数据中心云化网络安全分析

1、数据中心云化网络安全分析 Public PrivateHybridCommunity Where? Deployment Models Virtual Private What? Essential Characteristics (NIST) Measured Services Rapid Elasticity Resource Pooling Self Service Broad Access How? Service Models VM VMOS FRAMEWORK APPLICATION IaaS PaaS SaaS 什么是云中心？ 单服务器单应用 静态 手工配置 单服务器多应用 移动

2、 动态配置 单服务器多租户 弹性 自动扩展 HYPERVISOR VDC-1VDC-2 CONSISTENCY(一致性): 策略, 功能，安全，管理 物理 WORKLOAD 虚拟化 WORKLOAD 云化 WORKLOAD Nexus 1000V, VM-FEX VSG*, ASA 1000V* UCS for Virtualized Workloads Nexus 7K/5K/3K/2K ASA 5585, ASA SM UCS for Bare Metal * Virtual only, * Announced Switching Security Compute 数据中心变迁历程：从物理

3、传统的数据中心到云数据中心 逻辑隔离Logical separation 策略一致性Policy CONSISTENCY(一致性) 认证和接入控制Authentication and access control 扩展和性能Scalability and performance 自动化管理AUTOMATION(自动化) Security ManagementInfrastructure Security Services Services UCSVirtual Access Storage Access Services Aggregation Core 基础架构安全保护数据中心 控制和数据层

4、面的安全。 防止数据丢失，顺从性，失 败保护 流量隔离以及认证授权审计 AD 可视化要求 日志，事件信息，集中认 证 取证 异常行为检测 顺从性 网络入侵检测和阻挡 网络监控，分析，取证 CSMACS 数据中心进出流量过滤 虚拟防火墙，策略分离，应 对服务器之间过滤需求 特殊的防火墙服务，保护服 务器群 负载均衡，隐藏服务和应用。 数据安全 认证 访问控制 端口安全 认证 QOS 虚拟防火墙 防火墙规则的实时监控 ACLs, Port Security, VN Tag, Netflow, ERSPAN, QoS, CoPP, DHCP snooping 虚拟化数据中心安全控制框架 Isolat

5、ion & Access-Control Model Intra-Tenant Intra-Layer Intra-Server VMVM Inter-VM Intra-Server VMVM Inter-VM Intra-Layer Intra-Server VMVM Inter-VM Intra-Server VMVM Inter-VM Intra APP Inter-Layer Intra-Tenant Intra-Layer Intra-Server VMVM Inter-VM Intra-Server VMVM Inter-VM Intra-Layer Intra-Server VM

6、VM Inter-VM Intra-Server VMVM Inter-VM Intra APP Inter-Layer Intra-Layer Intra-Server VMVM Inter-VM Intra-Server VMVM Inter-VM Intra-Layer Intra-Server VMVM Inter-VM Intra-Server VMVM Inter-VM Intra APP Inter-Layer Inter-APP Inter-Tenant Intra-Cloud DC Intra-Layer Intra-Server VMVM Inter-VM Intra-Se

7、rver VMVM Inter-VM Intra-Layer Intra-Server VMVM Inter-VM Intra-Server VMVM Inter-VM Inter-Layer Intra-APP Inter-APP 物理平面化 立体化架构 网络安全计算 VFW VRFVRFVRF VLAN VN- Link VM VDC VLANVLANVLAN VMVMVMVMVMVM VDC VFW VFW VN- Link VN- Link VN- Link VN- Link VM DC 逻辑层次化结构 资源大集中 中小租户中小租户: : 1.每个租户一个VLAN/一个VRF。 2.V

8、LAN映射到VRF。 3.不进行业务/服务层区分。 4.独立VDC专供此用户类型接入。 核心VDC 汇聚 VDC 中小租户 V M V M Vlan 物理机 V M V M Vlan VRFVRF TenantTenant 无安全要求租户 V M V M Vlan 物理机 V M V M Vlan i- VRF i- VRF Tenant G- VRF 大企业租户/私有业务 V M V M Vlan 物理机 V M V M Vlan Tenant V M V M Vlan V M V M Vlan WebAPPDB 大企业租户大企业租户/ /私有业务私有业务: : 1.租户利用Global V

