1、网络及安全虚拟化解决方案12主题内容主题内容1网络及安全为什么要虚拟化?2网络及安全虚拟化平台主要功能3网络及安全虚拟化方案典型应用场景CLOUDMOBILEDATA CENTER网络及安全为什么要虚拟化?3网络成为通往云计算之路的壁垒网络成为通往云计算之路的壁垒物理网络物理网络VLANs 不可扩展缺少自动化程序化控制单个人工节点管理不宜满足多种业务的SLAs 网络分割限制资源池化与共享网络状态难以统一监控烟囱式扩展方式功能被硬件捆绑工作负载不能灵活部署、均衡资源有限的多租户支持 租户自己无法控制地址管理限制了虚机迁移范围虚拟网络与物理网络协调困难L3-L7 集中式转发性能瓶颈虚拟机网络计费人
2、工操作拖延迁移与灾备恢复时间目前目前网络与安全网络与安全架构向云计算转型时架构向云计算转型时遇到的挑战遇到的挑战vSphereUsersSites后台服务后台服务-VLANs,ACLs,防火墙,IDS/IPS,监控-服务器防病毒,虚拟机安全-网络设备及架构需全部升级来适应虚拟化环境:FabricPath/TRILL,and VM-tracing etc.需要新的成百上千万的投资!-AAA、应用、数据保护、合规-DMZ 防火墙,NAT,DDI-Site and user VPNs-负载均衡器,WAF-专有硬件-桌面防病毒-数据丢失保护,白名单DMZWebHorizon VDI配置太复杂,烟囱式扩
3、展,大量人工操作,集中式处理带来性能瓶颈,网络资源限制!挑战成本效率一、网络割裂 导致资源池利用率及灵活性降低6二、网络架构复杂,维护工作量大7接入层接入层汇聚层汇聚层PGVLANUplink Teaming集群集群1集群集群NESXi ESXi ESXi ESXi vSphere Distributed Switch定义DV Port GroupsDefined based on traffic typeTeaming Resiliency,CapacityVLAN Traffic IsolationNIOC Shares B/W mgmtEnd-End QoS-802.1p 物理网卡功能分
4、区Aggregate multiple pNics监控与排障NetFlow Understand trafficPort Mirroring Troubleshooting物理网络设计802.1Q,STP,Ethernet ChannelBlade I/O Module DesignVLAN load balancing,L3 GW redundancyfast convergenceMulti-Chassis LACP,L2MPQoS,Security,subscription ratio难以保证网络配置的一致性!三、安全域的边界防护难以运维CONFIDENTIAL8在数据中心内部很少或没有
5、东西向安全控制InternetInternet安全控制不足基于IP的安全策略难以运维四四、已有业务变更响应缓慢,容易导致误操作、已有业务变更响应缓慢,容易导致误操作9业务开发人员:我已经调整好一套两层的Web应用系统,要尽快上线网络管理员:我应该如何调整配置网络拓扑?NAT策略?安全管理员:我应该如何调整防火墙安全策略?负载分担策略?InternetWebApp712345689五五、对新业务部署上线支持缓慢、对新业务部署上线支持缓慢ComputeNetworkDC ServicesDBDBAppAppWebWebCorpnet/Internet10服务部署缓慢可扩展性受限移动性受限依赖于硬件
6、运维管理复杂虚拟化和云计算环境,使得数虚拟化和云计算环境,使得数据据中心的业务流量模型发生改变中心的业务流量模型发生改变11L2L3六六、核心链路和节点带宽被大量发夹流量消耗、核心链路和节点带宽被大量发夹流量消耗1270%L2L3计算虚拟抽象层七、难以实现网络及安全的七、难以实现网络及安全的L2-L7L2-L7层自动化层自动化物理基础架构管理平面分散大部分没有开放API接口难以实现端到端的网络自动化虚拟数据中心企业企业建立云计算数据中心该如何应对以上挑战?建立云计算数据中心该如何应对以上挑战?1.网络割裂 导致资源池利用率及灵活性降低2.网络架构复杂,割接工作量大3.安全域的边界防护难以运维4
