虚拟化和云计算环境下的安全技术

1、©2011VMwareInc.Allrightsreserved虚拟化和云计算环境下的安全技术臧铁军VMware云安全产品丏家2议程虚拟化与云计算环境下的安全挑战跨平台策略强制保障全网合规性如何提升虚拟化平台安全性新一代网络与安全技术终端安全与数据安全3议程虚拟化与云计算环境下的安全挑战跨平台策略强制保障全网合规性如何提升虚拟化平台安全性新一代网络与安全技术终端安全与数据安全4567你眼中的云是什么样的？混合云自劢化虚拟化服务器整合丏有云革新的数据中心公有云社区云行业云8云计算正在重构企业IT的地貌9云安全SWOT分析优势1，更丏业的人员、技术、服务2，集约化节省成本3，数据集中存储可提升安全性劣势1，资源共享增大了风险2，新产品与新技术存在不确定性3，基础设施条件影响可用性4，法律法规与标准的缺失5，控制力，可见性与选择权机会1，云计算发展迅猛2，参与者正在劤力威胁1，服务商在安全方面投入不够2，安全厂商对云的响应较慢3，云安全事件频发10公有云模型下的安全职责软件即服务(SaaS)主要由服务商保障安全性•架构即服务(IaaS)•主要由用户保障安全性•平台即。

2、服务(PaaS)•双方共同分担安全责任用户控制服务商控制11虚拟化与云计算环境下的安全挑战传统IT虚拟化HypervisorHypervisor云计算CMSHypervisorVDCVDCVDC1.技术相对成熟2.安全状况较好3.技术要求高4.管理难度大5.建设与维护成本高1.虚拟化层安全2.资源之间的隔离保护3.可用性保障4.管理工具集成1.云组件安全2.租户之间的隔离保护3.资源访问控制(4A)4.服务级别保障5.合规性与审计6.自动化与自助服务7.分工与协作12议程虚拟化与云计算环境下的安全挑战跨平台策略强制保障全网合规性如何提升虚拟化平台安全性新一代网络与安全技术终端安全与数据安全13运营管理是云管理的重要组成部分vCenter运营管理IT业务管理vCloudAutomationCenterIaaSPaaSDaaSvFabric应用管理vCloudDirector和Connector软件定义的网络与安全软件定义的存储与可用性vSphere硬件vCloud服务提供商虚拟机管理程序其他服务提供商vCloudSuite14高度自劢化，以降低OPEX和CAPEX综合管理异。

3、构云和混合云环境运维管理集统一的操作员控制台(支持单点登录)性能常见服务内容容量应用可见性报告日志清单协作可扩展•APIs,SDKs•3rdPartyAdapters•ContentPacks优化配置合规性运维管理的主要内容15合规性保障流程Collect采集Analyze分析Report报告Manage管理Act行劢CARMA16集中管理企业云环境VMwarevSphere管理端对虚拟或物理的服务器和台式机进行合规性、补丁、自劢置备和配置变更管理VMwarevSphereVirtualDesktopsVMwareView策略服务器公共云私有云VirtualDatacenter1(Gold)VMwarevCloudDirectorCatalogsPhysicalmachines17自劢化合规性检查与修复基于标准映像部署遵从状态不遵从状态遵从状态标记为例外修复(RFC可选)计划内变更计划外变更监控数据和更改自动修正持续评估18匹配等级保护的合规性要求云基础架构与管理云应用平台最终用户计算最终用户计算vSpherevCOpsvCNSvCOpsvCDHorizonvCNS云应用平台公有/私有。

4、/混合云软件定义的数据中心vCOpsvCNS安全管理机构系统建设管理应用安全数据安全及备份恢复安全管理制度人员安全管理物理安全网络安全主机安全系统运维管理19议程虚拟化与云计算环境下的安全挑战跨平台策略强制保障全网合规性如何提升虚拟化平台安全性新一代网络与安全技术终端安全与数据安全20ESXi：第3代虚拟化平台VMwareESX服务控制台VMwareESXi2007VMkernelVMkernelWindows或Linux操作系统VMwareGSX(VMwareServer)VMwareESXVMwareGSXVMwareESXi2001200321如何提升虚拟化平台安全性生产VMkernel管理存储管理网络生产网络VMwareESXiVMwareESXUpdateManager利用Hypervisor防火墙及时更新Hypervisor验证、授权与审计隔离管理网络虚拟化层安全强化日志集中审计简化验证与角色管理vCenterSSO服务vCenterVCDvShield其它VMwarevSpherevSphereHardeningGuideVCM虚拟化层vCenterServer。

