Как Cisco защищает современные центры обработки данных и виртуализированные среды

04 апреля 2013 мы провели специализированное мероприятие для наших заказчиков – участников клуба CiscoExpo Learning Club, посвященное вопросам защиты современных центров обработки данных (ЦОД). В рамках данного семинара мы подробно остановились на стратегии Cisco в области защиты ЦОДов, конкретных технических решениях и рекомендациях по построению и дизайну защищенного ЦОДа. Мы рассмотрели как высокопроизводительные решения для межсетевого экранирования и предотвращения вторжений Cisco ASA 5585-X и Cisco IPS 4500, так и специализированные межсетевые экраны для виртуализированных сред Cisco Virtual Security Gateway и Cisco ASA 1000V Cloud Firewall. Мы рассмотрели примеры использования Cisco ISE для контроля доступа к ресурсам ЦОД, включая и виртуальные машины, а также непростой вопрос с сегментацией внутри ЦОД (в т.ч. и с помощью Cisco Fabric Interconnect). И конечно мы не могли обойти вниманием вопросы взаимодействия виртуальных рабочих мест (VDI) с ЦОДов в контексте информационной безопасности. Все материалы с этого семинара, а также запись Webex вы можете найти на сайте CiscoExpo Learning Club.

Также хотим сообщить вам, что в конце марта мы подготовили и опубликовали целый набор русскоязычных документов по защите центров обработки данных:

  • Три необходимых компонента для обеспечения безопасности при осуществлении преобразования ЦОД (на SlideShare и на сайте Cisco)
  • Обеспечение безопасности корпоративной сети в среде Web 2.0 и при использовании социальных сетей (на SlideShare и на сайте Cisco)
  • Безопасная сегментация в унифицированной архитектуре центров обработки данных Cisco (на SlideShare и на сайте Cisco)
  • Решения Cisco для защищенного ЦОД снижают риск при переходе к частному облаку (на SlideShare и на сайте Cisco)
  • Обеспечение безопасности для виртуальных серверов и приложений (на SlideShare и на сайте Cisco)
  • Решения Cisco Secure Data Center для защиты виртуальных и частных облачных сред. Ответы на часто задаваемые вопросы (на SlideShare и на сайте Cisco)
  • Решения Cisco для защищенного центра обработки данных. Краткий обзор (на сайте Cisco)

Если после изучения указанных материалов у вас останутся какие-либо вопросы по теме защиты центров обработки данных, виртуализированных сред, облачных вычислений, то вы можете задать все свои вопросы по адресу: security-request@cisco.com.

Мы запускаем портал Cisco ASA CX

Когда речь заходит о том, какие функции по контролю трафика есть у традиционного межсетевого экрана, то ответ обычно не заставляет себя ждать. Межсетевой экран может фильтровать трафик практически по всем полям заголовка IP-пакета (адрес отправителя и получателя, порт отправителя и получателя, протокол и т.д.). Именно с этого начиналась история межсетевых экранов и именно поэтому они стали называться пакетными фильтрами. Второе поколение межсетевых экраном стало использовать гораздо большее число параметров для контроля. От достаточно традиционных — время, направление движение трафика, состояние сессии, до редких, но не менее важных — имя пользователя, тип устройства, осуществляющего доступ, операционная система этого устройства, принадлежность устройства компании или частному лицу и т.д. Именно так могут быть построены правила разграничения доступа для Cisco ASA 5500-X.

Политика разграничения доступа на Cisco ASA 5500-X

Но вот на рынке стали появляться прикладные межсетевые экраны (application firewall) или межсетевые экраны следующего поколения (next generation firewall), ориентированные на контроль приложений. Обычная настройка правил по адресам и портам в данном случае не подходит, т.к. на одном порту (например, TCP/80 или TCP/8080) может находиться множество различных приложений, одни из которых могут быть разрешены, а другие запрещены корпоративной или ведомственной политикой безопасности. Именно задачу глубого и гибкого контроля приложений решает прикладной межсетевой экран Cisco ASA CX и разработанная для управления им система Cisco Prime Security Manager (PRSM).

