1、Datacenter安全,Agenda,数据中心的“云化”趋势及安全挑战虚拟化安全域的实现及虚拟安全产品部署边界防火墙技术进展混合云场景及安全技术接入层安全技术的改善,技术上的“云”化Physical Virtual Cloud Journey,PHYSICAL WORKLOAD,VIRTUAL WORKLOAD,CLOUDWORKLOAD,One app per ServerStaticManual provisioning,Many apps per ServerMobileDynamic provisioning,Multi-tenant per ServerElasticAutomat
2、ed Scaling,HYPERVISOR,VDC-1,VDC-2,Nexus 1000V,VM-FEX,vWAAS,VSG,ASA 1000v,vNAM,UCS for Virtualized Workloads,Nexus 7K/5K/3K/2K,WAAS,ASA,NAM,UCS for Bare Metal,Cloud Services Router(CSR 1000V),ASR,ISR,思科的“云”化Cisco Virtual Networking and Cloud Network Services,Multi-Hypervisor,WAN Router,Servers,Tenant
3、 A,ASA 1000VCloudFirewall,Nexus 1000V,vPath,Physical Infrastructure,Virtualized/CloudData Center,vWAAS,Cisco Virtual Security Gateway,VXLAN,CSR 1000V(Cloud Router),WAN L3 gatewayRouting and VPN,Switches,Ecosystem Services,Citrix NetScaler VPX virtual ADCImperva Web App.Firewall,Cloud Network Service
4、s,Citrix NetScalerVPX,ImpervaSecureSphereWAF,Cloud Services Router 1000V,Zone A,Zone B,Cloud Security 与 DC Security,计算/存储资源虚拟化资源位置虚拟化虚拟资源的互联虚拟资源的使用云:从服务的角度看待已经被虚拟化的资源DC:从物理资源角度看虚拟资源上的服务,为什么需要数据中心安全,CEO视角保护企业声誉和股价确保合规保障经营连续性帮助提高工作效率,CIO视角保证IT安全,保障企业经营避免由于攻击或人为失误导致的业务和经营中断保护核心应用、业务和设备的安全,IT管理者视角确保在全网范
5、围内的可视化和控制安全地开展新业务维护数据安全和完整性部署和强化安全策略避免性能瓶颈优化网速、带宽和运行服务级别保护基础架构设施,避免过载和攻击安全合规要求,战术:数据中心,战略:云,“云”时代的数据中心及安全考虑,CEO:云就是生产力,就是利润!,CFO:安全也必须经得起ROI的考验。“云数据中心”是不是经济&安全的方式?,“云化”的数据中心架构,Application Control(SLB+),Service Control,Firewall Services,Virtual Device Contexts,Fibre Channel Forwarding,Fabric Extensio
6、n,Fabric-Hosted Storage Virtualization,Storage Media Encryption,Virtual Contexts for FW&SLB,Port Profiles&VN-Link,Port Profiles&VN-Link,Line-Rate NetFlow,Virtual Device Contexts,Secure Domain Routing,Service Profiles,Virtual Machine Optimization,Virtual FirewallEdge and VM,Intrusion Detection,云计算环境下
7、的DC安全课题,流量模型的转变:从分散走向高度集中,设备性能面临压力?安全边界消失;云计算/云服务环境下的安全部署边界在哪里?虚拟化要求:虚拟网络和虚拟主机的安全怎么保证?集中化管理:管理界面由物理变为虚拟,如何清晰界定和实现?虚拟化机会:安全作为一种服务(SaaS),如何实现虚拟化交付?,思科云数据中心安全技术,可视化,威胁防御,安全隔离,基础架构安全保护数据中心控制和数据层面的安全。防止数据丢失,顺从性,失败保护流量隔离以及认证授权审计(“纵向隔离”和“横向隔离”),基于特征的网络入侵检测和阻挡面向应用层的安全防御和流量规划异常行为检测,日志,事件信息,集中认证和策略下发管理取证应用分析和
8、报表安全合规,A,Nexus 7000,Nexus 7000,Nexus 5000,Nexus 5000,Nexus5000,1Gig Server Rack,10Gig Server Rack,Data Center POD,Data Center Core,Internet,Nexus2000,Nexus2000,Nexus2000,CiscoUCS,Cisco UCS,10Gig Server Rack,External Zone,Internal Zone,Edge DMZ,安全多租户数据中心架构图两级结构,按模块实现标准化、高扩展、可复制、可预测,IDC安全需求,边界安全互联网边界防
