安全生产_软件定义数据中心的安全架构与实现概述

软件定义数据中心 的安全架构与实现 臧铁军, 安全产品专家 周涛, 安全产品经理 2 议程 NSX的产品架构 NSX的新一代分布式防火墙 NSX的边界网关服务 以NSX为核心的云安全生态系统 3 议程 NSX的产品架构 NSX的新一代分布式防火墙 NSX的边界网关服务 以NSX为核心的云安全生态系统 4 传统数据中心防火墙体系结构 汇聚层 园区核心网 核心层 访问层 5 虚拟化动态多变 园区核心网 VM VM流量必须流经物理网络 基于IP地址的访问规则 扩展性问题 复杂的防火墙规则表 防火墙 “拥塞点” 6 VMware NSX的目标 基于NSX的网络与安全虚拟化 二层交换 三层路由 防火墙 负载均衡 像管理VM一样 管理网络与安全 硬件 软件 7 VMware NSX 网络与安全功能 任何应用程序 (无需修改) 虚拟网络 VMware NSX 网络与安全平台 任何网络硬件 任何云管理平台 任何虚拟化层 逻辑交换 运行于三层网络之上的二层网 络，与物理网络解耦 逻辑路由 在虚拟网络之间以及虚拟网络 和物理网络之间路由 逻辑防火墙 分布式防火墙，内核集成， 高性能 逻辑负载均衡 利用软件实现的应用负 载均衡 逻辑VPN 通过软件实现站点到站点以 及远程访问VPN服务 NSX API 可与任何云管理平台相集成 的RESTful API 合作伙伴生态系统 8 议程 NSX的产品架构 NSX的新一代分布式防火墙 NSX的边界网关服务 以NSX为核心的云安全生态系统 9 嵌入虚拟化层的防火墙 益处 简化部署 线速转发 (每主机可达15Gbps+) 监控一切流量 容易满足合规性要求 10 分布式虚拟防火墙 VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM 益处 没有拥塞点 扩展性好 控制点接近数据源 11 灵活的灵活的访问访问控制机制控制机制 VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM 益处 IP/VLAN：支持用于物理基础架构的规则 安全组：虚拟机的逻辑组 VM标签：动态虚拟机属性 规则适应VM的变化 12 基于身份的访问控制 活动目录 张三 用户 AD组 应用名字 来源VM名字 目标VM名字 源IP 目的IP Eric Frost Engineering SPDesigner.exe Eric-Win7 Ent-Sharepoint 5 8 IP: 5 源 目的 服务 动作 Engineering Ent-Sharepoint http Permit, Log 规则表 日志 13 部署NSX防火墙 14 Editable Text Here 外部网络 单个逻辑交换机 Vxlan-5004 Web- sv-02a App- sv-02a Db-sv- 02a 客户端逻辑交换机 Vxlan-5000 Client- 01 Client- 02 Web服务逻辑 交换机 Vxlan-5002 App服务逻辑 交换机 Vxlan-5003 DB服务逻辑交 换机Vxlan- 5001 Web- sv-01a App- sv-01a Db-sv- 01a 三层应用的部署方式 15 集中式管理 在vSphere Web Client中提供单一的管理界面 规则中可以使用IP地址或各类丰富的静态/动态容器 VC容器 - Clusters - Datacenters - Portgroups - VXLAN VM容器 - VM names - VM tags - VM attributes 标识 - User identity - Groups IPv6地址 - IPv6 address - IPv6 sets 服务 - Protocol - Ports - Custom IPv6服务 控制点选择 -Clusters - VXLAN - vNICs 16 创建安全组 (静态虚拟机指定) 17 动态安全组成员关系 防火墙规则表 18 多租户环境下的NSX防火墙 外部网络 Tenant 2 Logical Switch 租户1的 逻辑交换机 VM VM VM VM VM VM 路由, VPN, NAT 租户指定的微分段 租户2的 逻辑交换机 19 议程 NSX的产品架构 NSX的新一代分布式防火墙 NSX的边界网关服务 以NSX为核心的云安全生态系统 20 NSX边界网关 VM VM VM VM VM 租户之间以及租户与外界的边界设 备 集成三层到七层的网络服务 virtual appliance 简介 实时的业务部署 支持不同租户或应用的差异化配置 适宜在云环境中使用，灵活、易扩 展 优点 . 