云数据中心安全架构_第1页
云数据中心安全架构_第2页
云数据中心安全架构_第3页
云数据中心安全架构_第4页
云数据中心安全架构_第5页
已阅读5页,还剩21页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、云数据中心安全架构云数据中心安全架构内容云数据中心安全战略云中心安全架构云中心安全虚拟服务点第2页,共25页幻灯片。内容云数据中心安全战略第2页,共25页幻灯片。云数据中心安全战略第3页,共25页幻灯片。云数据中心安全战略第3页,共25页幻灯片。PublicPrivateHybridCommunityWhere? Deployment ModelsVirtual PrivateWhat? Essential Characteristics (NIST)Measured ServicesRapid ElasticityResourcePoolingSelf ServiceBroad Access

2、How? Service ModelsVMVMOSFRAMEWORKAPPLICATIONIaaSPaaSSaaS什么是云中心?第4页,共25页幻灯片。PublicPrivateHybridCommunityWh单服务器单应用静态手工配置单服务器多应用移动动态配置单服务器多租户弹性自动扩展HYPERVISORVDC-1VDC-2CONSISTENCY(一致性): 策略, 功能,安全,管理物理WORKLOAD虚拟化WORKLOAD云化WORKLOADNexus 1000V, VM-FEXVSG*, ASA 1000V*UCS for Virtualized WorkloadsNexus 7K/5

3、K/3K/2KASA 5585, ASA SMUCS for Bare Metal * Virtual only, * AnnouncedSwitchingSecurityCompute数据中心变迁历程:从物理传统的数据中心到云数据中心第5页,共25页幻灯片。单服务器单应用单服务器多应用单服务器多租户HYPERVISO安全架构要求逻辑隔离Logical separation策略一致性Policy CONSISTENCY(一致性)认证和接入控制Authentication and access control扩展和性能Scalability and performance自动化管理AUTOMAT

4、ION(自动化)第6页,共25页幻灯片。安全架构要求逻辑隔离Logical separation第6云中心安全架构第7页,共25页幻灯片。云中心安全架构第7页,共25页幻灯片。Security ManagementInfrastructure SecurityServicesServicesUCSVirtualAccessStorageAccessServicesAggregationCore基础架构安全保护数据中心控制和数据层面的安全。防止数据丢失,顺从性,失败保护流量隔离以及认证授权审计AD可视化要求日志,事件信息,集中认证取证异常行为检测顺从性网络入侵检测和阻挡网络监控,分析,取证CSM

5、ACS数据中心进出流量过滤虚拟防火墙,策略分离,应对服务器之间过滤需求特殊的防火墙服务,保护服务器群负载均衡,隐藏服务和应用。数据安全认证访问控制端口安全认证QOS虚拟防火墙防火墙规则的实时监控ACLs, Port Security, VN Tag, Netflow, ERSPAN, QoS, CoPP, DHCP snooping虚拟化数据中心安全控制框架第8页,共25页幻灯片。Security ManagementInfrastruct云中心访问控制及网络隔离Isolation & Access-Control ModelIntra-TenantIntra-LayerIntra-Serve

6、rVMVMInter-VMIntra-ServerVMVMInter-VMIntra-LayerIntra-ServerVMVMInter-VMIntra-ServerVMVMInter-VMIntra APPInter-LayerIntra-TenantIntra-LayerIntra-ServerVMVMInter-VMIntra-ServerVMVMInter-VMIntra-LayerIntra-ServerVMVMInter-VMIntra-ServerVMVMInter-VMIntra APPInter-LayerIntra-LayerIntra-ServerVMVMInter-V

7、MIntra-ServerVMVMInter-VMIntra-LayerIntra-ServerVMVMInter-VMIntra-ServerVMVMInter-VMIntra APPInter-LayerInter-APPInter-TenantIntra-Cloud DCIntra-LayerIntra-ServerVMVMInter-VMIntra-ServerVMVMInter-VMIntra-LayerIntra-ServerVMVMInter-VMIntra-ServerVMVMInter-VMInter-LayerIntra-APPInter-APP物理平面化立体化架构网络安全