9、护(uRPF,NAT,DDOS,IDS)内部互联边界要求(VPN,Firewall,IDS)多租户隔离和防护(模块化服务:标准化、高扩展、可复制、可预测)租户域内L2安全(ARP Flooding,ARP Spoofing etc.)虚拟安全设备的正确、适度部署远程VPN虚拟机隔离及加固租户数据保密租户维护域设置及安全系统维护域设置及安全,Nexus 700010 GE Aggr,NetworkServices,vPC+FabricPath,Nexus 700010 GE Core,Catalyst 6500End-of-Row,Nexus 5500 10GE Nexus 2248End-of
10、-Row,CBS 31xxBlade switch,Nexus 7000End-of-Row,Nexus 5500 FCoE Nexus 2232 Top-of-Rack,UCS FCoE,Nexus 3000Top-of-Rack,Nexus 4000FIP-Snoop.IBM Blade Center,1 GbE Server Access&4/8Gb FC via dual HBA(SAN A/SAN B),10Gb DCB/FCoE Server Access or 10 GbE Server Access&4/8Gb FC via dual HBA(SAN A/SAN B),L3L2
11、,C6500,B22FEXHP BladeC-class,FC SAN A,FC SAN B,MDS 9200/9100,Nexus 5500 FCoE,EDC典型结构,核心交换域L2安全跨域访问控制,维护域带外管理系统安全运维中心远程VPN,计算和数据资源域虚机L2安全子系统划分和隔离负载均衡应用层保护虚拟机安全数据加密和保护,Nexus 700010 GE Aggr,NetworkServices,vPC+FabricPath,Nexus 700010 GE Core,Catalyst 6500End-of-Row,Nexus 5500 10GE Nexus 2248End-of-Row,
12、CBS 31xxBlade switch,Nexus 7000End-of-Row,Nexus 5500 FCoE Nexus 2232 Top-of-Rack,UCS FCoE,Nexus 3000Top-of-Rack,Nexus 4000FIP-Snoop.IBM Blade Center,1 GbE Server Access&4/8Gb FC via dual HBA(SAN A/SAN B),10Gb DCB/FCoE Server Access or 10 GbE Server Access&4/8Gb FC via dual HBA(SAN A/SAN B),L3L2,B22F
13、EXHP BladeC-class,FC SAN A,FC SAN B,MDS 9200/9100,Nexus 5500 FCoE,EDC的“云化”,“云化”特点由分散部署到集中部署共享规范的数据中心基础架构共享计算和存储资源业务系统和应用系统间必需的横向隔离业务终端到业务系统资源之间纵向安全访问,BSS,OSS,MSS,应用3,应用2,应用1,应用6,应用5,应用4,应用9,应用8,应用7,保护业务平台云的基础架构,EDC安全需求,互联网边界安全桌面域到EDC业务域的映射EDC内部网络虚拟化及安全域映射业务域隔离(横向和纵向),目前以VRF/VLAN隔离为主虚拟机隔离和加固(除数据库serv
14、er外,EDC内主要通过VM方式提供服务)系统维护域设置及安全与IDC相比:“安全服务”的地位淡化“端到端安全”成为可能,虚拟化环境下的安全焦点,17,云数据中心的安全规划,传统的基于业务和应用进行安全区域划分的方法依然必要独立的管理域在云数据中心的安全规划中变得非常重要,中间件,数据库,Web层,APP 1,APP 2,APP n,管理安全域,业务安全域,运维管理域功能及架构,业务特性内部员工使用为主承载内容多,信息价值高外部接口较多安全需求特性注重内部管理安全保护的重点:内部员工权限控制不同系统、客户之间的运维平面要进行安全隔离客户维护域灵活要满足特定要求,ServiceAggregati
15、on,Internet Edge,Adaptive Security Appliances,BorderRouters,Edge Routers,Catalyst Switches,IPS,UCS Compute,External Web Servers,Web Application Server,DMZ Storage,DMZ Storage,Core Layer,Nexus Switches,Fabric Switches,Public Internet WAN,Demilitarized Zone,管理维护区,客户维护区,云计算平台运维区安全方案,共享区,VCENTERVNMC防病毒系
16、统补丁管理系统,设有安全服务区,提供共享资源内部维护人员通过DMZ区对云平台进行带外维护硬件厂商人员通过DMZ区的VDI对设备进行维护受保护租户区不能主动发起连接去往DMZ区域远程访问维护人员通过sslvpn拨入维护DMZ区,vpn gateway,安全运维设计思路利用VDI,Nexus 1000V(SXP),Nexus 1000V,ConnectionBrokers,Role assigned based on port profile,Role-based access to application server groups,vCenter,VM Pool Assignment(port group),AD Group to VM Pool Mapping,Identity Services Engine,Nexus7Kor ASA,UCS,Hosted Virtual Desktops(HVD),UCS,vApp,vApp,vApp,VDI隔离用户自有终端对DC的直接访问,威胁程度大大降低VDI可置于运维DMZ区,按授权对DC设备、服务进行维护N1KV在port profile