云数据中心安全解决方案

云安全是什么？传统安全防护方式Internet防火墙交换机服务器内部业务区交换机服务器DMZ区互联网区以边界为核心的安全防护模型：• 根据信任级别划分安全区域• 服务器部署于不同物理位置• 服务器、网络设备、安全设备之间完全独立• 部署各种安全设备进行防护防火墙核心交换机云计算模糊了物理边界当虚拟机成为主流，物理边界在哪里？核心交换机接入交换机物理服务器虚拟机云架构中安全无标准物理设备物理设备Hypervisor物理设备计算虚拟化存储虚拟化自动化云管理网络虚拟化APPAPPAPPAPPAPPAPP标准云架构计算VMware、KVM、XEN、Docker、Nova……网络VEPA、VN-TAG、OpenFlow、VXLAN、SPB、TRILL、FabricPath、Neutron……存储HDFS、Hbase、Swift、Cinder……安全？澄清一个概念：什么是NFV？服务器VAVAVAVAVAVA服务器VAvRoutervIPSvDPIvLBvWAFVMNFV典型组网一NFV典型组网二NFVvFW服务器VMNFV：NetworkFunctionVirtualization采用服务器以软件方式处理传统独立的网络服务VAVAVAVAVAVANFV更适合公有云平台公有云私有云NFV特长：• 虚拟化能力强• 业务功能丰富• 业务定义灵活NFV不足：• 计算与安全未分离• 纯软件平台，占用计算资源• 性能较低• 管理难度较大云安全··安全云··云管理0100100100100000011000010110110100100000010110100110010101110010011011110110011001101100011000010110011100101110VXLANFabricSpine节点云安全解决方案VXLANSecurityGatewayLeaf节点服务器VM采用VXLAN实现Overlay，解决多租户隔离安全问题云安全VXLAN1000VXLANVLAN100VLANVXLANL3GatewayVXLAN1000VXLANVXLAN2000VXLANVXLAN组网中的Gateway类型VXLANL2GatewayVXLAN二层网关nn 实现VXLAN网络与标准以太网的互通nn 在VXLAN与VLAN之间进行一对一的转换nn 部署形态为TOR交换机VXLAN三层网关nn 实现不同VXLAN之间的互通nn 报文跨VXLAN转发时，VXLAN报文头重新封装，Overlay层报文进行三层转发nn 部署形态包括路由器、融合安全网关L3Gateway工作原理VXLANFabricnn 报文跨VXLAN转发时，L3GW对VXLAN报文头重新封装，Overlay层报文通过进行三层转发L3GatewaySVISVIL3转发L3GatewayVTEPVTEPVXLAN1000VXLAN2000防火墙IPS流控负载均衡Anti-DDoSWAF安全业务板卡独立安全设备，易于部署• 安全与计算分离• 专业的安全能力• 专用硬件，易于部署• 一体化集中式管理云安全··安全云··云管理0100100100100000011000010110110100100000010110100110010101110010011011110110011001101100011000010110011100101110安全云解决方案VXLANSecurityGatewaySpine节点Leaf节点服务器VM通过主机与板卡虚拟化技术，可获得安全功能和性能的扩展安全云虚拟化技术：多虚一将多个物理安全设备/板卡虚拟成为一个虚拟设备，性能、功能按需扩展逻辑设备业务板卡物理设备VSM虚拟化云板卡业务板卡虚拟化安全资源池虚拟化技术：一虚多1个租户、1个VSA（虚拟安全设备）、1个配置界面、N个VNIDVSAVNIDCPU内存吞吐量并发连接数新建连接数路由协议……VSA1100015%20%500M100万10万OSPF……VSA2200025%30%800M150万20万RIP……VSA3300045%40%1G300万30万BGP……典型配置图安全资源池FW资源池IPS资源池DDoS资源池WAF资源池业务流定义DDoSWAF防火墙入侵防御病毒防范DDoSWAF防火墙入侵防御病毒防范流定义实现安全按需调度可按需定义租户数据流通过不同的安全业务–安全资源按需调度高性能安全业务平台DPX19000/DPX8000防火墙SSLVPNNAT入侵防御异常流量清洗/检测负载均衡流控漏洞扫描WEB应用防火墙分布式硬件平台，业界性能最高多虚一虚拟化技术快速提升性能多板卡提供丰富的安全增值服务云安全··安全云··云管理0100100100100000011000010110110100100000010110100110010101110010011011110110011001101100011000010110011100101110云管理云业务自动化云管理云基础设施安全资源网络资源计算、存储资源云租户云租户云租户虚拟化资源池自动编排NetconfWebService云安全，硬实力• 专业高性能安全设备• VXLAN组网能力• 多虚一/一虚多虚拟化• 安全业务流定义• OpenStack云管理能力