下一代云数据中心防御架构.pdf
- 文档编号:3209902
- 上传时间:2022-11-20
- 格式:PDF
- 页数:54
- 大小:7.62MB
下一代云数据中心防御架构.pdf
《下一代云数据中心防御架构.pdf》由会员分享,可在线阅读,更多相关《下一代云数据中心防御架构.pdf(54页珍藏版)》请在冰豆网上搜索。
Nov27|中国上海下一代云数据中心防御架构下一代云数据中心防御架构程文杰,PaloAltoNetworks中国2015VMwareInc.Allrightsreserved.下一代云数据中心防御架构下一代云数据中心防御架构程文杰,PaloAltoNetworks中国Nov27,2015PALOALTONETWORKS公司简介公司简介公司一览公司一览成立于2005年;2007年赢得第一个客户我们帮助企业用户更安全的把应用扩展到各个领域我们的产品专注于企业安全,帮助我们的客户化繁为简,解决各种复杂的安全威胁我们已拥有超过26000家企业客户,遍及全球140个国家或地区超过3000名经验丰富的员工2015财年收入:
$9.3亿美金$13$49$119$255$396$598$928$0$200$400$600$800$1,000FY09FY10FY11FY12FY13FY14FY15$百万美金百万美金营收增长营收增长企业客户数量企业客户数量4,7009,00013,50019,00026,00004,0008,00012,00016,00020,00024,00028,000Jul-11Jul-12Jul-13Jul-14Jul-15什么正在变化什么正在变化?
网络攻击正在进化$1+$1+如今的网络犯罪万亿市值的行业100+100+国家参与网络军备什么正在变化什么正在变化?
已知威胁组织风险身份入侵零日漏洞/攻击检测逃避,建立指挥控制渠道未知和多态性的恶意软件移动威胁网络攻击正在进化Source:
http:
/www.idtheftcenter.org/images/breach/DataBreachReports_2015.pdf450起数据渗透事件被报道(2015)135M条记录被泄漏tcp/443tcp/80tcp/13910am-5pm利用常见APP是数据泄漏中最常见手段ftpicmpwebdavnetbios数据中心的形态正在变化数据中心的形态正在变化动态的,可扩展,自服务计算架构限制生产力的计算和技术壁垒正在消失今天的数据中心今天的数据中心(特定的服务器特定的服务器+虚拟化虚拟化)HypervisorVMVM混合云混合云(私有私有+公有云公有云)VirtualizedCompute,Network&StorageVMVMVM软件定义的数据中心软件定义的数据中心(私有云私有云/SDDC)VirtualizedCompute,Network&StorageVMVMVM虚拟化的计算虚拟化的计算,网络以及存储网络以及存储VMVMVM云计算云计算+安全安全=挑战与机遇并存挑战与机遇并存云计算环境中的安全挑战云计算环境中的安全挑战物理防火墙对数据中心的东西向流量缺乏防护传统防火墙的部署位置是基于L3的安全域划分网络配置的频繁变化将会导致对东西向流量的保护变得非常的困难和复杂如何在流量中透明无缝引入安全变得极为重要HypervisorMS-SQLSharePointWebFrontEndVMVMVM云计算环境中的安全挑战云计算环境中的安全挑战云计算中,不同安全级别的应用运行于同一台硬件服务器上Inter-VM(东西向流量)需要被检测但仅仅基于端口和协议检测是不够的下一代云计算安全防御需要:
不同VM间的应用白名单管控发现并阻止安全攻击现有的虚拟化安全解决方案缺乏对应用的可见性MS-SQLSharePointWebFrontEndHypervisorVMVMVM云计算环境中的安全挑战云计算环境中的安全挑战静态的安全策略无法适应动态的资源分配每分钟都会有不同的新应用,新服务器被部署但安全的审核和配置可能需要数周甚至数月的时间安全策略需要能够自动识别不同VM属性云计算安全的关键需求云计算安全的关键需求1.应用可视化:
准确识别东西向流量中的应用2.控制:
遵循零信任准则对云计算中的应用进行隔离和控制3.阻止:
阻止东西向和南北向流量中的已知和未知威胁4.自动化:
缩小应用部署和安全策略变更之间的差距5.管理:
集中化管理系统的配置,日志收集,可视化报告以及威胁分析PaloAltoNetworks下一代安全平台下一代安全平台从网络侧和终端侧收集潜在的安全威胁分析和关联威胁情报分发威胁情报至网络和终端侧威胁情报云威胁情报云检测所有流量阻止已知威胁协同检测未知威胁覆盖移动终端和虚拟化数据中心下一代防火墙下一代防火墙检测所有进程和文件阻止已知和未知漏洞与云协同阻止已知和未知恶意软件高级终端防护高级终端防护EnableandprotectdatacenterapplicationsSegmentationonaphysicalnetworkApplicationsanddatasegmentedbypolicyUsersgrantedaccessbasedonneed/identityTrafficisprotectedfromknown/unknownmalwarePanoramaAPIsSharePointWebSQLSubnet1Subnet2Subnet3启用并保护虚拟化应用启用并保护虚拟化应用基于零信任模型微分段安全域基于零信任模型微分段安全域应用策略隔离虚拟机和数据依据需求或用户身份授予访问权限阻止恶意软件在不同的安全域之间传播SharePointWebSQLPanoramaVirtualizeddatacenterNSXManager阻止攻击的每一个阶段阻止攻击的每一个阶段网络攻击的渗透链数据搬运数据搬运横向移动横向移动DELIVERMALWARE渗透网络边界渗透网络边界NGFW威胁阻止威胁阻止(IPS)URL过滤过滤WildFire+威胁情报云威胁情报云威胁阻止威胁阻止(恶意软件恶意软件)威胁阻止威胁阻止(Command-and-Control)横向移动横向移动(微分段微分段)威胁阻止威胁阻止(Command-and-Control)GlobalProtect移动终端安全移动终端安全封锁文件封锁文件数据过滤数据过滤如何工作如何工作:
