 Release 6 § В ПО ASA версии 9.5.1, добавлена поддержка LTE, и, соответственно GTPv2, спецификации 3GPP TS 29.274 Release 8; ASA также будет поддерживать Release 10, Version 13 § Так же, в рамках этой поддержки, добавлены новый функции по масштабированию анализа GTP: § § Поддержка множества ядер в одном устройстве § Распределенный режим обработки в кластере Поддержка протоколов IPv4 и IPv6 для анализа GTP GTP в пакетном ядре § В версии 1, взаимодействие по протоколу GTP идет между SGSN и GGSN § В версии 3, сетевая архитектура (Evolved Packet Core – EPC) поддерживает больше узлов и типов интерфейсов § Cisco® ASA работает на интерфейсах S5 и S8 контролируя соединения между PGW и SGW Gr GERAN UTRAN Gn/Gp SGSN vPLMN hPLMN HSS S6a Gn S1-MME MME PCRF Gx Gp S10 UE E-UTRAN S11 SWG S1u Rx Operator’s IP Services (e.g. IMS, PSS etc.) PWG S8 SGi Маршрутизация на основе политик Поддержка протоколов IPv4 and IPv6 Поддержка Security group tag (SGT) Поддержка аутентификации пользователей (IDFW) Настройка на физических и логических интерфейсах Фильтрация маршрутной информации Поддержка протокола BGPv4 и v6 § IPv4 and v6 address families § Null0 and RTBH support § Single mode and multicontext § Failover and clustering § Redistribution with other protocols: connected, static, OSPFv2 and v3 § Standard communities § IPv6 prefix list § All path attributes § Nonstop forwarding and graceful restart § Clustering support § High-availability support § Recursive route lookup Решения компании Cisco по защите от DDoS Ланшафт угроз В прошлом, непрерывные атаки не превышали 6% от общего числа В 2014 году - 19% атак были признаны непрерывными 52% процента опрошенных заказчиков считают, что они могут устоять под атакой один день и меньше 40% 35% 30% 25% 20% 15% 10% 5% % 2011 2012 2013 2014 Продолжительные, большие и сложные атаки требуют непрерывной защиты 32 Атаки направлены и на сети и на приложения Многие атаки захватывают и сетевой и прикладной уровни Приложения 49% Сети 51% 9 % Атаки на WEB-ресурсы продолжают оставаться наиболее массовыми – Каждая четвертая атака 18% 6% 23% Более активное использование атак, построенных на эффекте «отражения» (reflective), привело к росту использования UDP 16% 16% 10% – С 7% в 2013 до 16% в 2014 Многовекторные атаки требуют аккуратности и точности в их отражении для сохранения нормальной работы легитимных пользователей VoIP 1% Web (HTTP/HTTPS) TCP- Other UDP ICMP SMTP DNS IPv6 1% TCP-SYN Flood Атаки крушат все уровни в ЦоД-ах Internet Pipe Firewall IPS/IDS Load Balancer/ADC Server Under Attack SQL Server Защита от атак DDoS на МСЭ защищает от 64% этих атак, но не спасает от переполнения канала 34 Решения компании Cisco и партнеров по защите от DDoS MSSP Services SP Scrubbing Center Various 3rd Party Options for Hosted : Arbor Cloud, Radware Cloud, Prolexic /Akamai • Various 3rd Party Options for Hosted Services Firepower 9300 Mobile users • Complete Enterprise DDoS system can be complemented w/Cisco Lancope Threat Defense Radware Defense Pipe Radware Defense Pro SP Mobility Edge w/FP 9300 and Radware DDoS Radware Vision SP Applications, Services & Databases SP Firepower 9300 SP ASR PE w/PeakFlow SP Edge Router Based DDoS with ASR – • (Volumetric) on ASR 9K + VSM+ Arbor TMS Peak Flow . SP Backbone detection and mitigation Threat Defense Enterprise DC Enterprise Data Center FW Based DDoS with Firepower 9300 • Firepower 9300 + SM running Radware Defense Pro • Application Attack detection and mitigation Совместное решение с компанией Arbor Networks Cisco и Arbor Networks: совместное решение Cisco и Arbor объединили усилия, чтобы создать лучшее в своем классе