VMWare-NSX网络及安全虚拟化解决方案PPT课件

VMwareNSX：网络及安全虚拟化解决方案,1,2,主题内容,网络及安全为什么要虚拟化？,3,网络成为通往云计算之路的壁垒,物理网络,VLANs不可扩展,缺少自动化程序化控制,单个人工节点管理,不宜满足多种业务的SLAs,网络分割限制资源池化与共享,网络状态难以统一监控,烟囱式扩展方式,功能被硬件捆绑,工作负载不能灵活部署、均衡资源,有限的多租户支持,租户自己无法控制地址管理,限制了虚机迁移范围,虚拟网络与物理网络协调困难,L3-L7集中式转发性能瓶颈,虚拟机网络计费,人工操作拖延迁移与灾备恢复时间,目前网络与安全架构向云计算转型时遇到的挑战,vSphere,VLANs,ACLs,防火墙,IDS/IPS,监控服务器防病毒,虚拟机安全网络设备及架构需全部升级来适应虚拟化环境:FabricPath/TRILL,andVM-tracingetc.需要新的成百上千万的投资!AAA、应用、数据保护、合规,DMZ防火墙,NAT,DDISiteanduserVPNs负载均衡器,WAF专有硬件,桌面防病毒数据丢失保护,白名单,配置太复杂,烟囱式扩展,大量人工操作,集中式处理带来性能瓶颈,网络资源限制!,挑战,效率,一、网络割裂导致资源池利用率及灵活性降低,6,二、网络架构复杂，维护工作量大,7,定义DVPortGroupsDefinedbasedontraffictypeTeamingResiliency,CapacityVLANTrafficIsolationNIOCSharesB/WmgmtEnd-EndQoS-802.1p物理网卡功能分区AggregatemultiplepNics监控与排障NetFlowUnderstandtrafficPortMirroringTroubleshooting物理网络设计802.1Q,STP,EthernetChannelBladeI/OModuleDesignVLANloadbalancing,L3GWredundancyfastconvergenceMulti-ChassisLACP,L2MPQoS,Security，subscriptionratio,难以保证网络配置的一致性！,三、安全域的边界防护难以运维,-,8,DataCenterPerimeter,DataCenterPerimeter,在数据中心内部很少或没有东西向安全控制,Internet,Internet,安全控制不足,基于IP的安全策略难以运维,四、已有业务变更响应缓慢，容易导致误操作,9,业务开发人员:我已经调整好一套两层的Web应用系统，要尽快上线网络管理员:我应该如何调整配置网络拓扑?NAT策略？安全管理员：我应该如何调整防火墙安全策略？负载分担策略？,Internet,Web,App,五、对新业务部署上线支持缓慢,10,服务部署缓慢可扩展性受限移动性受限依赖于硬件运维管理复杂,虚拟化和云计算环境，使得数据中心的业务流量模型发生改变,11,六、核心链路和节点带宽被大量发夹流量消耗,12,70%,计算虚拟抽象层,七、难以实现网络及安全的L2-L7层自动化,物理基础架构,管理平面分散大部分没有开放API接口难以实现端到端的网络自动化,虚拟数据中心,企业建立云计算数据中心该如何应对以上挑战？,网络割裂导致资源池利用率及灵活性降低网络架构复杂，割接工作量大安全域的边界防护难以运维已有业务变更响应缓慢，容易导致误操作对新业务部署上线支持缓慢核心链路和节点带宽被大量发夹流量消耗难以实现网络及安全的L2-L7层自动化,-,14,NSX网络及安全虚拟化平台主要功能,15,VMwareNSX网络与安全虚拟化平台,基于NSX的网络与安全虚拟化,像管理VM一样管理网络与安全,硬件,软件,二层交换,IT物理基础架构,软件定义的数据中心,计算-vSphere,网络-NSX,存储-VSAN,云计算管理平台vRealizeSuite7,云计算业务(vRealizeBusinessforCloud),云计算运营管理(vRealizeOperations和vRealizeLogInsight),云计算自动化(vRealizeAutomation),基础架构虚拟化,计算硬件,网络硬件,存储硬件,NSX是VMwareSDDC(软件定义的数据中心)的重要组成部分,终端用户计算,应用,传统应用,新式云应用,vCloudAutomationCenterIaaSPaaSDaaS,