7、.已有业务变更响应缓慢,容易导致误操作5.对新业务部署上线支持缓慢6.核心链路和节点带宽被大量发夹流量消耗7.难以实现网络及安全的L2-L7层自动化CONFIDENTIAL14网络及安全虚拟化平台主要功能15网络与安全虚拟化平台基于NSX的网络与安全虚拟化像管理VM一样管理网络与安全硬件软件二层交换三层路由防火墙负载均衡IT物理基础架构物理基础架构软件定义的数据中心软件定义的数据中心 计算计算-vSphere网络网络-X存储存储-VSAN可延展性云计算管理平台云计算管理平台vRealize Suite 7云计算业务云计算业务(vRealize Business for Cloud)云计算运营管
8、理云计算运营管理(vRealize Operations 和和 vRealize Log Insight)云计算自动化云计算自动化(vRealize Automation)基础架构虚拟化基础架构虚拟化 计算硬件网络硬件存储硬件(软件定义的数据中心软件定义的数据中心)的重要组成部分的重要组成部分终端用户计算终端用户计算应用应用传统应用传统应用新式云应用新式云应用混合云混合云公有云公有云私有云私有云vCenter OperationsMgmtvCloud Automation Center IaaS PaaS DaaSApplicationDirectorMgmt vCloud Director/
9、ConnectorvCenter Site Recovery ManagervSphereCloud Service ProvidersHyper-visorsCMSX IaaS PaaS DaaS支撑任意的应用(无需修改)虚拟网络虚拟网络 网络虚拟化平台网络虚拟化平台逻辑交换网络任意网络硬件架构云管理平台(vRealize Suite,OpenStack,Cloudstack)逻辑防火墙逻辑负载均衡逻辑路由网络逻辑VPNX86虚拟化层网络网络与安全虚拟化总体架构与安全虚拟化总体架构VLAN1 10.x.x.xVLAN2 172.16.x.xVLAN2 192.168.x.x Virtual
10、Network(NonBoardcast)Virtual Layer 2 88.33.x.x(whatever)X主要主要功能模块详解一:功能模块详解一:Layer2 逻辑交换机逻辑交换机-VxLAN利用VXLAN解决数据中心网络存在的三大问题:v Any application any wherev 大二层架构下存在的:MAC地址表、VLAN和二层Flooding三大问题v 数据复制支持unicast、hybrid和multicast模式,解决目前vxlan没有control plane带来的flooding问题主要主要功能模块详解二:分布式逻辑路由器功能模块详解二:分布式逻辑路由器DLR集
11、中集中部署管理、部署管理、分布式处理分布式处理VMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMX主要主要功能模块详解三:分布式逻辑防火墙功能模块详解三:分布式逻辑防火墙 DFWVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMBenefits安全策略直接部署到 VM网络端口No“Choke Point”,no more hair pin分布式处理,线速过滤,水平扩展基于VM元素的安全策略元素vNIC level 管控,安全与网络无关有效的IP及MAC的准入机制集中管控软件定义的虚拟化网络软件定义的虚拟化网络-分布式防火墙分布式防火墙DFW实现微分段实现微分段 Micr