8、计算VFWVRFVRFVRFVLANVN-LinkVMVDCVLANVLANVLANVMVMVMVMVMVMVDCVFWVFWVN-LinkVN-LinkVN-LinkVN-LinkVMDC逻辑层次化结构资源大集中第9页,共25页幻灯片。云中心访问控制及网络隔离Isolation & Access云中心隔离模型中小租户:每个租户一个VLAN/一个VRF。VLAN映射到VRF。不进行业务/服务层区分。独立VDC专供此用户类型接入。核心VDC汇聚VDC中小租户VMVMVlan物理机VMVMVlanVRFVRFTenantTenant无安全要求租户VMVMVlan物理机VMVMVlani-VRFi-

9、VRFTenantG-VRF大企业租户/私有业务VMVMVlan物理机VMVMVlanTenantVMVMVlanVMVMVlanWebAPPDB大企业租户/私有业务:租户利用Global VRF区分。每个租户多个Internal VRF。Internal VRF区分不同部门或者应用。通过多VLAN实现多级应用灵活Zone部署。独立VDC专供此用户类型接入。G-VRFGlobal VRFi-VRFInternal VRF汇聚VDCi-VRFi-VRFG-VRF汇聚VDCNexus 7K第10页,共25页幻灯片。云中心隔离模型中小租户:核心VDC汇聚中小租户VMVMVla云中心业务保护模式 如果

10、受到保护,流量经过防火墙否则直接流向无保护的区域Zone。业务模型按照应用特点来考虑服务集成:安全要求应用 FW Only /FW+IPS 保护模式性能要求应用 高吞吐/时延敏感无- 保护模式业务模型可以按照任意形式组合服务全功能服务 防火墙/负载均衡/应用加速仅需防火墙防火墙和 负载均衡服务无保护,但负载均衡服务务无保护用户访问受保护无保护可选应用服务- 负载均衡LB, IPS, Edge FW etc可选应用服务- 负载均衡LB, IPS, Edge FW etc直接访问模式A模式B模式C模式D共享防火墙虚拟防火墙模式E第11页,共25页幻灯片。云中心业务保护模式 如果受到保护,流量经过防

11、火墙否则直接流向POD大租户安全服务池核心VDCVPCVPC汇聚VDC汇聚VDC共享安全服务池核心VDC汇聚VDC汇聚VDC大企业租户/私有业务混合云安全架构模型-二层安全结构汇聚VDC汇聚VDC边界防火墙高并发连接高每秒新建连接DDOS攻击防护IPS威胁防御地址转换POD中小租户POD私有业务/无安全要求Internet安全服务池 虚拟防火墙虚拟VPN接入虚墙IPS虚拟负载均衡虚拟链路加速虚拟流量分析虚墙独立管理虚墙资源划分软件/硬件方案安全服务池出口路由器出口路由器 Internet 安全服务池InternetNexus7KNexus 7K第12页,共25页幻灯片。POD大租户安全服务池核

12、心VDCVPCVPC汇聚汇聚VDC共汇聚VDC云中心隔离模型-防火墙核心VDC汇聚VDC中小租户VMVMVlan物理机VMVMVlanVRFVRFTenantTenant大企业租户VMVMVlan物理机VMVMVlani-VRFi-VRFTenantG-VRF大企业租户/私有业务VMVMVlan物理机VMVMVlani-VRFi-VRFTenantG-VRFVMVMVlanVMVMVlanWebAPPDBG-VRFGlobal VRFi-VRFInternal VRFShare FWVFWVFWVFWVFW汇聚VDC第13页,共25页幻灯片。汇聚VDC云中心隔离模型-防火墙核心VDC汇聚中小租