Политика контроля доступа Cisco ASA CX

С помощью PRSM мы можем не только разрешить или запретить работу того или иного приложения, но и построить политику разграничения с учетом конкретных действий и операций внутри приложения. Например, можно разрешить переписку с помощью какой-либо системы мгновенных сообщений, но запретить передачу через нее файлов. Можно разрешить заход на сайт Facebook, но запретить использование каких-либо микроприложений, разработанных, например, для Facebook, и т.п.

Однако, как только мы начинаем говорить о прикладном межсетевом экране, сразу возникает вопрос о поддерживаемых им приложениях. На сегодняшний день Cisco ASA CX поддерживает свыше 1100 таких приложений — Facebook, LinkedIn, Skype, BitTorrent, eDonkey, iCloud, Dropbox, pcAnywhere, Yandex, Winamp Remote, Google Drive, Scribd, MS Windows Azure, Salesforce CRM, Oracle e-Business Suiteа, MS Lync, Tor и т.д., а также свыше 75000 микроприложений. Перечислять их все не хватит целого экрана, а выпускать документ с полным списком — задача также неблагодарная — этот список обновляется ежемесячно. Поэтому сегодня мы запустили новый публичный портал, который содержит список всех приложений, поддерживаемых Cisco ASA CX. Этот портал доступен по адресу: http://asacx-cisco.com/.

Функциональные возможности портала:

  • Отображение актуального списка поддерживаемых приложений (обновляется один раз в месяц)
  • Отображение описаний приложений и их возможностей
  • Поиск приложений и поддержка фильтров по категориям
  • Отображение списка приложений, поддержка которых была добавлена за последние 1, 2 или 3 месяца
  • Получение более подробных сведений о новых приложениях с помощью раздела “Featured search keywords” (наиболее популярные ключевые слова).

Также мы подготовили и ряд новых русскоязычных материалов по Cisco ASA CX — white paper «Cisco ASA CX обеспечивает безопасность с учетом контекса» и независимое исследование по данному решению от компании Lippis Consulting. Также по-прежнему доступны обзорная презентация и листовка по Cisco ASA CX, которые мы готовили в прошлом году.

Охота за «Красным Октябрем»

Речь пойдет не о культовом фильме с Шоном Коннери в главной роли, а о последнем примере применения кибероружия в разведывательных целях, который был обнаружен Лабораторией Касперского и который был анонсирован ее специалистами в понедельник. Я уже успел даже прокомментировать этот ролик на телевидении, но моя заметка не о природе этого вредоносного кода, не о его авторах и даже не о том, как он работает. Речь пойдет о том, как с ним бороться.

По мнению экспертов Лаборатории Касперского расширяемая и многофункциональная платформа, используемая для кражи конфиденциальной и секретной информации, использует 4 известные уязвимости:

  • CVE-2009-3129 — Microsoft Office Excel Featheader Record Processing Arbitrary Code Execution Vulnerability
  • CVE-2010-3333 — Microsoft Office Rich Text Format Content Processing Buffer Overflow Vulnerability
  • CVE-2012-0158 — Microsoft MSCOMCTL.OCX ActiveX Control Remote Code Execution Vulnerability
  • CVE-2011-3544 — Oracle Java Applet Rhino Script Engine arbitrary code execution vulnerability.

Аналитики нашего исследовательского центра Cisco Security Intelligence Operations (SIO) разработали целый набор защитных мероприятий, которые могут быть реализованы с помощью различных решений Cisco в области информационной безопасности. Для первых двух уязвимостей известных еще с 2009-го и 2010-го годов мы выпустили бюллетени об уязвимостях:

соответствующие рекомендации по отражению указанных угроз:

а также 4 сигнатуры для решений Cisco от обнаружению и предотвращению вторжений Cisco IPS — 22083-0, 21920-0, 31239-1 и 31239-0.

Для борьбы с новой уязвимостью, позволяющей удаленное выполнение кода и описанной в бюллетене Microsoft MS12-027: Vulnerability in Windows Common Controls Could Allow Remote Code Execution мы также провели целый ряд исследований, результатом которых стал выпуск соответствующих бюллетений, рекомендация и сигнатур:

При этом в последнем случае идентифицировать данную угрозу и бороться с ней можно не только с помощью Cisco IPS, но и с помощью сертифицированных в ФСТЭК маршрутизаторов Cisco IOS с Netflow, сертифицированных в ФСТЭК межсетевых экранов Cisco ASA, Cisco ASA SM и Cisco FWSM для Catalyst 6500, а также с помощью Cisco ACE. Последняя уязвимость в реализации Java, используемая в одном из командных серверов «Красного Октября», также описана нами в соответствующем бюллетене. Все эти рекомендации и сигнатуры уже доступны для пользователей Cisco и могут быть загружены с нашего портала по информационной безопасности Cisco SIO.