решение для защиты от DDoS-атак Arbor SP TMS на лидирующей платформе Cisco ASR 9000 Cisco и производитель оборудования Arbor создали стало решение для защиты от DDoS-атак Arbor SP TMS на базе ASR 9000 Клиенты заинтересованы в распределенном решении на периметре сети, текущее же решение действует в ее ядре Распределенная архитектура пресекает атаки прямо в точке входа — пропускная способность сети не растрачивается впустую Решение предназначено для операторов связи и корпоративных клиентов Лучшее масштабирование (40 Гбит/с на VSM), многоуровневое лицензирование Преимущества решения — архитектурный подход, простота и унифицированное управление Peakflow SP/TMS Полный мониторинг сети Мониторинг трафика во всей сети: • Магистраль • Периметр пиринга/передачи • Облако/ЦОД • Мобильная сеть • Заказчик Защита от угроз Выявляйте и предотвращайте DDoS-атаки и киберугрозы до того, как они окажут воздействие на сервисы. Предоставление услуг Монетизируйте сетевую инфраструктуру и технологии для обеспечения приносящих прибыль услуг и повышения конкурентоспособности. Компоненты решения ASR 9000 Платформа сбора информации (CP) Arbor Peakflow SP ASR 9000 VSM, на котором запускается Arbor SP TMS Компоненты Cisco VSM на ASR 9000 ASR 9000 DDoS-лицензия для Arbor TMS на VSM Компоненты Arbor Платформа сбора информации (СР) Arbor Peakflow SP Система управления угрозами (TMS) Arbor Peakflow Обзор ASR 9000 VSM Сервис-3 Сервис-4 Сервис-1 Сервис-2 Виртуальная Виртуальная машина-4 машина-3 Виртуальная Виртуальная машин-1 машина-2 Диспетчер виртуальной машины ОС/гипервизор ASR 9000 VSM • • • • • • • Вычислительная мощность ЦОД: • 4 10-ядерных ЦП Intel x86 2 сетевых процессора Typhoon для аппаратной сетевой обработки • Пропускная способность обработки исходных данных 120 Гбит/с Аппаратное ускорение • Пропускная способность аппаратного шифрования 40 Гбит/с • Аппаратная поддержка для сопоставления регулярных выражений Гипервизор виртуализации (KVM) Управление жизненным циклом виртуальной машины сервиса, интегрированное в IOS-XR Цепочка сервисов Комплект разработки SDN для сторонних приложений (OnePK) Оптимизированное подавление DDoS-атак § Элементы: § Arbor PeakFlow SP – управление и сбор информации § Arbor Peakflow vTMS на ASR 9K VSM – очистка и подавление § Преимущества: Заказчик Центр очистки Централизованная современная архитектура § Распределенная архитектура пресекает атаки прямо в точке входа — пропускная способность сети не растрачивается впустую § Лучшее масштабирование (40 Гбит/с на VSM) § Интегрированное решение экономит место в стойке и потребность в кабелях § Защита инвестиций — использование VSM для нескольких приложений § Унифицированное управление § Многоуровневое лицензирование Распределенное решение на основе ASR 9000 Позиционирование 1. ASR 9000 как пиринг-маршрутизатор • Очищение трафика, поступающего интернетпровайдеру через одноранговое соединение 2. 3 2 ASR 9000 как маршрутизатор для взаимодействия с ЦОД • Очищение трафика, направляемого в ЦОД 3. 4 ASR 9000 на стороне провайдера 3-го уровня 1 • Анти-DDoS как сервис — очищение трафика, направляемого корпоративному клиенту 4. ASR 9000 как граничный маршрутизатор глобальной сети • Очищение трафика, поступающего корпоративному клиенту ASR9K + VSM/TMS Peakflow SP Netflow + SP/TMS Обнаружение и подавление Вариант 1: Локальное перенаправление SP производит обнаружение на основе Netflow Конфигурирует VSM/TMS через ASR так, как необходимо Трафик перенаправляется в TMS TMS получает трафик по протоколу BGP по магистрали Многопротокольная коммутация на основе меток (MPLS) конфигурируется через интернетпровайдера Хороший трафик снова