9、RF区分。 2.每个租户多个Internal VRF。 3.Internal VRF区分不同部门或者应用。 4.通过多VLAN实现多级应用灵活Zone部署。 5.独立VDC专供此用户类型接入。 G- VRF Global VRF i- VRF Internal VRF 汇聚VDC i- VRF i- VRF G- VRF 汇聚VDC Nexus 7K 如果受到保护，流量经过防火墙否则直接 流向无保护的区域Zone。 业务模型按照应用特点来考虑服务集成： 安全要求应用 FW Only /FW+IPS 保护模式 性能要求应用 高吞吐/时延敏感无 - 保护模式 业务模型可以按照任意形式组合服务 全功

10、能服务 防火墙/负载均衡/应 用加速 仅需防火墙 防火墙和 负载均衡服务 无保护，但负载均衡服务务 无保护 用户访问 受保护 无保护 可选应用服务- 负载均 衡LB, IPS, Edge FW etc 可选应用服务- 负载均衡 LB, IPS, Edge FW etc 直接访问 模 式 A 模 式 B 模 式 C 模 式 D 共享防火墙 虚拟防火墙 模 式 E POD 大租户安全服务池 核心VDC VPC VPC 汇 聚 VDC 汇 聚 VDC 共享安全服务池 核心VDC 汇 聚 VDC 汇 聚 VDC 大企业租户/ 私有业务 汇 聚 VDC 汇 聚 VDC 边界防火墙 高并发连接 高每秒新建

11、连接 DDOS攻击防护 IPS威胁防御 地址转换 POD 中小租户 POD 私有业务/ 无安全要求 Internet安全服务池 虚拟防火墙 虚拟VPN接入 虚墙IPS 虚拟负载均衡 虚拟链路加速 虚拟流量分析 虚墙独立管理 虚墙资源划分 软件/硬件方案 安全服务池 出口 路由器 出口 路由器 Internet 安全服 务池 Internet Nexus7K Nexus 7K 汇聚VDC 核心VDC 汇聚 VDC 中小租户 VMVM Vlan 物理机 VMVM Vlan VRFVRF TenantTenant 大企业租户 VMVM Vlan 物理机 VMVM Vlan i-VRFi-VRF Te

12、nant G-VRF 大企业租户/私有业务 VMVM Vlan 物理机 VMVM Vlan i-VRF i-VRF Tenant G-VRF VMVM Vlan VMVM Vlan WebAPPDB G-VRF Global VRF i-VRF Internal VRF Share FW VFWVFWVFWVFW 汇聚VDC 多虚一技术 多虚一，动态扩展防火墙处理 能力，性能按需扩展。保护投 资。 7k-2 Core-VDC VPC VPC 7k-2 Agg-VDC 7k-1 Core-VDC 7k-1 Agg-VDC scEC scEC 高扩展性。 单点管理。 群内所有防火墙全部Active

13、。 有群内负载均衡能力。 群内防火墙失败，全群火墙帮 助恢复会话。保证防火墙群内 无单点失败/ 防火墙全冗余。 可以和路由交换多虚一结合实 现全路径多虚一，无 Spanning Tree困扰。 scEC: span-cluster EC VPC: Virtual PortChannel 需求特点： 防火墙集群(多虚一)： ASA ASA 一虚多技术 一虚多，虚拟出多个防 火墙，租户逻辑隔离， 资源限定防止租户串扰。 减少投资。 虚墙独立管理/独立日志 虚墙独立路由层面（地址 可重叠） 虚墙独立安全策略/NAT策 略/应用层策略。 防火墙资源限定，彻底保 护租户不互相串扰。 防火墙虚拟化 需求特

14、点： 并发连接 10万 新建速率 100K/秒 虚墙-1 性 能 MAC表 10万 在线主机 数 容 量 日志 控制 层面 管理员 安全 策略 配置 NAT 策略 DPI 策略 数据 层面 NAT连接 10万 管理 连接 虚墙-2 虚墙-3 虚墙- 250 路 由 租户-2 租户-3 租户- 250 7k-2 Core-VDC VPC VPC 7k-2 Agg-VDC1 7k-1 Core-VDC 7k-1 Agg-VDC1 7k-2 Agg-VDC2 7k-1 Agg-VDC2 VPN资源池 N3K C29 POD Internet ISR TeleWorker WAAS 广域网加速 公司分