简化的策略更新简化的策略更新计算资源的全面可见性如何工作如何工作:
简化的策略更新简化的策略更新计算资源属性的全面可见性如何工作如何工作:
简化的策略更新简化的策略更新将计算资源的属性转换为标签如何工作如何工作:
简化的策略更新简化的策略更新基于不同对标签建立对象组如何工作如何工作:
简化的策略更新简化的策略更新学习群组属性如何工作如何工作:
简化的策略更新简化的策略更新创建动态策略如何工作如何工作:
简化的策略更新简化的策略更新新的计算资源触发策略更新如何工作如何工作:
简化的策略更新简化的策略更新计算资源的移除同样触发策略更新集中化管理集中化管理管理所有的安全设置和属性全局控制安全策略关联所有的日志做到更好的可见性,报表以及安全分析不同的AmericasdatacenterEuropedatacenterPanoramaHeadquartersLogcollectorLogcollectorAPIsVM-SeriesforNSX数据中心数据中心:
如何微分段如何微分段利用利用DFW分段分段分割分割利用PaloAlto实现微分段ControlledcommunicationpathwithinasinglenetworkFine-grainedenforcementofsecuritySecuritypoliciesbasedonlogicalgroupingsofVMsAdvancedservices:
additionof3rdpartysecurity,asneededbypolicyPlatformforincludingleadingsecuritysolutionsDynamicallyaddadvancedsecuritytoadapttochangingsecurityconditionsNocommunicationpathbetweenunrelatednetworksNocross-talkbetweennetworksOverlaytechnologyassuresnetworksareseparatedbydefault联合解决方案的优势联合解决方案的优势VMwareNSXVM-1000-HVPanorama自动化的注册与策略配置无缝的服务部署动态的安全策略更新多维度的深层保护使得数据中心安全的启用虚拟化应用并阻止攻击Panorama如何工作如何工作:
联合解决方案的各个组件联合解决方案的各个组件如何工作如何工作:
注册注册如何工作如何工作:
防火墙服务自动化注册防火墙服务自动化注册如何工作如何工作:
许可证以及策略部署许可证以及策略部署如何工作如何工作:
数据流牵引数据流牵引如何工作如何工作:
策略动态更新策略动态更新如何工作如何工作:
服务开通流程一览服务开通流程一览NSX+VM-Series数据流向数据流向数据流向数据流向:
NSX防火墙防火墙数据流向数据流向:
部署部署PaloAltoVM系列后系列后数据流向数据流向:
当数据引流策略生效后当数据引流策略生效后数据流向数据流向:
只有特定的数据流才会被检测只有特定的数据流才会被检测最佳实践及最佳实践及NSX6.2UpdateAttackPropagationInVirtualandCloudDataCentersCasestudyofanattack:
APTgroup“HiddenLynx”(Symantecnomenclature)inoperationforover5yearsFrequentuseofhighlysophisticatedandcustomtrojansand0-dayexploitsInitialintrusionviaSQLinjectionLateralmovementtoaservercontainingcodesigningcertificateSQLinjectionBackdoor.HikitUnspecifiedcredentialtheftUnspecifiedcredentialtheftHypervisorPhysicalhostCertificatesigningserverReport:
HiddenLynxProfessionalHackersforHire:
http:
/NSXDFW和和PaloAltoVM系列的差别系列的差别数据引流的最佳实践数据引流的最佳实践跨安全层流量:
PaloAltoVM系列安全层内流量:
NSXDFW混合使用混合使用DFW和和PaloAltoVM系列可同时兼顾安全与性能系列可同时兼顾安全与性能数据引流的最佳实践数据引流的最佳实践跨安全层流量:
PaloAltoVM系列安全层内流量:
NSXDFW混合使用混合使用DFW和和PaloAltoVM系列可同时兼顾安全与性能系列可同时兼顾安全与性能虚拟化数据中心的流量峰值分析虚拟化数据中心的流量峰值分析每台每台PaloAltoVM需要处理的峰值流量需要处理的峰值流量60
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 下一代 数据中心 防御 架构