идет обратно Обратная отправка идет через ASR Проблемный трафик TMS является стандартным IP-адресом источника, отправляющий трафик по магистрали VSM/TMS может работать с одним или несколькими заказчиками ASR9K + VSM/TMS Peakflow SP Netflow + SP/TMS Обнаружение и подавление Вариант 2: Удаленное перенаправление SP производит обнаружение на основе Netflow Конфигурирует VSM/TMS через ASR так, как необходимо Трафик перенаправляется в TMS TMS получает трафик по протоколу BGP по магистрали Многопротокольная коммутация на основе меток (MPLS) конфигурируется через интернет-провайдера Хороший трафик снова идет обратно GRE-туннель по магистрали MPLS Проблемный трафик TMS является стандартным IP-адресом источника, отправляющий трафик по магистрали VSM/TMS может работать с одним или несколькими заказчиками ASR9K + VSM/TMS Peakflow SP Netflow + SP/TMS коммуникации Обнаружение и подавление Вариант 3: Постоянно Достигается за счет постоянных перенаправлений Работает аналогично локальному и дальнему перенаправлению Может сочетаться со стандартным (временным) off-ramp Для одного и того же и (или) нескольких заказчиков ASR9K + VSM/TMS Peakflow SP Netflow + SP/TMS Преимущества для заказчиков Виртуализированная, интегрированная в сеть защита от DDoS-атак • Использование вложений в Cisco ASR 9000 и VSM для виртуализированной защиты от DDoS-атак. • Распространение защиты от DDoS-атак вплоть до периметра сети, чтобы избежать обратного транзита в региональные центры очистки. • Выявление и блокирование DDoS-атак для обеспечения доступности и производительности инфраструктуры и услуг. • Быстро вывод на рынок новых сервисов для виртуализированной защиты от DDoS-атак. Совместное решение с компанией Radware Компонтенты совместного решения • • • • Устройство Cisco Firepower 9300 DDoS License Virtual Defense Pro (vDP) V 1.01 ПО управления Radware Vision Выпуск Dec/Jan w/9.5(2) ASA and FXO 1.1.3 Radware Vision Manager Cisco ASDM Manager Приложения, сервисы, СУБД Firepower 9300 DDOS Firewall Threat Defense Radware v/DefensePro DDoS Модули безопасности и vDP DDoS • Поддержка модулей SM-24 и SM-36 • 10 Гбпс. DDoS на модуль, 30 Гбпс. на шасси с тремя модулями,10% потери производительности • Кластеризация между устройствами будет позже Firepower 9300 изменяет модель интеграции сервисов • • Radware vDP – первое из приложений 3-х компаний, ставшее элементом новый архитектр Защита от DDoS работает на входных интерфейсах Firepower 9300 Обозначения: Сервисы Cisco Сервисы партнеров Данные 1001 0001011 1100010 1110 DDoS SSL FW WAF NGIPS AMP Унифицированная платформа сервисов безопасности Максимальная защита Высокая эффективность Масштабируемость Гибкость Защита от атак в реальном времени используя DefensePro + Virtual DefensePro Virtual DefensePro – это работающее в режиме реального времени устройство предотвращения атак, защищающее инфраструктуру от сетевых и прикладных сбоев, взломов и сетевых аномалий, вызванных атаками DDoS 50 Возможности Defense Pro Защита от «затопления» канала § TCP and SYN floods § UDP floods § Other network floods Приложения 49% Сети 51% 9% Защита от «затопления» приложений 18% 6% 23% § HTTP floods § DNS floods § SSL connection floods 16% 16% 10% Защита от известных средств проведения атак VoIP 1% Web (HTTP/HTTPS) TCP- Other SMTP DNS IPv6 1% UDP ICM P TCP-SYN Flood Базирующееся на поведении обнаружение и отражение атак Обнаружение атаки • Отклонение в поведении Отражение атаки • Идентификаторы атак L4-L7 в реальном времени Обнаружение по количественному изменению Аккуратное обнаружение = мало ошибок Много ошибок 52 Взаимодействие системы DefensePipe Интернет Граница ЦОД Дополнительный