云数据中心安全架构_第1页
云数据中心安全架构_第2页
云数据中心安全架构_第3页
云数据中心安全架构_第4页
云数据中心安全架构_第5页
已阅读5页,还剩20页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、云数据中心安全架构内容云数据中心安全战略云中心安全架构云中心安全虚拟服务点云数据中心安全战略PublicPrivateHybridCommunityWhere? Deployment ModelsVirtual PrivateWhat? Essential Characteristics (NIST)Measured ServicesRapid ElasticityResourcePoolingSelf ServiceBroad AccessHow? Service ModelsVMVMOSFRAMEWORKAPPLICATIONIaaSPaaSSaaS什么是云中心?单服务器单应用静态手工配置

2、单服务器多应用移动动态配置单服务器多租户弹性自动扩展HYPERVISORVDC-1VDC-2CONSISTENCY(一致性): 策略, 功能,安全,管理物理WORKLOAD虚拟化WORKLOAD云化WORKLOADNexus 1000V, VM-FEXVSG*, ASA 1000V*UCS for Virtualized WorkloadsNexus 7K/5K/3K/2KASA 5585, ASA SMUCS for Bare Metal * Virtual only, * AnnouncedSwitchingSecurityCompute数据中心变迁历程:从物理传统的数据中心到云数据中心安

3、全架构要求逻辑隔离Logical separation策略一致性Policy CONSISTENCY(一致性)认证和接入控制Authentication and access control扩展和性能Scalability and performance自动化管理AUTOMATION(自动化)云中心安全架构Security ManagementInfrastructure SecurityServicesServicesUCSVirtualAccessStorageAccessServicesAggregationCore基础架构安全保护数据中心控制和数据层面的安全。防止数据丢失,顺从性,失败

4、保护流量隔离以及认证授权审计AD可视化要求日志,事件信息,集中认证取证异常行为检测顺从性网络入侵检测和阻挡网络监控,分析,取证CSMACS数据中心进出流量过滤虚拟防火墙,策略分离,应对服务器之间过滤需求特殊的防火墙服务,保护服务器群负载均衡,隐藏服务和应用。数据安全认证访问控制端口安全认证QOS虚拟防火墙防火墙规则的实时监控ACLs, Port Security, VN Tag, Netflow, ERSPAN, QoS, CoPP, DHCP snooping虚拟化数据中心安全控制框架云中心访问控制及网络隔离Isolation & Access-Control ModelIntra-Tena

5、ntIntra-LayerIntra-ServerVMVMInter-VMIntra-ServerVMVMInter-VMIntra-LayerIntra-ServerVMVMInter-VMIntra-ServerVMVMInter-VMIntra APPInter-LayerIntra-TenantIntra-LayerIntra-ServerVMVMInter-VMIntra-ServerVMVMInter-VMIntra-LayerIntra-ServerVMVMInter-VMIntra-ServerVMVMInter-VMIntra APPInter-LayerIntra-Laye

6、rIntra-ServerVMVMInter-VMIntra-ServerVMVMInter-VMIntra-LayerIntra-ServerVMVMInter-VMIntra-ServerVMVMInter-VMIntra APPInter-LayerInter-APPInter-TenantIntra-Cloud DCIntra-LayerIntra-ServerVMVMInter-VMIntra-ServerVMVMInter-VMIntra-LayerIntra-ServerVMVMInter-VMIntra-ServerVMVMInter-VMInter-LayerIntra-AP

7、PInter-APP物理平面化立体化架构网络安全计算VFWVRFVRFVRFVLANVN-LinkVMVDCVLANVLANVLANVMVMVMVMVMVMVDCVFWVFWVN-LinkVN-LinkVN-LinkVN-LinkVMDC逻辑层次化结构资源大集中云中心隔离模型中小租户:每个租户一个VLAN/一个VRF。VLAN映射到VRF。不进行业务/服务层区分。独立VDC专供此用户类型接入。核心VDC汇聚VDC中小租户VMVMVlan物理机VMVMVlanVRFVRFTenantTenant无安全要求租户VMVMVlan物理机VMVMVlani-VRFi-VRFTenantG-VRF大企业租