13、户VMV云中心防火墙的特点 多虚一技术多虚一,动态扩展防火墙处理能力,性能按需扩展。保护投资。7k-2Core-VDCVPCVPC7k-2Agg-VDC7k-1Core-VDC7k-1Agg-VDCscECscEC高扩展性。单点管理。群内所有防火墙全部Active。有群内负载均衡能力。群内防火墙失败,全群火墙帮助恢复会话。保证防火墙群内无单点失败/ 防火墙全冗余。可以和路由交换多虚一结合实现全路径多虚一,无Spanning Tree困扰。scEC: span-cluster ECVPC: Virtual PortChannel 需求特点:防火墙集群(多虚一):ASAASA第14页,共25页幻灯

14、片。云中心防火墙的特点 多虚一技术7k-2VPCVPC7k云中心防火墙的特点 一虚多技术一虚多,虚拟出多个防火墙,租户逻辑隔离,资源限定防止租户串扰。减少投资。虚墙独立管理/独立日志虚墙独立路由层面(地址可重叠)虚墙独立安全策略/NAT策略/应用层策略。防火墙资源限定,彻底保护租户不互相串扰。防火墙虚拟化需求特点:并发连接10万新建速率100K/秒虚墙-1性能MAC表10万在线主机数容量日志控制层面管理员安全策略配置NAT策略DPI策略数据层面NAT连接10万管理连接虚墙-2虚墙-3虚墙-250路由租户-2租户-3租户-250第15页,共25页幻灯片。云中心防火墙的特点 一虚多技术一虚多,虚拟

15、出多个防火墙,租7k-2Core-VDCVPCVPC7k-2Agg-VDC17k-1Core-VDC7k-1Agg-VDC17k-2Agg-VDC27k-1Agg-VDC2VPN资源池N3KC29PODInternetISRTeleWorkerWAAS广域网加速公司分部热点 ssL IPSec IPSecVFW接入方案VPN资源池(VPN集群+VLAN映射)N7N3用户/N7C29用户用户接入容量10万VPN吞吐60GbpsVFW+VPNN7N5(POD用户)用接入容量1万(单板)4万(单框) 3Gbps(单板)12Gbps(单框)接入协议及方式分支互联(IPsec)软硬件客户端远程连接(IP

16、SEC/SSL/DTLS)无客户端远程连接(SSL)接入终端类型(PC/平板电脑/智能手机)windows/MacOS/LinuxApple IPAD/IphoneAndroidSymbianBlackberry云中心安全接入共享安全服务池大租户安全服务池第16页,共25页幻灯片。7k-2VPCVPC7k-27k-17k-17k-27k-1云中心VPN特点 多虚一技术.1.2.3.4.31.32.33.34Cluster Master10.10.1.X124.118.24.50群集 IP 地址客户端要求与 124.118.24.50 建立连接虚拟群集以 124.118.24.33 响应客户端与

17、 124.118.24.33 建立IPsec/SSL VPN 连接动态性能扩展并发VPN隧道数扩展,VPN加密解密吞吐扩展。动态无缝扩展新建VPN网关无缝集成到已有VPN网关中。动态负载均衡保证设备利用率合理,健康状态实时跟踪。动态接管提供高可用性 。保护投资/高兼容性 要求集群内设备型号允许混杂。VPN集群技术特点多虚一,动态扩展Cloud DC的VPN处理能力,性能按需扩展。保护投资。第17页,共25页幻灯片。云中心VPN特点 多虚一技术.1.2.3.4.31.32.云中心VPN特点 -一虚多技术Vlan MappingVRFAVRFBVRFCVlan-AVlan-BVlan-COutsi