сервис Radware Radware Облачная очистка Сообщение Firepower 9300 Атака обнаружена и заблокирована на периметре Трафик перенаправлен на очиску в облачный сервис и канал Интернет свободен Информация об атаке поступает в облачные сервис очистки Radware Объемная атака «забила» канал Интернет 53 Radware Vision: Система мониторинга и управления событиями информационной безопасности Мониторинг реального времени Исторические отчеты Настраиваемые панели мониторинга Корреляция событий Расширенные аналитические отчеты Отчеты о соответствии нормативным требованиям Управление запросами Передача информации о событиях на другие системы мониторинга и управления Ролевой доступ 54 Vision: Портал для заказчиков Свой профиль защиты для каждого заказчика Ролевой контроль доступа Каждый заказчик видит только те защищаемые ресурсы, которые имеют к нему отношение Все отчеты, панели мониторинга и управления, информация о событиях, могут быть персонализированы для конкретного заказчика 55 Позиционирование Firepower 9300 и Radware 3 SP Mobility Edge 1. Firepower 9300 в ЦОД • Очистка трафика на границе Gi/Sgi /.. mobile subscribers 2 MSSP Hosted 2. Firepower 9300 как МСЭ для управляемых сервисов безопасности • Основной сервис – МСЭ, DDoS как дополнение SP 3. Firepower 9300 на границе сети мобильного оператора Другие возможные сценарии • Операторы 2-го, 3-го уровня нуждаются в защите от DDoS • Защита собственного ЦОД-а оператора Enterprise DC Tier 2 SP 1 1 Защита ЦОД-а и периметра ЦОД Периметр Интернет Применение Firepower 9300: • Многосервисная платформа безопасности • Высокая производительность и масштабируемость Решение: • Оперативная и точная защита сети и приложений от DDoS Унифицированные коммуникации Приложения, СУБД Web Почта Портал Firepower 9300 57 1 Защита ЦОД с использованием облачного сервиса Периметр Интернет Сообщение • ЦОД Унифицированные коммуникации Приложения, СУБД Защита от объемных атак в облаке Web Почта Портал Firepower 9300 Defense Pipe – дополнительный сервис 58 2 Управляемые сервисы безопасности Сеть оператора Операторы верхнего уровня Управляемый сервис на границе сети оператора Заказчики Управляемый сервис для заказчиков Firepower 9300 Firepower 9300 • Firepower 9300 Отражение атак в облаке Firepower 9300 Заказчик A Заказчик B Заказчик C Defense Pipe дополнительный сервис 59 3 Граница сети мобильного оператора Интернет Сеть Граница Решение Firepower 9300: • Многосервисная платформа безопасности • Защита от атак из Интернет • Защита от атак от скомпрометированных мобильных пользователей • Высокая производительность и масштабируемость Решение: • Оперативная и точная защита сети и приложений от DDoS Firepower 9300 60 Заключение Итак • Платформа Cisco Firepower 9300 – основа для гибкого внедрения сервисов безопасности в сетях операторов связи и услуг, а также крупных корпоративных сетей и ЦОД-ов • Архитектура обеспечивает легкую интеграцию как сервисов безопасности компании Cisco, так и сторонних компаний • Совместное решение компаний Cisco и Arbor по защите от DDoS на базе модуля VSM для маршрутизаторов ASR 9000 уже доступно • Интеграция решения по защите от DDoS компании Radware на платформе Firepower 9300 будет доступно к концу года Дополнительная информация Где вы можете узнать больше? http://www.facebook.com/CiscoRu http://twitter.com/CiscoRussia http://www.youtube.com/CiscoRussiaMedia http://www.flickr.com/photos/CiscoRussia http://vkontakte.ru/Cisco http://blog.cisco.ru/ Ждем ваших сообщений с хештегом #CiscoConnectRu Михаил Кадер, [email protected] [email protected] CiscoRu Cisco CiscoRussia CiscoRu © 2015 Cisco and/or its affiliates. All rights reserved.