防火墙 负载均衡 VPN 三层路由 DNS/DHCP/NAT 21 防火墙与路由功能 L4 防火墙 与VMware其他防火墙产品 一起，形成多层次保护 静态路由/动态路由 OSPF/eBGP/iBGP/IS-IS 产品特性 线速 分布式部署，可扩展性好 产品性能 E-W/N-S流量路由及保护 快速部署应用或服务 使用场景 租租户户A L2 L2 L2 租租户户B L2 L2 L2 External Networks BGP BGP OSPF 22 Internet WAN SSL VPN与IPSec VPN 兼容主流VPN厂商 (Cisco, Juniper, Sonicwall etc.)的产品 客户端可运行在大多数操作系统上 (Win, Apple, Linux) 支持多种形式的远程认证 ( Active Directory, RSA Secure ID, LDAP, Radius) 加密算法 3DES, AES128, AES256 NAT-T 产品特性 支持AES-NI 硬件加速 吞吐量： 每租户 2Gb/s 产品性能 数据中心 远程办公/分支机构 远程管理 使用场景 Internet WAN 23 负载均衡服务 Web 1 Web 3 Web 2 L4负载均衡 (TCP) L7负载均衡 (HTTP, HTTPS) 多实例 (Multiple VIPs, Multiple pools) 流行的负载均衡算法 (Round robin, Session persistence etc.) 后端服务状态监测 自定义规则 SSL Pass through/Termination 透明模式/代理模式 IPv6 产品特性 吞吐量： 10Gb/s 连接建立速度： 50,000 CPS 并发连接数： 1,000,000 产品性能 租户内部应用的负载均衡 使用场景 24 议程 NSX的产品架构 NSX的新一代分布式防火墙 NSX的边界网关服务 以NSX为核心的云安全生态系统 25 挑战：缺乏交互能力的服务导致复杂的流程 WEB服务器 服务 监视事件 识别威胁并报告 开case， 提交NetBIOS ID 接到case通知 试图关联到IP 查询 VLAN标签 判断VM- 子网-标签 是NAT问题吗？ 创建 规则 验证规则 关掉case 开case 为机器打补丁 26 NSX为用户和应用提供良好的可见性 监视 强制 定义 安全架构师 VI 管理/ 云运维 VI 管理/ 云运维 NSX Service Composer NSX活动监视 NSX Service Composer NSX 防火墙 27 NSX Service Composer概览 28 概念将策略应用到负载 安全组 什么是你需要保护的？ 成员 (虚拟机，虚拟网卡) 和相 关对象 (用户标识，安全状态等) 如何保护你的资产？ 服务 (防火墙、防病毒等) 和配置文 件 (代表特定策略的标签) 应用 29 NSX Service Composer-概览 嵌套的安全组：一个安全组中可以包含其它的组。这些嵌套的组可以配置为从父容器继承安全 策略。如“财务部” 可以包含“财务应用” 30 NSX Service Composer-概览 成员：应用程序和负载属于这个容器，如 “Apache-Web-VM”, “Exchange Server-VM” 31 NSX Service Composer-概览 策略：一组指定到容器的服务配置文件，用来定义如何保护这些容器。 如 “PCI Compliance”或“Quarantine Policy 32 NSX Service Composer-概览 配置文件：解决方案注册并部署以后，这些配置文件将指向在安全管理控制台（如防病毒，网 络IPS）中定义的安全策略。防火墙规则是个例外，它可以通过Service Composer直接定义。 目前支持的服务有： 分布式虚拟防火墙 防病毒 文件完整性监视 脆弱性管理 网络IPS (DLP scan)数据安全(DLP) 33 NSX扩展性：合作伙伴集成 NSX控制器 NSX API 合作 伙伴 扩展 网络安全平台 网关服务 应用交付服务 安全服务 + Cloud Mgmt Platforms 34 NSX: 更好的安全性 访问控制 嵌入虚拟化层 基于虚拟机实现控制 可识别用户身份 以虚拟设备方式部署 安全扩展 基于主机的安全性