12、o-Segmentation和和SpoofGuardSpoofGuardX主要主要功能功能模块模块详解详解四四:X Edge:集成化多功能的集成化多功能的虚拟虚拟网网关关 .防火墙负载均衡VPN路由网关/NATDHCP/DNS 中继DDIVMVMVMVMVM 高度集成化的L3-L7层网络服务 虚拟机形式,部署快速灵活,支持高可用与水平扩展概述 适合用于企业网络边界多用途网关服务 实时部署服务响应实例 支持API动态部署网络服务 可以依据应用的不同需求定制相应的网络服务 可以充分利用X86服务器的计算能力 好处虚拟环境VxLAN物理环境 VLAN典型的典型的部署案例部署案例:快速部署网络与安全服
13、务快速部署网络与安全服务EdgeEdge作为南北向网关是作为南北向网关是X X关键关键组成组成部分部分VMManagement VLANL2 VPNBGPExternalNetworksX EdgeX网络及安全虚拟化方案典型应用场景26主要使用情境及其提供给客户及其提供给客户的核心价值27Multi-tenant InfrastructureDeveloper CloudDMZ AnywhereSecure End UserMetro PoolingHybrid Cloud Networking快速部署完整信息系统,由数周到数分钟以低廉的成本取得最完善的数据中心东西向防护藉由简化的逻辑网络大幅
14、减少RTO(Recovery Time Objective)核心价值其他相关情境IT Automating ITMicro-segmentationDisaster Recovery安全:虚拟环境的完善保护自动化:IT支持快速部署业务业务持续性:任意地点的数据中心主要情境情境最近发生的攻击事件:28绝大多数攻击都有一个通性:攻击包可以在数据中心内部任意通行,而由于投资成本太高而且运维管理十分复杂,以至于数据中心 Micro-segmentation 难以实现,而X有效的解决了这个问题主要使用情境:安全微分段:安全微分段(Micro Segmentation)(Micro Segmentatio
15、n)主要主要功能功能分区隔离隔离高级服务相关安全组间依据安全策略通信可以集成第三方的可以集成第三方的L4 L7层安全层安全解决解决方案方案不相关网络完全隔离不相关网络完全隔离29公共通信网公共通信网E A3e l l sVDISiSiSiSiSiSiSEC公共服务区公共服务区SEC市级机关市级机关市级机关市级机关省级机关省级机关VDI部部门门内内部部应应用用部部门门对对外外应应用用部部门门内内部部应应用用安全管理监控区安全管理监控区安全管理监控区安全管理监控区公共服务区公共服务区E-mailwwwApp.入侵检测入侵检测入侵检测入侵检测InternetInternet资资源源池池与与微微分分段
16、段方方案案微分段微分段微分段微分段微分段31实现实现虚拟化虚拟化数据中心内部数据中心内部不同应用的不同应用的安全安全防护防护 WebDBDBMarketing GroupServicesMgmtServices/Management Group/WebAppDBHR GroupApplication segmentation按部门、区域划分隔离按应用边界划分按应用层划分支持安全组内部成员之间的逻辑隔离以虚机为单位隔离按需部署逻辑隔离支持现有网络与应用灵活方便的安全对象管理安全管控与应用一致性部署好处控制一个网络中的流量控制一个网络中各组之间的流量基于逻辑分组而不是物理拓扑保护流量安全灵活地创建
17、网段 甚至在同一虚拟局域网上的不同系统之间(这在传统网络中极难做到)桌面虚拟化给您的数据中心带来更大的受攻击面桌面虚拟化给您的数据中心带来更大的受攻击面用户行为零日威胁不安全的 Internet 网站桌面到桌面的黑客攻击桌面到服务器的黑客攻击向东 向西虚拟桌面数据中心SAP、Oracle、Exchange 等企业级存储其他用户WWWVDI 无法解决的问题:无法解决的问题:桌面虚拟化带来了新的安全注意事项:桌面虚拟化带来了新的安全注意事项:暴露了数据中心内的巨大攻击面用户和基础架构间具有多个“东西向”流保密资料32微分微分段功能加强了段功能加强了Horizon VDI基础架构安全,为虚拟桌面和应
