网络虚拟化于数据中心使用情境分享

© 2015 VMware Inc. All rights reserved. 网络络虚拟化于数据中心的使用情境分享 Agenda §快速回顾NSX Micro-Segmentation技术，以及客户采用的效益 §Micro-Segmentation与实体网络安全防护技术的比较 §Micro-Segmentation的实际应用案例 Micro-Segmentation的核心特色，以及对客户提供的效益 于 vSphere Kernel 内直接提供防火墙墙功能，每个VM前都有防火墙墙 透过过NSX Service Composer技术术，防火墙设墙设 定可完全与网络络配置脱钩钩，而与 客户实际业务户实际业务 达成整合 达成安全设设定自动动化 传统实体防护架构：必须集中至边界实体防火墙进行防护 Internet Hypervisor Physical Host VMVM vSwitch Hypervisor Physical Host vSwitch VM VM Perimeter Firewalls 微切分安全防护技术：封包检查直接分散到每一台vSphere Host Kernel内运作，于每台虚拟机前直接提供防护 Internet Hypervisor Physical Host VMVM VM vSwitch Hypervisor Physical Host vSwitch VM VM VM Security Policy Perimeter Firewalls VM Cloud Management Platform 透过NSX Micro-Segmentaion分布式防火墙，管理者可以非常容易地做 到同网段安全防护，避免黑客的跳板攻击 App VLAN DMZ VLAN Services VLAN DB VLAN Perimeter firewall Inside firewall Finance VMVM Finance VMVM Finance VMVM VM VM HR VM VM HR VM VM HR IT VMVM IT VMVM IT VMVM AD VMVM NTP VM DHCP VM DNS VM CERT 传统防火墙：防护规则必须采用网络IP或network地址，但安全防护 要求其实与网络无关 业务系统能够快速地进行部署，但安全政策的设定与组态需要花费极 大时间才能完成 部署虚拟机 部署网络 架构 确认安全政策与网络 地址的关联 手动进行安全防 护政策设定 系统部署 完成 系统进行 变更 定义安全 政策 需求新系统 VC containers - Clusters - datacenters - Portgroups - VXLAN VM containers - VM names - VM tags - VM attributes Identity -AD Groups IPv6 compliant - IPv6 address - IPv6 sets Services - Protocol - Ports - Custom IPv6 Services Action - Allow - Block - Reject NSX 分布式防火墙：除了IP外，可以用不同的虚拟环境属性、或直接 利用安全群组的方式，来设定防护机制 Policy rules construct: Rich dynamic container based rules apart from just IP addresses: Rule IDRule NameSourceDestinationServiceActionApplied To NSX Service Compose技术：藉由将业务与信息系统以自动化安全群 组建立关联，可直接指定对应此业务/信息系统的安全防护政策，与网 络完全脱钩 WHAT you want to protect HOW you want to protect it Security Group： 哪些业务与系统需要被保护？ Security Policy： 针对此群组，要提供什 么的安全保护机制？ ²所有名称以ERP为开 头的虚拟机 ²所有操作系统为Win 2003的虚机 ²所有设定卷标为人事系 统的虚机 ²登入用户为IT管理者的 Windows虚机 “Standard Web” Firewall allow inbound HTTP/S, allow outbound ANY IPS prevent DOS attacks, enforce acceptable use ²此安全群组的标准防火 墙防护规则？ ²此安全群组要采用哪种 防毒与系统保护方案？ ²此安全群组要采用哪种 入侵防御或应用程序网 络防护方案？ NSX架构内，管理者可以用多样性的动态条件来建立自动化安全群组 操作系统机器名称 虚拟机属性 安全标签 登入用户所属应用程序 藉由NSX Service Composer的安全群组功能，可非常容易达成信息业 务间的阻隔，且设定完全无需底层网络IP或网段组态 App VLAN DMZ VLAN Services VLAN DB VLAN Perimeter firewall Inside firewall Finance VMVM Finance VMVM Finance VMVM VM VM HR VM VM HR VM VM HR IT VMVM IT VMVM IT VMVM AD VMVM NTP VM DHCP VM DNS VM CERT 同时， NSX Service Composer可达成安全政策自动化 Finance-SystemHR-System VM VMVM VM