您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 质量控制/管理 > 115软件定义数据中心的安全架构与实现
软件定义数据中心的安全架构与实现臧铁军,安全产品专家周涛,安全产品经理2议程NSX的产品架构NSX的新一代分布式防火墙NSX的边界网关服务以NSX为核心的云安全生态系统3议程NSX的产品架构NSX的新一代分布式防火墙NSX的边界网关服务以NSX为核心的云安全生态系统4传统数据中心防火墙体系结构汇聚层园区核心网核心层访问层5虚拟化——动态多变园区核心网VM–VM流量必须流经物理网络基于IP地址的访问规则扩展性问题复杂的防火墙规则表防火墙–“拥塞点”6VMwareNSX的目标基于NSX的网络与安全虚拟化二层交换三层路由防火墙负载均衡像管理VM一样管理网络与安全硬件软件7VMwareNSX–网络与安全功能任何应用程序(无需修改)虚拟网络VMwareNSX网络与安全平台任何网络硬件任何云管理平台任何虚拟化层逻辑交换–运行于三层网络之上的二层网络,与物理网络解耦逻辑路由–在虚拟网络之间以及虚拟网络和物理网络之间路由逻辑防火墙–分布式防火墙,内核集成,高性能逻辑负载均衡–利用软件实现的应用负载均衡逻辑VPN–通过软件实现站点到站点以及远程访问VPN服务NSXAPI–可与任何云管理平台相集成的RESTfulAPI合作伙伴生态系统8议程NSX的产品架构NSX的新一代分布式防火墙NSX的边界网关服务以NSX为核心的云安全生态系统9嵌入虚拟化层的防火墙益处…•简化部署•线速转发(每主机可达15Gbps+)•监控一切流量•容易满足合规性要求10分布式虚拟防火墙VMVMVMVMVMVMVMVMVMVMVMVMVMVMVM益处…•没有拥塞点•扩展性好•控制点接近数据源11灵活的访问控制机制VMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVM益处…•IP/VLAN:支持用于物理基础架构的规则•安全组:虚拟机的逻辑组•VM标签:动态虚拟机属性•规则适应VM的变化12基于身份的访问控制活动目录张三用户AD组应用名字来源VM名字目标VM名字源IP目的IPEricFrostEngineeringSPDesigner.exeEric-Win7Ent-Sharepoint192.168.10.75192.168.10.78IP:192.168.10.75源目的服务动作EngineeringEnt-SharepointhttpPermit,Log规则表日志13部署NSX防火墙14EditableTextHere外部网络单个逻辑交换机Vxlan-5004Web-sv-02aApp-sv-02aDb-sv-02a客户端逻辑交换机Vxlan-5000Client-01Client-02Web服务逻辑交换机Vxlan-5002App服务逻辑交换机Vxlan-5003DB服务逻辑交换机Vxlan-5001Web-sv-01aApp-sv-01aDb-sv-01a三层应用的部署方式15集中式管理•在vSphereWebClient中提供单一的管理界面•规则中可以使用IP地址或各类丰富的静态/动态容器VC容器-Clusters-Datacenters-Portgroups-VXLANVM容器-VMnames-VMtags-VMattributes标识-Useridentity-GroupsIPv6地址-IPv6address-IPv6sets服务-Protocol-Ports-CustomIPv6服务控制点选择-Clusters-VXLAN-vNICs16创建安全组(静态虚拟机指定)17动态安全组成员关系防火墙规则表18多租户环境下的NSX防火墙外部网络Tenant2LogicalSwitch租户1的逻辑交换机VMVMVMVMVMVM路由,VPN,NAT租户指定的微分段租户2的逻辑交换机19议程NSX的产品架构NSX的新一代分布式防火墙NSX的边界网关服务以NSX为核心的云安全生态系统20NSX边界网关VMVMVMVMVM•租户之间以及租户与外界的边界设备•集成三层到七层的网络服务•virtualappliance简介•实时的业务部署•支持不同租户或应用的差异化配置•适宜在云环境中使用,灵活、易扩展优点….