18、用保驾基础架构安全,为虚拟桌面和应用保驾护航护航通过 X 网络虚拟化可以灵活创建网络资源池和逻辑隔离区,支持动态伸缩管理。微分段保护虚拟桌面和应用:桌面虚机间访问控制桌面到后台应用访问控制桌面防病毒X 的Edge服务网关也可以用于支持VDI的基础架构:Edge Firewall&LB。内部开发人员桌面池外部开发人员桌面池Internal Developer NetworkExternal Developer NetworkHorizon InfraCONFIDENTIAL33保护保护 VDI 环境中的东西向流量环境中的东西向流量侧重于合规性和风险缓解的组织将实施安全区以保护数据中心内的东西向流
19、量安全区以保护数据中心内的东西向流量难以实施难以实施需要大量的物理基础架构需要大量的物理基础架构管理复杂管理复杂集中式虚拟集中式虚拟桌面桌面共享服务共享服务DMZ数据库区数据库区远程工作远程工作员工区员工区工程区工程区开发区开发区财务区财务区公司区公司区PCI 区区管理区管理区保密资料34提升提升虚拟桌面的网络安全虚拟桌面的网络安全虚拟桌面部署面临的挑战虚拟桌面部署面临的挑战X 安全解决方案安全解决方案虚拟桌面之间的流量缺乏防火墙安全防护基于VM颗粒度的高效防火墙,不但保证桌面到桌面河桌面到服务器的流量安全每个虚拟桌面用户组需要有自己的安全策略,还包括自己的网络分区(如VLAN/VxLAN,I
20、P子网等)基于用户组的防火墙安全策略,而不是安全策略和和网络拓扑紧耦。可以根据用户类型(如:Engineering,HR,Finance、外包合作伙伴等)或数据类型(如:信用卡、工资等)定义灵活的防火墙安全策略虚拟桌面的session比服务器负载更为动态,静态的安全策略无法需求大大简化用户和虚拟桌面资源池网络安全策略的自动化部署缺乏增强性安全防护手段,如:防病毒、防恶意软件、IPS、NGFW等和第三方防病毒、防恶意软件、IPS、NGFW集成,按需自动部署.控制和保护虚拟桌面到虚拟桌面、虚拟桌面到服务器的流量安全 为每个桌面构建“一体式网络一体式网络”消除网络间的串扰串扰最小的受攻击面最小的受攻
21、击面 防范威胁扩散集中定义策略集中定义策略,并在虚拟机创建时即自动添加到其中永久跟随桌面永久跟随桌面,无论它位于何处应对应对VDI环境的东西向挑战环境的东西向挑战保密资料36虚拟网络连接:快速、简单、可延展虚拟网络连接:快速、简单、可延展保密资料37Jennifer(财务)文件文件人力资源人力资源财务财务电子邮件电子邮件SharePoint网络网络Bob(人力资源)人力资源人力资源财务财务X:VxLANX:VxLANEOR PODTOR POD服务器机房三层交换核心EOR PODTOR POD服务器机房X ControllerX ManagervCenter Serverv分布式虚拟防火墙功能
22、,实现虚拟机环境的精细化安全管理,同时实现虚拟机vmotion时,安全策略随动,不需要任何变更v支持基于特点应用或虚机的span和rspan功能实现流量的实时监控满足行业监管的要求v借助VxLAN技术实现跨机房和三层网络随意vMotion轻松轻松实实现在单个虚拟机和应用级别的现在单个虚拟机和应用级别的精细化安全管理和监控精细化安全管理和监控基于基于智能分组的安全策略智能分组的安全策略按自定义标准定义的组操作系统计算机名称应用层服务 安全状况法规要求可以可以编程的安全组和安全策略定义编程的安全组和安全策略定义支持可编程部署网络与安全拓扑满足应用需求安全策略安全策略安全组安全组逻辑交换、路由、防火
23、墙、负载均衡逻辑交换、路由、防火墙、负载均衡Web应用应用数据库数据库Web“Web”防火墙 入方向仅允许 HTTP/S,出方向允许任意流量 IPS 入侵监测数据库“数据库数据库”防火墙 入方向允许SQL,出方向允许 漏洞管理 每周扫描应用“应用应用”防火墙 入方向允许 TCP 8443,出方向运行 SQLVMVMVMVMVMVM“缺省缺省”防火墙 共享服务访问(DNS,AD)防病毒 每天扫描缺省40情形操作系统在若干系统上已不再受支持这些系统需要用策略将访问仅限制到电子邮件服务器不受支持的操作系统组示例:对不受支持的操作系统的智能分组示例:对不受支持的操作系统的智能分组41示例:软件定义的数