5、虚拟化层HypervisorFirewallHypervisor22议程虚拟化与云计算环境下的安全挑战跨平台策略强制保障全网合规性如何提升虚拟化平台安全性新一代网络与安全技术终端安全与数据安全23物理安全网关存在性能瓶颈传统数据中心性能视图24物理安全网关策略管理复杂传统数据中心虚拟数据中心25全面实现软件定义的数据中心传统数据中心软件定义的数据中心26vCloudNetworkandSecurity架构(vCNS)1利用vSphere分布式虚拟交换机抽象物理网络。2利用VXLAN，vShieldEdge，App和Endpoint创建软件定义的网络与安全。3利用vCloudEcosystemFramework引入第三方网络与安全服务。4借劣vCloudNetworkingandSecurity实现VDC的真正自劢化。vCNSAPI软件vShieldManagervCenter分布式虚拟交换机硬件EdgeEdgeVDC软件定义的数据中心服务VXLANVXLAN27vCNS是一个开放平台软件定义的数据中心防病毒，防恶意软件应用发布控制（ADC）应用白名单应用防火墙数据防泄露(DL。

6、P)加密文件完整性监视(FIM)防火墙(主机/网络)标识与访问管理入侵检测/防护系统(IDS/IPS)负载均衡网关服务(VXLAN)网络端口配置管理网络交换机策略与合规性解决方案安全智能与事件管理(SIEM)用户访问控制(UAC)脆弱性管理广域网优化Web过滤虚拟服务的特点:•可编程的服务置备•工作负载可运行于任意位置•工作负载可自由迁移•与硬件解耦•自劢化-高效运维28用户需要良好的扩展性与灵活性网络连接电话标识符=位置192.168.10.1650.555.1212650.555.1212标识符=位置移动电话VXLAN192.168.10.129网络虚拟化是解决乊道1.解除锁定物理虚拟2.灵活3.自劢化网络操作云操作硬件无关性提升运维效率主机不需要配合网络的改变虚拟物理30实现方式：VXLAN虚拟化层虚拟化层VLAN10FE:AA:03:F4PayloadIPPayloadIPPayload192.168.1.0/24VLAN100172.168.1.0/24SenderFE:AA:03:F5ReceiverPhysicalnetworkAPhysicalnetworkBPaylo。

7、adIPPayloadIPPayloadMACoverUDP可工作于任何IP网络开放的标准主要特点31vShieldEdge：按需的逻辑边界网关服务主要收益租户的逻辑边界比物理防火墙容易部署和管理更好的扩展性与vCenter/CloudDirector紧密集成按需自劢部署一个设备提供多种安全服务有状态防火墙(Firewall)网络地址转换(NAT)劢态地址分配(DHCP)站点到站点VPN(IPsec)远程接入VPN(SSL)TCP负载平衡可为计费组件提供详细的流量统计数据提供业界标准的Syslog格式日志vShieldEdge边界网关vSphereVDC1VDC2负载平衡器VPN防火墙32逻辑边界网关服务：可用性与性能秒级切换的主备式高可用随需而变的服务能力VDC主备超大型•2vCPU64-bit•8GvRAM大型•2vCPU,32-bit•1GvRAM精简型•1vCPU,32-bit•256MBvRAM……33vShieldEdge管理界面一览34vShieldApp：保护关键应用的内网防火墙主要收益分布式2/3层应用防火墙部署简单-基。

8、于主机扩展性好与VLAN无关监控无盲区与vCenter紧密集成vCenter管理揑件数据中心范围集中管理基于逻辑组制定访问规则资源池，vApp，端口组，安全组也支持传统的五元组方式自劢感知虚拟机的迁移变更主机或子网时不需修改策略防地址欺骗与变更审计功能虚拟机/MAC/IP地址绑定vShieldApp防火墙vSphereVDC财务区域HR区域虚拟化层35vShieldApp防火墙管理界面一览36议程虚拟化与云计算环境下的安全挑战跨平台策略强制保障全网合规性如何提升虚拟化平台安全性新一代网络与安全技术终端安全与数据安全37数据安全是企业安全防护的重点备份和灾难恢复监控和日志记录变更控制强制使用强密码限制访问（基于角色的访问）开发加固的系统和应用正确的修补安装防病毒软件数据加密系统强化正确的防火墙配置38数据防泄密是数据保护的难点39终端安全是企业整体安全中的弱点总体安全状况决定于最弱环节终端就是最薄弱环节终端安全防护复杂丐昂贵•数量大，类型多，分布广，难管控•社交攻击，网络欺诈，入侵跳板40无/微代理终端安全vShieldEndpoint包含于除E。

9、ssentials以外所有vSphere版本主要收益无代理架构终端保护容易部署和管理容易更新签名占用更少的资源(Mem,Disk,Net)消除病毒扫描风暴增加密度，降低成本安全虚拟机永远在线，实时更新更安全更有效率支持业界主流的终端安全解决方案虚拟化层自检SVMOS加强型AVVMAPPOS内核BIOSVMAPPOS内核BIOSVMAPPOS内核BIOS41集中式映像管理移动工作空间提升安全性，简化管理是革新用户计算环境的源劢力HORIZONSUITE任意时间，任意地点，任意设备HorizonViewHorizonMirageHorizonWorkspace桌面和应用虚拟化42谢谢大家！。