Le socle de sécurité nouvelle génération Consolider, virtualiser et simplifier les architectures sécurisées sans compromis. Florent Fortuné ffortune@crossbeam.com 21 Mai 2008
Evolution des architectures traditionnelles High High Complexity and Cost Anti-virus URL Filter IDS IPS Content Filter Web/DB Firewall Level of Bus siness Risk VPN DMZ Firewall Router Low Low 1990s Today 2008 Crossbeam Systems 2
Architecture traditionnelle : problématique FW IPS LB LB Internet Proliferation d Appliance LB LB Impacts opérationnels - Déploiement, administration complexe - Ajout de nouveaux services complexe - Dépendance forte du réseau Impacts sur les «Datacenter» - Problème consommation électrique - Problème d espace - Problème de dissipation de chaleur Architectures statiques éloignées de la problématique métier 2008 Crossbeam Systems 3
La Vision Crossbeam: consolider + virtualiser + automatiser Network Processor Modules Commutation ti entre les services, répartition de charge Application Processor Modules Virtualisation des services de sécurité Control Processing Modules Supervision, administration, Automatisation FW IPS L2 LB LB Internet L2 LB LB 2008 Crossbeam Systems 4
Crossbeam - Services de Sécurité Next Generation Firewall Next Generation Content Gateway Virtual Security Services Firewall (FW) Firewall applicatif Détection d intrusion Prévention d intrusion RPV Conseil et assistance à la maitrise œuvre Filtrage d URL Filtrage de contenu Détection de Spyware Anti Malware Analyse Email Anti-Phishing Conseil et assistance à la maitrise œuvre FW Multi-domaine / Virtual. IPS virtualisé Répartition de Charge virtualisée Politique par segment. Conseil et assistance à la maitrise œuvre C-Series X-Series C-Series X-Series X-Series 2008 Crossbeam Systems 5
Les solutions Crossbeam X-Series 0 Gb/s 20 40 X40 20Gb/s X45 20Gb/s X80 40Gb/s Evolutivité hors-norme Performance Disponibilité Intelligent service delivery Virtualisation Automatisation Choix FW, SSL VPN, URL, IPS 4 8 Gb/s C-Series 6
Gammes X-Series: Next Gen Design
X-Series Architecture Modulaire et adaptable Control Processor Module (CPM) Carte de management du Chassis - HA, monitoring, configuration et Network Processor Module (NPM) Interfaces physiques Classification & Séquencement des flux Règle s de filtrage et limitation it ti de débit management out of band 4095 VLANs Aggregation de liens PIM-sparse mode - Ports dédiés pour le management, logging, redondance (VRRP) FIREWALL GROUP IPS GROUP ANTI-VIRUS GROUP DYNAMIC STAN NDBY Application Processor Module (APM) Support des Applications de Sécurité Best fo Breed Echangeable à chaud et bascule sans reconfiguration applicative «warm standby»: pas licence additionnel Fully switched data paths Fond de panier > 100 Gbps Fully switched control paths Aucun SPOF
Virtualisation & dynamisation Augmentation de la capacité de traitement simplifiée Ajout de nouveaux Services de sécurité simplifié FW IPS Augmentation de la capacité réseau simplifiée Automatisation des taches d administrations CPM correspond à un châssis virtuel et consolide l ensemble des services de sécurité
Infrastructure critique: Haute disponibilité
X-Series: Haute disponibilité Fond de panier Redondant Taux de disponibilité 99.9998% 9998% Redondance CPM Redondance NPM Redondance APM Ventilateur Redondant Alimentations Redondante 2008 Crossbeam Systems Inc. 11
Exemple de bénéfice de la consolidation VAPS FW STANDBY IDS FAILED Répartition de charge et reprise d activité Panne d une APM du VAP group IPS NPM redirige le trafic sur l APM restante VAP en Standby démarre avec la même image NPM distribue les flux Panne d une APM du VAP group FW NPM redirige le trafic sur les APM restantes FW préempte IDS, APM démarre en temps que FW NPM distribue des flux sur cette APM 100% L APM en panne est remplacée L APM démarre en temps qu IDS NPM distribue des flux sur cette APM La deuxième APM en panne est remplacée L APM démarre en temps que carte Stand By 0% Charge 2008 Crossbeam Systems Inc. 12
Redondance multi-châssis Lien HA Secondaire Toutes les fonctions du «SBHA»plus VRRP VRRP «étendu» Basé sur le standard VRRP Vérification du «next hop» Contrôle des Applications OSPF Lien HA Primaire Intranet 192.168.1.0/24 VRRP & OSPF = Actif/Actif 13
Gammes X-Series: Architecture dynamique
Evolutivité hors norme & changement Mbps Add Modules to existing Chassis Zero impact on the network topology & operations Change-Ready 4 3 2 1 Additionnal Appliances / Switches / Load Balancer / IP Address Impact on operations & costs Years 15
X-Series: Performances évolutives NGFW IP Forwarding Firewall Throughput 2-40 Gbps 2-40 Gbps (768-byte pkts and larger) Packet Rate (pps) (64-byte pkts) New Flow Rate (TCP) (connections per second) 13.2 Mpps 12.2 Mpps Up to 205,000 Up to 205,000 FIREWALL IDS/IPS ANTI-VIRUS STANDBY Concurrent Sessions (TCP/UDP) Up to 12 million Up to 8 Million Average Latency (64-byte pkts) 50 microsecs 95 microsecs VSS Virtual Services Virtual Firewalls Up to 250 per APM IPS Throughput (small packet) IPS Throughput NGCG Messaging Web content Up to 8.479 Gbps Up to 34.220 Gbps Up to 6 million/hour Up to 2.5Gbps 2008 Crossbeam Systems 16
Exemples types d architectures Consolidation et Virtualisation en action
Segmentation & dynamisation des services Sales & Marketing networks 2008 Crossbeam Systems Inc. 18
Next Generation Firewall Virtualisation de bout en bout 19
Next Generation Content Gateway Exemple de déploiement: 1. Web Security (IWSS) 2.5 Gbps par châssis Protection Navigation Internet et serveur s Web 2. Messaging Security (IMSS) En frontal des serveurs Email 6M messages par heure par châssis. 3. NGCG (Combiné) Protection des serveurs Email / Navigation Internet et serveur s Web Web & Messagerie 4. Firewall & NGCG Ajout du filtrage de contenu sur le firewall existant GATEWAY Web and/or Web Email email servers servers & User User Navigation navigation 20
En Conclusion Virtualisation et simplification sans compromis Virtualisation des services réseau Virtualisation des services de sécurité Evolution des performances et services linéaire et dynamique Consolidation Mono ou multi services Evolution indépendante des services en fonction des besoins Garanties de continuité de service Architecture redondante mono ou multi boitiers Plan de reprise automatisé Performance à la demande Performance jusqu à Multi 10Gbps Temps latence faible
Merci Florent Fortuné Crossbeam Systems France 168 avenue du General de Gaulle 92200 Neuilly Sur Seine web: http://www.crossbeamsystems.com Email: ffortune@crossbeamsys.com Tel: +33 1 70 37 56 98 2008 Crossbeam Systems Inc. 22