云数据中心安全方案

1、云数据中心安全方案隔离威胁防御可视化建立边界 网络、计算、虚拟化设定策略 功能、设备、组织访问控制 网络、资源、应用阻止数据中心内部外部攻击，加固安全域和边界应对各类主机应用漏洞带来的网络侵入控制病毒及恶意软件的传播了解安全保护主体了解主体网络行为生成合规性报告建立取证分析能力云安全数据中心建设三大重点私有云数据中心完整安全解决方案业务3业务2业务1ASA虚墙Endpoints vm vm vm vm vm vm vm vm vmNetflow vm vm vm下一代入侵检测ASA v流量分析服务器Lancope StealWatchOrchestration(Cloud)APICTalosN

2、GIPSv威胁防御灵活隔离传统Vlan网络架构核心问题VLAN 1VLAN 2VLAN 3传统Vlan网络架构核心问题难以实现云计算的资源池和多云扩展难以实现云计算所需的“可扩展二层环境”环路、不稳定、“脑裂”、横向扩展性差、无负载、广播风暴、网关问题4096 Vlan数限制云环境中虚机漂移受限于三层阻隔VxLAN NG Fabric形成动态可横向扩展的资源融合架构VxLAN网络架构优势实现云计算资源池所需的按需弹性扩展通过MAC-In-UDP方式实现云计算所需的“可扩展二层环境”没有二层广播、组播和单播洪泛等问题16M VxLAN数目Anycast Gateway: 网关“无处不在”Up t

3、o 200 subinterfacesVLANs with 802.1qCisco ASAv + Hyper-V10 “physical” interfaces (vNICs) per Cisco ASAv instanceHypervisor Microsoft Hyper-VVMVMVMVMVMVMVMVMVMVMVMVMVirtual Switch(VxLAN Enabled)Cisco ASAv (Active)Cisco ASAv (Standby)ASAv部署方法GatewayCisco防火墙Segment- 1Segment- 4VTEPVTEPhost2host3Virtual

4、 HostSegment- 2VxLAN 20001Segment- 3VxLAN 2000通过与vSwitch构建VTEP Pair, 实现防火墙对VxLAN流量的直接控制, 不管VxLAN Anywhere.透明墙部署能力每个Bridge-Group支持4个zone最大 bridge-group 可以到250个支持NAT满足Nondisruptive Payment Card Industry (PCI) compliance主机间传统2层边界允许 vNIC, VLAN, VxLAN interfaceshost4host5Virtual Hosthost6host7Virtual Hos

5、tV200V100防火墙市场占有率第一，超过全部市场的三成全球防火墙安全市场领导地位Cisco ASAv 9.5 防火墙功能与管理功能列表Cisco ASA Feature SetCisco ASAv基本全部ASA功能集10 vNIC interfaces，VLAN tagging全功能 Cisco ASA 平台功能特性（虚墙、集群暂时除外）SDN (Cisco APIC) 与传统管理工具 (Cisco ASDM and Cisco Security Manager) 动态路由协议支持Open Shortest Path First (OSPF), Enhanced Interior Gateway Routing Protocol (EIGRP), and Border Gateway Protocol (BGP)，ISISIPv6 ALG支持, 地址转换功能(NAT) 66, 46, and 64REST API ，可编程配置与监控接口Cisco TrustSec Policy Enforcement Point (PEP) with security group tag (SGT)-based access contro