网络虚拟化于数据中心的使用情境分享

1、 2015 VMware Inc. All rights reserved.网络网络虚拟化于数据中心的使用情境分享Agenda快速回顾NSX Micro-Segmentation技术，以及客户采用的效益Micro-Segmentation与实体网络安全防护技术的比较Micro-Segmentation的实际应用案例Micro-Segmentation的核心特色，以及对客户提供的效益于 vSphere Kernel 内直接提供防火墙功能，每个VM前都有防火墙透过NSX Service Composer技术，防火墙设定可完全与网络配置脱钩，而与客户实际业务达成整合达成安全设定自动化传统实体防护架构

2、：必须集中至边界实体防火墙进行防护InternetPerimeter Firewalls微切分安全防护技术：封包检查直接分散到每一台vSphere Host Kernel内运作，于每台虚拟机前直接提供防护InternetSecurity PolicyPerimeter FirewallsCloudManagementPlatform透过NSX Micro-Segmentaion分布式防火墙，管理者可以非常容易地做到同网段安全防护，避免黑客的跳板攻击App VLANDMZ VLANServices VLANDB VLANPerimeterfirewallInsidefirewallFinance

3、FinanceFinanceHRHRHRITITITADNTPDHCPDNSCERT传统防火墙：防护规则必须采用网络IP或network地址，但安全防护要求其实与网络无关业务系统能够快速地进行部署，但安全政策的设定与组态需要花费极大时间才能完成部署虚拟机部署网络架构确认安全政策与网络地址的关联手动进行安全防护政策设定系统部署完成系统进行变更定义安全政策需求新系统VC containers- Clusters- datacenters- Portgroups- VXLANVM containers- VM names- VM tags- VM attributesIdentity-AD Grou

4、psIPv6 compliant- IPv6 address- IPv6 setsServices- Protocol- Ports- CustomIPv6 ServicesAction- Allow- Block- RejectNSX 分布式防火墙：除了IP外，可以用不同的虚拟环境属性、或直接利用安全群组的方式，来设定防护机制Policy rules construct: Rich dynamic container based rules apart from just IP addresses:Rule IDRule NameSourceDestinationServiceActionA

5、pplied ToNSX Service Compose技术：藉由将业务与信息系统以自动化安全群组建立关联，可直接指定对应此业务/信息系统的安全防护政策，与网络完全脱钩WHAT you want to protectHOW you want to protect itSecurity Group：哪些业务与系统需要被保护？Security Policy：针对此群组，要提供什么的安全保护机制？所有名称以ERP为开头的虚拟机所有操作系统为Win 2003的虚机所有设定卷标为人事系统的虚机登入用户为IT管理者的Windows虚机“Standard Web” Firewall allow inboun

6、d HTTP/S, allow outbound ANY IPS prevent DOS attacks, enforce acceptable use 此安全群组的标准防火墙防护规则？此安全群组要采用哪种防毒与系统保护方案？此安全群组要采用哪种入侵防御或应用程序网络防护方案？NSX架构内，管理者可以用多样性的动态条件来建立自动化安全群组操作系统机器名称虚拟机属性安全标签 登入用户所属应用程序藉由NSX Service Composer的安全群组功能，可非常容易达成信息业务间的阻隔，且设定完全无需底层网络IP或网段组态App VLANDMZ VLANServices VLANDB VLANPe

7、rimeterfirewallInsidefirewallFinanceFinanceFinanceHRHRHRITITITADNTPDHCPDNSCERT同时， NSX Service Composer可达成安全政策自动化Finance-SystemHR-SystemFin-Web-01Fin-Web-02HR-Web-01HR-Web-02Fin-AP-01HR-AP-01Fin-DB-01HR-DB-01HR-Web-03同时， NSX Service Composer可达成安全政策自动化Finance-SystemHR-SystemFin-Web-01Fin-Web-02HR-Web-

8、01HR-Web-02Fin-AP-01HR-AP-01Fin-DB-01HR-DB-01HR-Web-03Agenda快速回顾NSX Micro-Segmentation技术，以及客户采用的效益Micro-Segmentation与实体网络安全防护技术的比较Micro-Segmentation的实际应用案例NSX DFW与实体防火墙厂商并非竞争关系，两者定位不同主要应用于数据中心东西向保护：抵御内部恶意用户或黑客由内部进行的跳板攻击标准的L4 Stateful Firewall可搭配防火墙厂商功能，提供东西向的L7 安全防护主要需求在数据中心南北向保护：抵御外部黑客攻击符合安全管理系统或法规