18、de IFG-AG-BG-CInside VlanVPN GatewayTunnel ATunnel BTunnel C租户内内部地址规划独立。租户VPN会话 与VLAN绑定。所有租户单公网IP接入。每租户有独立的定制界面。每租户有独立的认证服务器组。每租户有独立访问 控制. 设备支持租户数较多,租户数=VLAN数。性能要求低。免License,经济。VLAN镜像技术特点每租户独立管理。租户内内部地址规划独立。每租户有独立的公网IP接入。每租户有独立的定制界面。每租户有独立的认证服务器组。每租户有独立访问 控制. 租户数支持有限。性能要求相对较高。需要License。虚拟站点=技术特点VCon

19、text-AVirtual PortalVContext-BVContext-COutside IF=AOutside IF=BOutside IF=CInside IF=AInside IF=AInside IF=AShare InterfaceTunnel ATunnel BTunnel C一虚多,虚拟出多个VPN 网关从而实现动态扩展,租户逻辑隔离,减少投资。第18页,共25页幻灯片。云中心VPN特点 -一虚多技术Vlan MappingVRF云中心安全虚拟服务点第19页,共25页幻灯片。云中心安全虚拟服务点第19页,共25页幻灯片。SecurityAdminNetworkAdminPo

20、rt GroupvMotion 在不同物理端口迁移虚拟机网络策略必须跟随vMotion2. 必须查看和应用本地交换的网络和安全策略3. 需要不间断维护来确保租户/业务隔离ServerAdmin服务器虚拟化潜在问题第20页,共25页幻灯片。SecurityNetworkPort GroupvMot虚拟化和云需求推动数据中新需求传统数据中心虚拟数据中心FWWAASWANOpt 服务于特有应用 组成:专用设备交换模块虚拟设备动态实施配置服务对VM移动透明可扩展适合大规模多租户操作虚拟服务点APPOSHypervisorVDC-1VDC-2ACE/SLB设备虚拟化资源限定可扩展性能可靠适合特定租户操作

21、传统服务点第21页,共25页幻灯片。虚拟化和云需求推动数据中新需求传统数据中心虚拟数据中心FWWNexus 1000 V 软件交换机 VSM + VEMs = Nexus 1000 Virtual ChassisVSM: Virtual Supervisor ModuleVEM: Virtual Ethernet Module 每个VEM支持200+ vEth ports(虚拟网口) 每个N1K(VSM)支持64 VEMs (VEM通过L2 或者 L3连接VSM)每个N1K(VSM)支持 2K vEths VSM运行NX-OSSwitching:L2 Switching, 802.1Q Tag

22、ging, VLAN Segmentation, Rate Limiting (TX), IGMP Snooping, QoS Marking (COS & DSCP), Class-based WFQSecurity:Policy Mobility, Private VLANs w/ local PVLAN EnforcementAccess Control Lists (L24 w/ Redirect), Port SecurityDynamic ARP inspection, IP Source Guard, DHCP SnoopingSuppress broadcast storm H

23、ypervisorHypervisorHypervisorVEM-NVEM-2L2 ModeL3 ModeVSM1VSM2Virtual ApplianceNexus1000V VEMVMVMVMVMLinecard-NSupervisor-1 (Active)Supervisor-2 (StandBy)Linecard-1Linecard-2Back Plane第22页,共25页幻灯片。Nexus 1000 V 软件交换机 VSM + VEMs虚拟安全网关(VSG)基于内容, 虚拟感知, 多容器,工作分离Nexus 1000VDistributed Virtual Switch分布式虚拟交换

24、机 VMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMvPathVNMCLog/Audit日志/审计VSG(主用)安全隔离(VLAN agnostic)高效部署(secure multiple hosts)透明接入(topology agnostic)高可靠性(HA)动态策略配置(Dynamic policy-based provisioning)VM移动感知(policies follow vMotion)VSG(备用)VNMC: Virtual Network Management Center自动设计(XML API, security profiles)通过物理CPU数量来限制License(不限制Core的数量)第23页,共25页幻灯片。虚拟安全网关(VSG)基于内容, 虚拟感知, 多容器,工作 虚拟服务点方式的Cloud安全ASR9K区

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论