NSX软件定义的网络与安全解决方案

1、NSX软件定义的网络与安全解决方案“我的公司及 IT 部门在面对铺天盖地的数字商机时表现得无所适从。我们无法及时作出回应，这会威胁到公司的成功以及 IT 部门的信誉。”Gartner 2014 年全球 CIO 调查CIO 面临诸多挑战：速度、创新、生产力、敏捷性、安全性和成本等等*资料来源：Gartner 2014 年全球 CIO 调查客户的IT系统正在向软件定义的数据中心和云计算架构演进480%的服务器到2016年会被虚拟化 1 40%的数据到2020年会在云端存储或处理3$5.4B到2018年软件定义数据中心的市场规模243%的服务采用云架构。包括公有云、私有云或混合云架构。1001010

2、01011000101100110001010110110100110101数据中心虚拟化层智能在软件数据中心虚机的操作模式：自动配置和管理什么是软件定义的数据中心 (SDDC)?智能在硬件专用芯片、品牌绑定的架构手工配置和管理软件硬件计算、网络和存储资源池化，独立于厂商，最佳性价比架构，配置和管理简单构建软件定义的数据中心虚拟机虚拟网络虚拟存储计算资源网络资源存储资源应用位置无关数据中心虚拟化层(计算虚拟化、网络虚拟化、存储虚拟化)池化的计算、网络和存储资源独立于厂商的最佳性能比架构简化的配置和管理软件硬件自动化操作模式可编程的创建,快照,保存,迁移,删除,恢复软件定义数据中心的互连互通7数

3、据中心互连混合云软件定义数据中心 (SDDC)任意应用SDDC 平台任意 x86任意存储任意IP网络数据中心虚拟化层任意 x86任意存储任意IP网络任意 x86任意存储任意IP网络任意应用任意应用软件定义的数据中心愿景TEXT自助化应用组装应用蓝图应用发布标准化应用服务云自助服务门户服务目录无需管理员参与管理监控自动化虚拟化主机与存储软件定义网络应用服务基础架构服务软件定义数据中心基础架构云VMware 为客户打造面向未来的软件定义的数据中心和新型IT体系架构9可扩展性传统应用现代云应用任何应用 私有云和混合云管理-vRealize Suite/vCloud Suite计算虚拟化-vSpher

4、e/vSOM网络与安全虚拟化-NSX存储虚拟化-VSAN一朵云自主构建融合架构超融合架构 混合云私有 您的数据中心公有可管理任意设备业务移动性: 应用 | 设备 | 内容软件定义的数据中心 终端用户计算和企业移动化管理-Horizon 7,Airwatch,WorkSpace ONE双活数据中心/容灾/运维客户数据中心的变革：对网络管理和安全意味着什么?10每分钟新出现236 个新的威胁(接近每秒钟4个)数据丢失的平均每分钟的成本 : $7900 比2010年上升了41% 580%+ 的公司用户在IT部门不知情的情况下使用云app40% 的攻击目标是服务器仅有 50% 需要保护的数据得到了恰当

5、的安全保护攻击界面增加管理复杂度和安全风险显著增加网络割裂，导致资源池利用率及灵活性降低网络架构复杂，割接工作量大数据中心安全域的边界防护难以运维已有业务变更响应缓慢，容易导致误操作对新业务部署上线支持缓慢核心链路和节点带宽被大量发夹流量消耗难以实现网络及安全的L2-L7层自动化网络已经成为通往云计算之路的壁垒虚拟化挑战传统网络设计和运行基础架构二层网络的规模限制大二层技术的限制安全边界打破，安全隔离成为难题业务部署计算和存储资源已经实现快速就绪网络就绪成为业务部署的瓶颈运维排障安全策略跟随虚拟机移动虚拟机的可视化管理命令行或GUI界面无法自动化部署Floor-1: VLAN1 10.x.x.

6、xFloor-2: VLAN2 172.16.x.x通用X86服务器资源服务器虚拟化层需求: x86服务器x86 环境虚拟机应用分离硬件软件虚拟机应用虚拟机应用通用网络硬件网络虚拟化层需求：IP承载网络L2, L3, L4-7 网络服务虚拟网络负载虚拟网络负载虚拟网络负载解决办法：虚拟化您的网络通过虚拟化层来映射虚拟与物理资源与传统的计算虚拟化类似:实现物理资源池化并支持 scale-out扩展实现集中管理与配置支持API 可编程接口虚拟网络之间完全隔离可移动性虚拟网络为软件容器, 像虚拟机一样支持 snapshot, 备份与恢复VMware NSX：专为云数据中心设计的软件定义的网络与安全管

7、理平台基于NSX的网络与安全虚拟化像管理虚拟机一样，管理虚拟化和云数据中心的网络与安全硬件软件二层交换三层路由防火墙负载均衡通过NSX构建的网络虚拟化层，轻松调配虚拟机的网络和安全Internet网络虚拟化层虚拟网络软件容器，如虚机虚拟网络拓扑Physical Network TopologySwitchingRoutingFirewallingLoadBalancingVPNConnectivityto PhysicalNSX以软件方式提供虚拟化和云数据中心的自动化网络和安全服务15逻辑交换机, 逻辑路由器,分布式防火墙, 负载均衡, VPN(ESXi) 虚拟化层 (NSX)资源池任意 IP