Hyper-visors,CMS,IaaSPaaSDaaS,NSX网络与安全虚拟化总体架构,NSX支持广阔的网络虚拟化生态系统,NSXAPI,合作伙伴扩展,CloudMgmtPlatforms,S6000Gateway,VLAN110.x.x.x,VLAN2172.16.x.x,VLAN2192.168.x.x,VirtualNetwork（NonBoardcast）,VirtualLayer288.33.x.x(whatever),NSX主要功能模块详解一：Layer2逻辑交换机-VxLAN,利用VXLAN解决数据中心网络存在的三大问题：Anyapplicationanywhere大二层架构下存在的：MAC地址表、VLAN和二层Flooding三大问题数据复制支持unicast、hybrid和multicast模式，解决目前vxlan没有controlplane带来的flooding问题,NSX主要功能模块详解二：分布式逻辑路由器DLR,集中部署管理、分布式处理,VM,VM,VM,VM,VM,VM,VM,VM,VM,VM,VM,VM,VM,VM,VM,VM,NSX主要功能模块详解三：分布式逻辑防火墙DFW,VM,VM,VM,VM,VM,VM,VM,VM,VM,VM,VM,VM,VM,VM,VM,软件定义的虚拟化网络-分布式防火墙DFW实现微分段Micro-Segmentation和SpoofGuard,NSX主要功能模块详解四：NSXEdge：集成化多功能的虚拟网关,VM,VM,VM,VM,VM,虚拟环境VxLAN,物理环境VLAN,NSX典型的部署案例:快速部署网络与安全服务Edge作为南北向网关是NSX关键组成部分,NSX主要功能模块详解五：可视化流量监控分析FlowMonitoring,Bydefault,flowmonitoringisdisabledToenableflowmonitoring,clicktheEnablebuttonFlowsthatshouldntbecollectedcanbeaddedtotheexclusionlistsintheExclusionSettingsoftheConfigurationtab,27|35,NSX和VMwarevRealizeOperations集成实现网络虚拟化的全面可视化管理,NSX网络及安全虚拟化方案典型应用场景,29,NSX的主要使用情境及其提供给客户的核心价值,30,Multi-tenantInfrastructure,DeveloperCloud,DMZAnywhere,SecureEndUser,MetroPooling,HybridCloudNetworking,快速部署完整信息系统，由数周到数分钟,以低廉的成本取得最完善的数据中心东西向防护,藉由简化的逻辑网络大幅减少RTO(RecoveryTimeObjective),核心价值,其他相关情境,最近发生的攻击事件：,31,绝大多数攻击都有一个通性:攻击包可以在数据中心内部任意通行，而由于投资成本太高而且运维管理十分复杂，以至于数据中心Micro-segmentation难以实现，而NSX有效的解决了这个问题,NSX的主要使用情境：安全微分段(MicroSegmentation),NSXMicro-segmentation的主要功能,分区,隔离,高级服务,Production,Test,DevNetwork,相关安全组间依据安全策略通信,可以集成第三方的L4L7层安全解决方案,不相关网络完全隔离,DB,App,Web,DB,App,Web,32,公共通信网,E,A,3,e,l,l,s,VDI,SEC,公共服务区,SEC,市级机关,市级机关,省级机关,VDI,部门内部应用,部门对外应用,部门内部应用,安全管理监控区,安全管理监控区,公共服务区,E-mailwwwApp.,入侵检测,入侵检测,Internet,Internet,资源池与微分段方案,34,Micro-segmentation:实现虚拟化数据中心内部不同应用的安全防护,Applicationsegmentation,按部门、区域划分隔离按应用边界划分按应用层划分支持安全组内部成员之间的逻辑隔离以虚机为单位隔离,按需部署逻辑隔离,支持现有网络与应用灵活方便的安全对象管理安全管控与应用一致性部署,好处,控制一个网络中各组之间的流量基于逻辑分组而不是物理拓扑保护流量安全灵活地创建网段甚至在同一虚拟局域网上的不同系统之间（这在传统网络中极难做到）,桌面虚拟化给您的数据中心带来更大的受攻击面,用户行为,零日威胁,不安全的Internet网站,桌面到桌面的黑客攻击,桌面到服务器的黑客攻击,向东向西,虚拟桌面,数据中心,VDI无法解决的问题：,桌面虚拟化带来了新的安全注意事项：暴露了数据中心内的巨大攻击面用户和基础架构间具有多个“东西向”流,-,35,NSX微分段功能加强了HorizonVDI基础架构安全，为虚拟桌面和应用保驾护航,通过NSX网络虚拟化可以灵活创建网络资源池和逻辑隔离区，支持动态伸缩管理。