Указанные ресурсы для борьбы с «Красным Октябрем» — это только один пример активности экспертов Cisco SIO, в круглосуточном режиме работающих для защиты информационных систем и сетей наших заказчиков. На уже упомянутом выше портале вы сможете регулярно получать информацию следующего характера:

  • Event Responses (реакция на событие) обеспечивает информацию о событиях ИБ, которые могут иметь потенциально серьезные последствия для устройств, приложений и сетей заказчиков.
  • Applied Mitigation Bulletins (бюллетень о проявлении уязвимостей в продуктах Cisco) обеспечивает описание технологий для обнаружения и отражения уязвимостей в продуктах Cisco.
  • IPS Signatures (сигнатуры IPS) создаются для обнаружения и блокирования угроз ИБ с помощью Cisco IPS.
  • IntelliShield Alerts (бюллетень IntelliShield) включает вендорнезависимое «раннее предупреждение» об угрозе, ее анализ и разбор потенциальных последствий.

Сравнение производительности межсетевых экранов Cisco, Check Point и Fortinet

В феврале я уже писал о том, что компания Cisco выпустила 5 новых моделей Cisco ASA 5500-X, отличающихся от предыдущего модельного ряда не только абсолютно новой архитектурой, но и повышенной в 4 раза производительностью.  И чтобы подтвердить такой рост, компания Cisco привлекла компанию Miercom к оценке производительности многофункциональных устройств обеспечения безопасности серии ASA 5500-X в сравнении с их аналогами. Были опробованы три сопоставимых сценария сравнения изделий компаний Check Point и Fortinet с их аналогами серии ASA 5500-X. Модель ASA 5515‑X сравнивалась с Check Point 4210, ASA 5525‑X — с FortiGate 310B, а ASA 5555‑X — с устройствами Check Point 4807. Выбор этих продуктов объясняется их сходством по целевому назначению, что обеспечивает корректность сравнения. Результаты сравнения, а также методика тестирования, приведены в отчете, который может быть свободно загружен по ссылке.

На основе лабораторных тестов многофункциональных устройств обеспечения безопасности Cisco ASA 5515‑X, 5525-X и 5555-X компания Miercom подтверждает, что их производительность выше, чем у их аналогов Check Point 4210, FortiGate 310B и Check Point 4807.

Cisco ASA 1000V Cloud Firewall доступен для заказа

Год назад, 31 августа, я уже писал про анонсированный нами межсетевой экран для виртуализированных сред — Cisco ASA 1000V Cloud Firewall. Межсетевой экран для облачных сред Cisco® ASA 1000V представляет собой виртуальное устройство обеспечения безопасности, которое расширяет возможности платформы многофункциональных устройств безопасности Cisco ASA для адекватной защиты не только физических, но и виртуальных, а также облачных инфраструктур.

Межсетевой экран для облачных сред Cisco ASA 1000V дополняет средства разграничения доступа и контроля сетевого трафика между виртуальными машинами, реализованные в устройстве Cisco Virtual Security Gateway (VSG), и обеспечивает безопасность в многопользовательских средах, поддержку базовой функциональности шлюзов безопасности и защиту от сетевых атак. Таким образом, устройство Cisco ASA 1000V позволяет формировать комплексное решение для обеспечения безопасности облачной среды. Кроме того, устройство Cisco ASA 1000V интегрируется с коммутатором Cisco Nexus® серии 1000V, который поддерживает несколько гипервизоров, чтобы исключить привязку к определенному поставщику, и позволяет одному экземпляру ASA1000V защищать несколько хостов
ESX для обеспечения гибкости развертывания и простоты управления. Динамическое управление многопользовательской средой на основе политик реализуется с помощью системы управления Cisco VNMC.