8、 网络任意x86VMVMVM实现按需/自动化部署虚拟网络按需动态部署虚拟网络，不受物理位置限制面向对象的QoS以及安全策略配置集中控制，系统性的可视, 监控与管理逻辑区域完全隔离 (L2 & L3)95+% 减少物理网络资源消耗（IP，VLAN，MAC地址等）智能边界，分布式转发VMware NSX网络和安全虚拟化的意义打破壁垒：使网络及其相关服务部署不再受制于底层物理网络硬件和物理位置的限制VLAN1 10.x.x.xVLAN2 172.16.x.xVLAN2 192.168.x.x 虚拟网络虚拟的 Layer 2 88.33.x.x (whatever)NSX网络和安全虚拟化的收益 突破位

9、置阻碍，灵活部署负载使用情形：构建双活或容灾数据中心，打通数据中心之间的资源池利用软件定义数据中心的网络和安全优势构建跨数据中心的资源池打通，网络和安全策略可以跟随虚拟机在数据中心之间迁移。18WebApp WebApp WANInternetL2 over Dark FiberVPLS InstanceVPLS InstanceVPLS InstanceMPLS BackboneL2 over L3OTVDBDBDBWebWANInternetWebApp DBDB改变应用的IP地址物理网络L2-L3网络分段 重写防火墙策略(东/西,南/北)确认符合负载均衡策略其他物理网络配置昂贵方案 (基

10、于硬件)配置复杂度高/厂商私有技术服务部署需要时间窗口运维难度高逐一设备配置缺乏灵活和自动化问题：新旧数据中心互连的挑战解决方案：NSX实现新旧数据中心之间的网络和安全扩展VM1VM2VM3网页虚拟交换机/24旧数据中心 新数据中心分布式虚拟路由器VM4VM5应用虚拟交换机/24外部地址 外部地址A网段 /29Uplink A LIF B网段 /29Uplink B LIF VM6VM7数据库虚拟交换机/24网关 .1使用场景软件方式实现新旧数据中心的扩展互连无需更换硬件设备无需复杂配置和downtime时间安全策略和路由策略跟随虚拟机在数据中心间迁移实现出流量的本地化NSX网络和安全虚拟化的

11、收益 突破位置阻碍，提高资源利用率网络虚拟化之前的资源利用率大约是60%网络虚拟化之后的资源利用率能够达到90%以上NSX网络和安全虚拟化的收益分布式防火墙实现的安全微分段有效扫除了安全死角，打造一个更加安全的数据中心VMVMVMVMVMVMVMVMVMVMVMVMVMVMVM好处虚拟机与AD域用户感知面向对象的安全策略定制没有安全处理 “瓶颈”线速转发，水平扩展安全策略部署越靠近应用，体系就越安全集中式安全管理最近发生的攻击事件：23绝大多数攻击都有一个通性: 攻击包可以在数据中心内部任意通行，而由于投资成本太高而且运维管理十分复杂，以至于数据中心 Micro-segmentation 难以

12、实现，而NSX有效的解决了这个问题。NSX的安全微分段(Micro Segmentation)价值NSX的安全微分段可以实现丰富的安全管理功能分区隔离高级服务ProductionTestDev Network相关安全组间依据安全策略通信可以集成第三方的L4 L7层安全解决方案不相关网络完全隔离DBAppWebDBAppWeb2425NSX的安全微分段功能: 实现虚拟化数据中心内部不同应用的安全防护 WebVMVMDBVMVMDBVMVMMarketing GroupServicesVMVMMgmtServices/Management Group/WebVMAppVMVMDBVMVMHR Gr

13、oupApplication segmentation按部门、区域划分隔离按应用边界划分按应用层划分支持安全组内部成员之间的逻辑隔离以虚机为单位隔离按需部署逻辑隔离支持现有网络与应用灵活方便的安全对象管理安全管控与应用一致性部署好处控制一个网络中的流量控制一个网络中各组之间的流量基于逻辑分组而不是物理拓扑保护流量安全灵活地创建网段 甚至在同一虚拟局域网上的不同系统之间（这在传统网络中极难做到）使用NSX的安全微分段功能保护 VDI 桌面虚拟化环境中的东西向流量侧重于合规性和风险缓解的组织将实施安全区以保护数据中心内的东西向流量难以实施需要大量的物理基础架构管理复杂集中式虚拟桌面共享服务DMZ数

14、据库区远程工作员工区工程区开发区财务区公司区PCI 区管理区保密资料26虚拟网络连接：快速、简单、可延展保密资料27Jennifer（财务）文件人力资源财务电子邮件SharePoint网络Bob（人力资源）人力资源财务NSX提供基于智能分组的安全策略按自定义标准定义的组操作系统计算机名称应用层服务 安全状况法规要求NSX提供可以编程的安全组和安全策略定义支持可编程部署网络与安全拓扑满足应用需求安全策略安全组逻辑交换、路由、防火墙、负载均衡Web应用数据库Web“Web” 防火墙 入方向仅允许 HTTP/S, 出方向允许任意流量 IPS 入侵监测数据库“数据库”防火墙 入方向允许SQL，出方向允