防火墙负载均衡VPN三层路由DNS/DHCP/NAT21防火墙与路由功能•L4防火墙•与VMware其他防火墙产品一起,形成多层次保护•静态路由/动态路由•OSPF/eBGP/iBGP/IS-IS产品特性•线速•分布式部署,可扩展性好产品性能•E-W/N-S流量路由及保护•快速部署应用或服务使用场景租户AL2L2L2租户BL2L2L2ExternalNetworksBGPBGPOSPF22InternetWANSSLVPN与IPSecVPN•兼容主流VPN厂商(Cisco,Juniper,Sonicwalletc.)的产品•客户端可运行在大多数操作系统上(Win,Apple,Linux)•支持多种形式的远程认证(ActiveDirectory,RSASecureID,LDAP,Radius)•加密算法–3DES,AES128,AES256•NAT-T产品特性•支持AES-NI硬件加速•吞吐量:每租户2Gb/s产品性能•数据中心•远程办公/分支机构•远程管理使用场景InternetWAN23负载均衡服务Web1Web3Web2•L4负载均衡(TCP)•L7负载均衡(HTTP,HTTPS)•多实例(MultipleVIPs,Multiplepools)•流行的负载均衡算法(Roundrobin,Sessionpersistenceetc.)•后端服务状态监测•自定义规则•SSLPassthrough/Termination•透明模式/代理模式•IPv6产品特性•吞吐量:10Gb/s•连接建立速度:50,000CPS•并发连接数:1,000,000产品性能•租户内部应用的负载均衡使用场景24议程NSX的产品架构NSX的新一代分布式防火墙NSX的边界网关服务以NSX为核心的云安全生态系统25挑战:缺乏交互能力的服务导致复杂的流程WEB服务器服务监视事件识别威胁并报告开case,提交NetBIOSID接到case通知试图关联到IP查询VLAN标签判断VM-子网-标签是NAT问题吗?创建规则验证规则关掉case开case为机器打补丁26NSX为用户和应用提供良好的可见性监视强制定义安全架构师VI管理/云运维VI管理/云运维NSXServiceComposerNSX活动监视NSXServiceComposerNSX防火墙27NSXServiceComposer概览28概念——将策略应用到负载安全组什么是你需要保护的?成员(虚拟机,虚拟网卡)和相关对象(用户标识,安全状态等)如何保护你的资产?服务(防火墙、防病毒等)和配置文件(代表特定策略的标签)应用29NSXServiceComposer-概览嵌套的安全组:一个安全组中可以包含其它的组。这些嵌套的组可以配置为从父容器继承安全策略。如“财务部”可以包含“财务应用”30NSXServiceComposer-概览成员:应用程序和负载属于这个容器,如“Apache-Web-VM”,“ExchangeServer-VM”31NSXServiceComposer-概览策略:一组指定到容器的服务配置文件,用来定义如何保护这些容器。如“PCICompliance”或“QuarantinePolicy’32NSXServiceComposer-概览配置文件:解决方案注册并部署以后,这些配置文件将指向在安全管理控制台(如防病毒,网络IPS)中定义的安全策略。防火墙规则是个例外,它可以通过ServiceComposer直接定义。目前支持的服务有:•分布式虚拟防火墙防病毒文件完整性监视•脆弱性管理网络IPS(DLPscan)数据安全(DLP)33NSX扩展性:合作伙伴集成NSX控制器NSXAPI合作伙伴扩展网络安全平台网关服务应用交付服务安全服务+CloudMgmtPlatforms34NSX:更好的安全性访问控制嵌入虚拟化层基于虚拟机实现控制可识别用户身份以虚拟设备方式部署安全扩展基于主机的安全性(防病毒,防泄密,脆弱性管理)网络安全性(入侵防护,下一代防火墙)灵活性RESTAPI自动化在线迁移35NSX:更好的性能与扩展性性能每台主机可以达到15+Gbps每秒200K连接微秒级延时扩展性与主机同步扩展不需要扩容升级整合比逻辑分区+更好的性能与扩展性=更好的整合比感谢参会!臧铁军,tzang@vmware.com周涛,tzhou@vmware.com
本文标题:115软件定义数据中心的安全架构与实现
链接地址:https://www.777doc.com/doc-1245626 .html