24、据中心的自动化安全防护示例:软件定义的数据中心的自动化安全防护 隔离有漏洞的系统,直至将其修复安全组安全组=隔离区域隔离区域成员成员=标签标签=ANTI_VIRUS.VirusFound,L2 隔离网络隔离网络 安全组安全组=Web 层层策略定义策略定义标准桌面虚拟机策略标准桌面虚拟机策略 防病毒-扫描隔离的虚拟机策略隔离的虚拟机策略 防火墙-阻止除安全工具之外的所有工具 防病毒-扫描并修复示例示例:高级:高级安全安全(IDS/IPS)服务插入服务插入 比如比如Palo Alto Networks NGFWInternet安全策略安全管理员安全管理员流量转向助力助力云计算自动化和自助式云计算自
25、动化和自助式 IT 多机蓝本多机蓝本云计算使用者云计算使用者云计算管理员云计算管理员SLA成本配置文件成本配置文件安全性安全性网络连接网络连接服务目录服务目录服务服务请求请求网络配置文件网络配置文件安全组安全组安全策略安全策略网络管理员网络管理员负载均衡器负载均衡器管理员管理员标准化模板标准化模板逻辑负载均衡器逻辑负载均衡器安全管理员安全管理员可用性可用性安全性安全性连接连接安全标记安全标记外部网络外部网络保密资料44动态配置和部署模板化应用程序(X 和 vRealize Automation)逻辑交换机逻辑交换机逻辑路由器逻辑路由器X逻辑防火墙逻辑防火墙逻辑负载均衡器逻辑负载均衡器与与vRe
26、alize Automation云计算自动化平台结合,实现包含网络和安云计算自动化平台结合,实现包含网络和安全策略的按需应用全策略的按需应用交付交付按需应用交付按需应用交付vRealize Automation资源预留资源预留多节点主机蓝图多节点主机蓝图服务目录服务目录Cloud Management Platform网络配置文件网络配置文件安全策略安全策略安全组安全组Web应用应用数据库数据库VMVMVMVMVMVM保密资料45构建构建的云计算平台,在的云计算平台,在满足业务敏捷性的同时满足业务敏捷性的同时完全完全实现安全可控实现安全可控系统管理员系统管理员安全管理员安全管理员应用上线需要按
27、需即时部署计算、存储与网络用户用户快速部署高性能的网络保障应用安全46提供合适的VM与存储网络管理员网络管理员 与与 vRealize Automation实现自动化部署网络安全实现自动化部署网络安全微分段微分段47WebAppDatabase私有私有没有外部连接没有外部连接VMVMVMVMVMVM安全隔离安全隔离区域间访问控制区域间通信增值服务分段分段高级服务高级服务区域间通信隔离实现实现多站点网络连接和安全(跨多站点网络连接和安全(跨 vCenter)48vCenter AvCenter B 150 毫秒毫秒本地存储本地存储通用分布式逻辑路由器通用分布式逻辑路由器应用 WebDB应用 We
28、bDB安全、高可用、分布式、虚拟化的资源池站点 A站点 B利用构建双活数据中心利用构建双活数据中心Active/Active StoragevSphere Metro Storage Cluster Datastore 1Datastore 1vCenterServerL3 NetworkSite ASite BVM1VM2VM3Logical Switch A172.16.10.0/24VM4VM5Logical Switch B172.16.20.0/24Distributed Logical RouterSite A X Edge GWUplink Net ASite B X Edge GWUplink Net BvCenterServer谢谢!谢谢!50
侵权处理QQ:3464097650--上传资料QQ:3464097650
【声明】本站为“文档C2C交易模式”,即用户上传的文档直接卖给(下载)用户,本站只是网络空间服务平台,本站所有原创文档下载所得归上传人所有,如您发现上传作品侵犯了您的版权,请立刻联系我们并提供证据,我们将在3个工作日内予以改正。