15、许漏洞管理 每周扫描应用“应用”防火墙 入方向允许 TCP 8443, 出方向运行 SQLVMVMVMVMVMVM“缺省” 防火墙 共享服务访问 (DNS, AD) 防病毒 每天扫描缺省29情形操作系统在若干系统上已不再受支持这些系统需要用策略将访问仅限制到电子邮件服务器不受支持的操作系统组示例：对不受支持的操作系统的智能分组30示例：软件定义的数据中心的自动化安全防护 隔离有漏洞的系统，直至将其修复软件定义的数据中心安全组 = 隔离区域成员 = 标签 = ANTI_VIRUS.VirusFound, L2 隔离网络 安全组 = Web 层Service Composer云计算管理虚拟网络策略

16、定义标准桌面虚拟机策略 防病毒 - 扫描隔离的虚拟机策略 防火墙 - 阻止除安全工具之外的所有工具 防病毒 - 扫描并修复NSX 控制器示例：NSX高级安全 (IDS/IPS) 服务插入 比如Palo Alto Networks NGFWInternet虚拟化管理程序物理主机VMVM虚拟交换机虚拟化管理程序物理主机虚拟交换机VMVM安全策略安全管理员流量转向NSX 控制器示例：NSX高级安全 (IDS/IPS) 服务插入 比如Check Point vSEC安全网关Internet虚拟化管理程序物理主机VMVM虚拟交换机虚拟化管理程序物理主机虚拟交换机VM安全策略安全管理员流量转向vSECVM

17、vSECCHECK POINT智能管理中心虚拟网络NSX网络和安全虚拟化的收益无需中断业务：可编程的自动化部署网络和安全服务34NSX vSwitchHypervisorVMVMVM物理网络云管理平台NSX vSwitchHypervisorVMUser SpaceVMVMNSX Controller分布式网络服务分布式网络服务NSX助力云计算自动化和自助式 IT 多机蓝本云计算使用者云计算管理员SLA成本配置文件安全性网络连接服务目录服务请求网络配置文件安全组安全策略网络管理员负载均衡器管理员标准化模板逻辑负载均衡器安全管理员可用性安全性连接安全标记外部网络保密资料35动态配置和部署模板化应

18、用程序（NSX 和 vRealize Automation）逻辑交换机逻辑路由器NSX逻辑防火墙逻辑负载均衡器NSX与vRealize Automation云计算自动化平台结合，实现包含网络和安全策略的按需应用交付按需应用交付vRealize Automation资源预留多节点主机蓝图服务目录Cloud Management Platform网络配置文件安全策略安全组Web应用数据库VMVMVMVMVMVM保密资料36集中化管理运维您的应用网络NSX 架构扩展性: 广泛的合作伙伴NSX ControllerNSX API合作伙伴安全服务+Cloud MgmtPlatforms网关服务应用服务防

19、火墙总结：NSX的主要使用场景及其提供给客户最大的核心价值39Multi-tenant InfrastructureDeveloper CloudDMZ AnywhereSecure End UserMetro PoolingHybrid Cloud Networking快速部署完整信息系统，由数周到数分钟以低廉的成本取得最完善的数据中心东西向防护藉由简化的逻辑网络大幅减少RTO (Recovery Time Objective)核心价值其他相关情境IT Automating ITMicro-segmentationDisaster Recovery网络安全： 虚拟环境的完善保护网络自动化：I

20、T支持快速部署业务业务持续性： 任意地点的数据中心主要情境情境NSX软件版本: Standard, Advanced & Enterprise40StandardAgility and automation of the networkDistributed switching and routingNSX Edge firewallNATSW L2 bridging to physical environmentDynamic routing with ECMP (Active-active)API-driven automationIntegration with vRealize and

21、 OpenStack1 AdvancedStandard, plus a fundamentally more secure data center with micro-segmentationDistributed switching and routingNSX Edge firewallNATSW L2 bridging to physical environmentDynamic routing with ECMP (Active-active)API-driven automationIntegration with vRealize and OpenStackAutomation

22、 of security policies with vRealizeNSX Edge load balancingDistributed firewallingIntegration with Active DirectoryServer activity monitoringService insertion (3rd party integration)EnterpriseAdvanced, plus networking and security across multiple domainsDistributed switching and routingNSX Edge firew

23、allNATSW L2 bridging to physical environmentDynamic routing with ECMP (Active-active)API-driven automationIntegration with vRealize and OpenStackAutomation of security policies with vRealizeNSX Edge load balancingDistributed firewallingIntegration with Active DirectoryServer activity monitoringServi

24、ce insertion (3rd party integration)Cross vCenter NSXMulti-Site NSX optimizationsVPN (IPSEC and SSL)Remote GatewayIntegration with HW VTEPsIT AUTOMATIONMulti-tenant infrastructure,Developer cloud,IT automating ITSECURITYMicro-segmentationDMZ anywhereSecure end userAPP CONTINUITYDisaster recoveryMetro p