За этот год очертания только-только анонсированного продукта обрели конкретную форму — стала известна его функциональность, цена, варианты внедрения, модель управления и многие другие моменты. Но самое главное — Cisco ASA 1000V Cloud Firewall стал доступен к заказу. Более подробная информация о Cisco ASA 1000V доступна в русскоязычном бюллетене (pdf), а также на официальной странице продукта на сайте Cisco.

5 новых моделей Cisco ASA 5500x

Вчера, на конференции RSA Conference, компания Cisco сделала целый ряд интересных анонсов новых продуктов и технологий. Оглядываясь назад, могу сказать, что это один из крупнейших обновлений за последние несколько лет, который Cisco сделала в области информационной безопасности. Один из таких анонсов касается обновления модельного ряда многофункциональных защитных устройств Cisco ASA 5500x, который пополнился 5-тью новыми моделями в среднем классе.

Новые модели Cisco ASA 5512-X, 5515-X, 5525-X, 5545-X и 5555-X не только в 4 раза производительнее предыдущих моделей среднего класса (Cisco ASA 5510, 5520, 5540 и 5550), но и построена на базе совершенно иной архитектуры, которая оптимизирована для работы с многоядерными процессорами. Именно это, а также переписанный код для 64-битной архитектуры ОС, а также наличие аппаратного ускорителей ключевых сервисов безопасности (в частности IPS), позволили достичь 4-хкртаного роста производительности.

Другое ключевое отличие ноой аппаратной платформы — возможность расширения защитных возможностей за счет поддержки различных сервисов безопасности без установки дополнительных плат расширения. Например, теперь, для включения функции предотвращения вторжения на Cisco ASA 5512-X, 5515-X, 5525-X, 5545-X и 5555-X достаточно просто приобрести соответствующую лицензию, которая и активирует соответствующий сервис, построенный по принципу «виртуального лезвия».  Для защиты вложенных в новые модели инвестиций Cisco планирует расширить число защитных сервисов, которые будут запускаться на базе новой аппаратной платформы Cisco ASA 5500x. Одним из таких сервисов является межсетевой экран нового поколения Cisco ASA CX (прикладной межсетевой экран), о котором я расскажу в ближайшее время и который мы также анонсировали в рамках RSA Conference.

Более подробно новые модули Cisco ASA 5500x описаны в подготовленной нами презентации:

Virtual ASA — новый межсетевой экран для виртуализированных сред

Совсем недавно я уже писал про руководство Cisco по безопасности операционной систем NX-OS для коммутаторов виртуализированных сред Cisco Nexus. В той заметке я упомянул и про наш межсетевой экран для защиты взаимодействия между виртуальными машинами — Cisco Virtual Security Gateway. И вот уже на этой неделе, на конференции VMworld в Лас-Вегасе компания Cisco анонсировала свое новое решение в рамках стратегии защищенных центров обработки данных — предварительную версию Virtual ASA.

Предварительную потому, что еще рано говорить о ее стоимости и сроках выхода, но уже сейчас можно говорить о ее функциональности и стратегии развития. Собственно, говорить о данном продукте, как о чем-то новом не приходится — история Cisco ASA насчитывает свыше 15 лет и более 1 миллиона инсталляций. Virtual ASA — это просто новый форм-фактор хорошо зарекомендовавшего себя на рынке продукта.

Единственное, что можно сказать по поводу данного продукта, — это четко разделить Cisco VSG и Cisco Virtual ASA. Если первый продукт ориентирован на защиту трафика между виртуальными машинами и приложениями, работающими на них, то Virtual ASA предназначен для защиты периметра виртуальной среды и ЦОД, активно использующего виртуализацию. Иными словами, эти два продукта будут дополнять друг друга, а не конкурировать между собой.

Разумеется, управление Virtual ASA будет осуществляться также, как и всеми другими типами межсетевых экранов Cisco — Cisco ASA, Cisco FWSM, Cisco Pix, Cisco IOS Firewall, Cisco ASA Services Module for Catalyst 6500, — при помощи Cisco Security Manager. При этом единое управление позволяет использовать и унифицированную политику разграничения доступа на всем протяжении движения трафика — от самых удаленных уголков корпоративной или ведомственной сети до самого центра виртуализированного центра обработки данных.