,微分段保护虚拟桌面和应用：桌面虚机间访问控制桌面到后台应用访问控制桌面防病毒,NSX的Edge服务网关也可以用于支持VDI的基础架构:EdgeFirewall&LB。,外部开发人员桌面池,InternalDeveloperNetwork,ExternalDeveloperNetwork,HorizonInfra,-,36,使用NSX保护VDI环境中的东西向流量,侧重于合规性和风险缓解的组织将实施安全区以保护数据中心内的东西向流量,难以实施需要大量的物理基础架构管理复杂,集中式虚拟桌面,-,37,利用NSX提升虚拟桌面的网络安全,为每个桌面构建“一体式网络”消除网络间的串扰最小的受攻击面防范威胁扩散集中定义策略，并在虚拟机创建时即自动添加到其中永久跟随桌面，无论它位于何处,NSX微分段：应对VDI环境的东西向挑战,-,39,虚拟网络连接：快速、简单、可延展,-,40,网络,NSX:VxLAN,EORPOD,TORPOD,服务器机房,三层交换核心,EORPOD,TORPOD,服务器机房,NSXController,利用NSX分布式虚拟防火墙功能，实现虚拟机环境的精细化安全管理，同时实现虚拟机vmotion时，安全策略随动，不需要任何变更支持基于特点应用或虚机的span和rspan功能实现流量的实时监控满足行业监管的要求借助VxLAN技术实现跨机房和三层网络随意vMotion,利用NSX轻松实现在单个虚拟机和应用级别的精细化安全管理和监控,NSX提供基于智能分组的安全策略,按自定义标准定义的组,NSX提供可以编程的安全组和安全策略定义,支持可编程部署网络与安全拓扑满足应用需求,安全策略,安全组,逻辑交换、路由、防火墙、负载均衡,Web,应用,数据库,VM,VM,VM,VM,VM,VM,43,情形操作系统在若干系统上已不再受支持这些系统需要用策略将访问仅限制到电子邮件服务器,示例：对不受支持的操作系统的智能分组,44,示例：软件定义的数据中心的自动化安全防护隔离有漏洞的系统，直至将其修复,软件定义的数据中心,安全组=隔离区域成员=标签=ANTI_VIRUS.VirusFound,L2隔离网络,安全组=Web层,ServiceComposer,云计算管理,虚拟网络,策略定义,NSX控制器,示例：NSX高级安全(IDS/IPS)服务插入比如PaloAltoNetworksNGFW,Internet,虚拟化管理程序,物理主机,VM,VM,虚拟交换机,虚拟化管理程序,物理主机,虚拟交换机,VM,VM,安全策略,安全管理员,流量转向,NSX助力云计算自动化和自助式IT,多机蓝本,云计算使用者,云计算管理员,SLA,成本配置文件,安全性,网络连接,服务目录,服务请求,网络配置文件,安全组,安全策略,网络管理员,负载均衡器管理员,标准化模板,逻辑负载均衡器,安全管理员,可用性,安全性,连接,安全标记,外部网络,-,47,动态配置和部署模板化应用程序（NSX和vRealizeAutomation）,NSX与vRealizeAutomation云计算自动化平台结合，实现包含网络和安全策略的按需应用交付,-,48,使用NSX构建的云计算平台，在满足业务敏捷性的同时完全实现安全可控,应用上线需要按需即时部署计算、存储与网络,快速部署高性能的网络,应用,基础架构,保障应用安全,49,提供合适的VM与存储,NSX与vRealizeAutomation实现自动化部署网络安全微分段,50,通过NSX实现多站点网络连接和安全（跨vCenter）,51,vCenterA,vCenterB,150毫秒,本地存储,本地存储,应用,Web,DB,应用,Web,DB,安全、高可用、分布式、虚拟化的资源池,站点A,站点B,利用VMwareNSX构建双活数据中心,Active/ActiveStoragevSphereMetroStorageCluster,D