8、户/私有业务VMVMVlan物理机VMVMVlanTenantVMVMVlanVMVMVlanWebAPPDB大企业租户/私有业务:租户利用Global VRF区分。每个租户多个Internal VRF。Internal VRF区分不同部门或者应用。通过多VLAN实现多级应用灵活Zone部署。独立VDC专供此用户类型接入。G-VRFGlobal VRFi-VRFInternal VRF汇聚VDCi-VRFi-VRFG-VRF汇聚VDCNexus 7K云中心业务保护模式 如果受到保护,流量经过防火墙否则直接流向无保护的区域Zone。业务模型按照应用特点来考虑服务集成:安全要求应用 FW Only

9、 /FW+IPS 保护模式性能要求应用 高吞吐/时延敏感无- 保护模式业务模型可以按照任意形式组合服务全功能服务 防火墙/负载均衡/应用加速仅需防火墙防火墙和 负载均衡服务无保护,但负载均衡服务务无保护用户访问受保护无保护可选应用服务- 负载均衡LB, IPS, Edge FW etc可选应用服务- 负载均衡LB, IPS, Edge FW etc直接访问模式A模式B模式C模式D共享防火墙虚拟防火墙模式EPOD大租户安全服务池核心VDCVPCVPC汇聚VDC汇聚VDC共享安全服务池核心VDC汇聚VDC汇聚VDC大企业租户/私有业务混合云安全架构模型-二层安全结构汇聚VDC汇聚VDC边界防火墙高

10、并发连接高每秒新建连接DDOS攻击防护IPS威胁防御地址转换POD中小租户POD私有业务/无安全要求Internet安全服务池 虚拟防火墙虚拟VPN接入虚墙IPS虚拟负载均衡虚拟链路加速虚拟流量分析虚墙独立管理虚墙资源划分软件/硬件方案安全服务池出口路由器出口路由器 Internet 安全服务池InternetNexus7KNexus 7K汇聚VDC云中心隔离模型-防火墙核心VDC汇聚VDC中小租户VMVMVlan物理机VMVMVlanVRFVRFTenantTenant大企业租户VMVMVlan物理机VMVMVlani-VRFi-VRFTenantG-VRF大企业租户/私有业务VMVMVla

11、n物理机VMVMVlani-VRFi-VRFTenantG-VRFVMVMVlanVMVMVlanWebAPPDBG-VRFGlobal VRFi-VRFInternal VRFShare FWVFWVFWVFWVFW汇聚VDC云中心防火墙的特点 多虚一技术多虚一,动态扩展防火墙处理能力,性能按需扩展。保护投资。7k-2Core-VDCVPCVPC7k-2Agg-VDC7k-1Core-VDC7k-1Agg-VDCscECscEC高扩展性。单点管理。群内所有防火墙全部Active。有群内负载均衡能力。群内防火墙失败,全群火墙帮助恢复会话。保证防火墙群内无单点失败/ 防火墙全冗余。可以和路由交换

12、多虚一结合实现全路径多虚一,无Spanning Tree困扰。scEC: span-cluster ECVPC: Virtual PortChannel 需求特点:防火墙集群(多虚一):ASAASA云中心防火墙的特点 一虚多技术一虚多,虚拟出多个防火墙,租户逻辑隔离,资源限定防止租户串扰。减少投资。虚墙独立管理/独立日志虚墙独立路由层面(地址可重叠)虚墙独立安全策略/NAT策略/应用层策略。防火墙资源限定,彻底保护租户不互相串扰。防火墙虚拟化需求特点:并发连接10万新建速率100K/秒虚墙-1性能MAC表10万在线主机数容量日志控制层面管理员安全策略配置NAT策略DPI策略数据层面NAT连接1

13、0万管理连接虚墙-2虚墙-3虚墙-250路由租户-2租户-3租户-2507k-2Core-VDCVPCVPC7k-2Agg-VDC17k-1Core-VDC7k-1Agg-VDC17k-2Agg-VDC27k-1Agg-VDC2VPN资源池N3KC29PODInternetISRTeleWorkerWAAS广域网加速公司分部热点 ssL IPSec IPSecVFW接入方案VPN资源池(VPN集群+VLAN映射)N7N3用户/N7C29用户用户接入容量10万VPN吞吐60GbpsVFW+VPNN7N5(POD用户)用接入容量1万(单板)4万(单框) 3Gbps(单板)12Gbps(单框)接入协

14、议及方式分支互联(IPsec)软硬件客户端远程连接(IPSEC/SSL/DTLS)无客户端远程连接(SSL)接入终端类型(PC/平板电脑/智能手机)windows/MacOS/LinuxApple IPAD/IphoneAndroidSymbianBlackberry云中心安全接入共享安全服务池大租户安全服务池云中心VPN特点 多虚一技术.1.2.3.4.31.32.33.34Cluster Master10.10.1.X124.118.24.50群集 IP 地址客户端要求与 124.118.24.50 建立连接虚拟群集以 124.118.24.33 响应客户端与 124.118.24.33