9、要求，如PCI-DSS / ISO-27002 / 金融监理单位等强大的安全功能面：Next-Generation Firewall / Anti-Virus / Web-Inspection / URL-Filtering实体防火墙的优势NSX分布式防火墙的优势NSX与最主要的网络安全厂商，包括Palo Alto Network / Check Point / Fortinet / Intel Security于东西向的防护，都已经整合完成常被询问问题：南北向实体安全设备的功能如此强大，为何数据中心还是会遭受入侵？数据中心前端由强大的网络安全设备进行防护但黑客仍然时常由低重要性系统、或是合法

10、的系统或应用程序漏洞入侵黑客入侵后通常不会声张，仅会潜伏于现有系统内，或默默进行环境侦测黑客可藉由内部感染或入侵重要系统，进而窃取重要机敏数据101101001101010010100000101001110010100因为数据中心内部安全防护极弱，黑客容易于内部环境进一步感染东西向Traffic远大于南北向Traffic，且一般未被完整监控现行客户数据中心内，南北向防护的机制大部都已经建立：NSX Micro-Segmentation才是现行防护的重点Data-Center东西向：数据中心内网络流InternetBranch Office南北向：出入数据中心Cisco Global Clou

11、d Index 对于数据中心网络流统计信息:东西向网络流: 76.7%南北向网络流: 16.7%数据中心间之网络流: 6.6%数据中心内之东西向安全防护刻不容缓Agenda快速回顾NSX Micro-Segmentation技术，以及客户采用的效益Micro-Segmentation与实体网络安全防护技术的比较Micro-Segmentation的实际应用案例案例一：VMware NSX 微切分技术于客户实际验证场景：以DFW采用白名单方式提供保护，以弱点扫描工具进行验证App VLANDMZ VLANServices VLANDB VLANPerimeterfirewallInsidefir

12、ewallFinanceFinanceFinanceHRHRHRITITITADNTPDHCPDNSCERT弱点扫描工具弱点扫描工具案例一：VMware NSX 微切分技术于客户实际验证场景：以DFW采用白名单方式提供保护，以弱点扫描工具进行验证NSXNSX 防护前防护前NSXNSX 防护后防护后案例二：政府实际客户案例超过五百台虚拟机跑在15台vSphere实体主机上，主要虚机均为Windows Servers，小部分为Linux外部资安稽核单位与内部资安主管要求必须达成业务间、以及服务器间的安全区隔，目前使用Windows防火墙与人工管理方式，几乎难以维运不允许使用End-of-Suppo

13、rt操作系统案例二：政府实际客户案例：以集中管理、分散防护方式，达成信息业务间、及同网段机器间的阻隔App VLANDMZ VLANServices VLANDB VLANPerimeterfirewallInsidefirewallFinanceFinanceFinanceHRHRHRITITITADNTPDHCPDNSCERT客户状况安全政策禁止使用已经End-of-Support的操作系统若有此类操作系统机器，完成升级前禁止连接至InternetUnsupported OS Group案例二：政府实际客户案例：快速找出已经End-of-Support的操作系统，并禁止访问Internet

14、此客户导入 NSX 安全虚拟化后的效益以NSX达成业务间与服务器间需求的安全管理机制能够于NSX集中进行安全管理，大幅减低维运Effort最短期间内锁定所有Windows Server 2003虚机并进行升级案例三：高科技产业实际客户案例：NSX搭配Horizon提供完整桌面安全防护原本采用Citrix XenApp，应用程序维护以及安全区隔非常复杂，多组系统、多组网络、多组安全设备改为桌面虚拟化架构，约200组，提供员工与外部合作厂商使用机敏数据保护极度重要，具备复杂的安全防护政策VMware NSX 微切分技术于台湾客户实际应用场景：搭配虚拟桌面方案，依据用户身份限制可连入的系统与网络环境合作厂商A开发平台WebApp合作厂商B开发平台WebAppRD开发环境WebApp企业OA环境WebAppFinance系统WebApp企业后端环境一般内部员工内部员工-RD内部员工-FinanceVDI Desktop合作厂商B30案例三：高科技产业实际客户案例：此客户导入安全虚拟化整合桌面虚拟化后的效益单一桌面虚拟化系统、单纯网络架构、集中管理的环境除了达成数据不落地外，同时达成数据中心内网络保护所有部门及员工间之数据控管需求得以达成结论：NSX Micr