15、部热点 ssL ssL IPSec IPSec IPSec IPSec VFW 接入方案 VPNVPN资源池资源池(VPN(VPN集群集群+VLAN+VLAN映射映射) ) N7N3用户/N7C29用户 用户接入容量10万 VPN吞吐60Gbps VFW+VPNVFW+VPN N7N5（POD用户） 用接入容量1万(单板)4万(单框) 3Gbps(单板)12Gbps(单框) 接入协议及方式 分支互联（IPsecIPsec） 软硬件客户端远程连接 （IPSEC/SSL/DTLSIPSEC/SSL/DTLS) 无客户端远程连接（SSLSSL） 接入终端类型 (PC/PC/平板电脑平板电脑/ /智能

16、手机智能手机) windows/MacOS/Linux Apple IPAD/Iphone Android Symbian Blackberry 共享安全服务池 大租户安全服务池 多虚一技术 .1.1 .2.2 .3.3 .4.4 .31.31 .32.32 .33.33 .34.34 Cluster MasterCluster Master 10.10.1.X 0 群集 IP 地址 客户端要求与 0 建立连接 虚拟群集以 3 响应 客户端与 3 建立IPsec/SSL VPN 连接 动态性能扩展并

17、发VPN隧道数扩展，VPN加密解密吞吐扩展。 动态无缝扩展新建VPN网关无缝集成到已有VPN网关中。 动态负载均衡保证设备利用率合理，健康状态实时跟踪。 动态接管提供高可用性 。 保护投资/高兼容性 要求集群内设备型号允许混杂。 VPN集群技术特点 多虚一，动态扩展Cloud DC的VPN处理能力，性能按需扩展。保护投资。 -一虚多技术 Vlan Mapping VRF A VRF B VRF C Vlan-A Vlan-B Vlan-C Outside IF G-AG-BG-C Inside Vlan VPN Gateway Tunnel A Tunnel B Tunnel C 1. 租户内

18、内部地址规划独立。 2. 租户VPN会话 与VLAN绑定。 3. 所有租户单公网IP接入。 4. 每租户有独立的定制界面。 5. 每租户有独立的认证服务器组。 6. 每租户有独立访问 控制. 7. 设备支持租户数较多，租户数=VLAN数。 8. 性能要求低。 9. 免License，经济。 VLAN镜像技术特点 1. 每租户独立管理。 2. 租户内内部地址规划独立。 3. 每租户有独立的公网IP接入。 4. 每租户有独立的定制界面。 5. 每租户有独立的认证服务器组。 6. 每租户有独立访问 控制. 7. 租户数支持有限。 8. 性能要求相对较高。 9. 需要License。 虚拟站点=技术特

19、点 VContext-A Virtual Portal VContext-BVContext-C Outside IF=A Outside IF=B Outside IF=C Inside IF=A Inside IF=A Inside IF=A Share Interface Tunnel A Tunnel B Tunnel C 一虚多，虚拟出多个VPN 网关从而实现动态扩展，租户逻辑隔离，减少投资。 Security Admin Network Admin Port Group 1. vMotion 在不同物理端口迁移 虚拟机网络策略必须跟随 vMotion 2. 必须查看和应用本地交换的

20、网 络和安全策略 3. 需要不间断维护来确保租户/业 务隔离 Server Admin 虚拟化和云需求推动数据中新需求 传统数据中心虚拟数据中心 FWFWWAASWAAS WANWAN OptOpt 服务于特有应用 组成: 专用设备 交换模块 虚拟设备 动态实施配置 服务对VM移动透明 可扩展 适合大规模多租户操作 虚 拟 服 务 点 APP OS HypervisorHypervisor VDC-1VDC-1 VDC-2VDC-2 ACE/ACE/ SLBSLB 设备虚拟化 资源限定 可扩展 性能可靠 适合特定租户操作 传 统 服 务 点 ASR9KASR9K 区域1 VLAN 1-1000 区域2 VLAN 1001-2000 区域3 VLAN 2001-3000 应用系统2 VLAN 3VLAN 3 Nex