15、建立IPsec/SSL VPN 连接动态性能扩展并发VPN隧道数扩展,VPN加密解密吞吐扩展。动态无缝扩展新建VPN网关无缝集成到已有VPN网关中。动态负载均衡保证设备利用率合理,健康状态实时跟踪。动态接管提供高可用性 。保护投资/高兼容性 要求集群内设备型号允许混杂。VPN集群技术特点多虚一,动态扩展Cloud DC的VPN处理能力,性能按需扩展。保护投资。云中心VPN特点 -一虚多技术Vlan MappingVRFAVRFBVRFCVlan-AVlan-BVlan-COutside IFG-AG-BG-CInside VlanVPN GatewayTunnel ATunnel BTunne

16、l C租户内内部地址规划独立。租户VPN会话 与VLAN绑定。所有租户单公网IP接入。每租户有独立的定制界面。每租户有独立的认证服务器组。每租户有独立访问 控制. 设备支持租户数较多,租户数=VLAN数。性能要求低。免License,经济。VLAN镜像技术特点每租户独立管理。租户内内部地址规划独立。每租户有独立的公网IP接入。每租户有独立的定制界面。每租户有独立的认证服务器组。每租户有独立访问 控制. 租户数支持有限。性能要求相对较高。需要License。虚拟站点=技术特点VContext-AVirtual PortalVContext-BVContext-COutside IF=AOutsi

17、de IF=BOutside IF=CInside IF=AInside IF=AInside IF=AShare InterfaceTunnel ATunnel BTunnel C一虚多,虚拟出多个VPN 网关从而实现动态扩展,租户逻辑隔离,减少投资。云中心安全虚拟服务点SecurityAdminNetworkAdminPort GroupvMotion 在不同物理端口迁移虚拟机网络策略必须跟随vMotion2. 必须查看和应用本地交换的网络和安全策略3. 需要不间断维护来确保租户/业务隔离ServerAdmin服务器虚拟化潜在问题虚拟化和云需求推动数据中新需求传统数据中心虚拟数据中心FWW

18、AASWANOpt 服务于特有应用 组成:专用设备交换模块虚拟设备动态实施配置服务对VM移动透明可扩展适合大规模多租户操作虚拟服务点APPOSHypervisorVDC-1VDC-2ACE/SLB设备虚拟化资源限定可扩展性能可靠适合特定租户操作传统服务点Nexus 1000 V 软件交换机 VSM + VEMs = Nexus 1000 Virtual ChassisVSM: Virtual Supervisor ModuleVEM: Virtual Ethernet Module 每个VEM支持200+ vEth ports(虚拟网口) 每个N1K(VSM)支持64 VEMs (VEM通过L

19、2 或者 L3连接VSM)每个N1K(VSM)支持 2K vEths VSM运行NX-OSSwitching:L2 Switching, 802.1Q Tagging, VLAN Segmentation, Rate Limiting (TX), IGMP Snooping, QoS Marking (COS & DSCP), Class-based WFQSecurity:Policy Mobility, Private VLANs w/ local PVLAN EnforcementAccess Control Lists (L24 w/ Redirect), Port SecurityD

20、ynamic ARP inspection, IP Source Guard, DHCP SnoopingSuppress broadcast storm HypervisorHypervisorHypervisorVEM-NVEM-2L2 ModeL3 ModeVSM1VSM2Virtual ApplianceNexus1000V VEMVMVMVMVMLinecard-NSupervisor-1 (Active)Supervisor-2 (StandBy)Linecard-1Linecard-2Back Plane虚拟安全网关(VSG)基于内容, 虚拟感知, 多容器,工作分离Nexus 1

21、000VDistributed Virtual Switch分布式虚拟交换机 VMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMvPathVNMCLog/Audit日志/审计VSG(主用)安全隔离(VLAN agnostic)高效部署(secure multiple hosts)透明接入(topology agnostic)高可靠性(HA)动态策略配置(Dynamic policy-based provisioning)VM移动感知(policies follow vMotion)VSG(备用)VNMC: Virtual Network Management Center自动设计(XML API, security profiles)通过物理CPU数量来限制License(不限制Core的数量) 虚拟服务点方式的Cloud安全ASR9K区域1VLAN 1-1000区

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论