Fin-Web-01Fin-Web-02HR-Web-01HR-Web-02 VMVM Fin-AP-01HR-AP-01 Fin-DB-01HR-DB-01 VMVM HR-Web-03 VM 同时， NSX Service Composer可达成安全政策自动化 Finance-SystemHR-System VM VMVM VM Fin-Web-01Fin-Web-02HR-Web-01HR-Web-02 VMVM Fin-AP-01HR-AP-01 Fin-DB-01HR-DB-01 VMVM HR-Web-03 VM Agenda §快速回顾NSX Micro-Segmentation技术，以及客户采用的效益 §Micro-Segmentation与实体网络安全防护技术的比较 §Micro-Segmentation的实际应用案例 NSX DFW与实体防火墙厂商并非竞争关系，两者定位不同 §主要应用于数据中心东西向保护：抵御 内部恶意用户或黑客由内部进行的跳板 攻击 §标准的L4 Stateful Firewall §可搭配防火墙厂商功能，提供东西向的 L7 安全防护 §主要需求在数据中心南北向保护：抵御 外部黑客攻击 §符合安全管理系统或法规要求，如PCI- DSS / ISO-27002 / 金融监理单位等 §强大的安全功能面：Next-Generation Firewall / Anti-Virus / Web-Inspection / URL-Filtering 实体防火墙的优势NSX分布式防火墙的优势 §NSX与最主要的网络安全厂商，包括Palo Alto Network / Check Point / Fortinet / Intel Security于东西向的防护，都已经整合完成 常被询问问题：南北向实体安全设备的功能如此强大，为何数据中心 还是会遭受入侵？ 数据中心前端由强大的网络络安全设备设备 进进行防护护 但黑客仍然时常由低重要性系统、 或是合法的系统或应用程序漏洞入 侵 黑客入侵后通常不会声张，仅会潜伏 于现有系统内，或默默进行环境侦 测 黑客可藉由内部感染或入侵重要系统 ，进而窃取重要机敏数据 10110100110 101001010000010 1001110010100 因为数据中心内部安全防护极弱 ，黑客容易于内部环境进一步感 染 东西向Traffic远大于南北向Traffic， 且一般未被完整监控 现行客户数据中心内，南北向防护的机制大部都已经建立： NSX Micro-Segmentation才是现行防护的重点 Data-Center VMVMVMVMVMVMVMVM VMVMVMVMVMVMVMVM VMVMVMVMVMVMVMVM VMVMVMVMVMVMVMVM VMVMVMVMVMVMVMVM VMVMVMVMVMVMVMVM 东东西向：数据中心内网络络流 Internet Branch Office 南北向：出入数据中心 Cisco Global Cloud Index 对于数 据中心网络流统计信息: §东西向网络流: 76.7% §南北向网络流: 16.7% §数据中心间之网络流: 6.6% 数据中心内之东西向安 全防护刻不容缓 Agenda §快速回顾NSX Micro-Segmentation技术，以及客户采用的效益 §Micro-Segmentation与实体网络安全防护技术的比较 §Micro-Segmentation的实际应用案例 案例一：VMware NSX 微切分技术于客户实际验证场景： 以DFW采用白名单方式提供保护，以弱点扫描工具进行验证 App VLAN DMZ VLAN Services VLAN DB VLAN Perimeter firewall Inside firewall Finance VMVM Finance VMVM Finance VMVM VM VM HR VM VM HR VM VM HR IT VMVM IT VMVM IT VMVM AD VMVM NTP VM DHCP VM DNS VM CERT 弱点扫描工具 案例一：VMware NSX 微切分技术于客户实际验证场景： 以DFW采用白名单方式提供保护，以弱点扫描工具进行验证 NSX 防护前NSX 防护后 案例二：政府实际客户案例 超过过五百台虚拟拟机跑在15台vSphere实实体主机上，主要虚机均为为Windows Servers，小部分为为Linux 外部资资安稽核单单位与内部资资安主管要求必须须达成业务间业务间 、以及服务务器间间的安全 区隔，目前使用Windows防火墙墙与人工管理方式，几乎难难以维维运 不允许许使用End-of-Support操作系统统 案例二：政府实际客户案例： 以集中管理、分散防护方式，达成信息业务间、及同网段机器间的阻隔 App VLAN DMZ VLAN Services VLAN DB VLAN Perimeter firewall Inside firewall Finance VMVM Finance VMVM Finance VMVM VM VM HR VM VM HR VM VM HR IT VMVM IT VMVM IT VMVM AD VMVM NTP VM DHCP VM DNS VM CERT 客户状况 安全政策禁止使用已经End-of-Support的操作系统 若有此类操作系统机器，完成升级前禁止连接至 Internet Unsupported OS Group 案例二：政府实际客户案例： 快速找出已经End-of-Support的操作系统，并禁止访问Internet 此客户导入 NSX 安全虚拟化后的效益 以NSX达成业务间业务间 与服务务器间间需求的安全管理机制 能够够于NSX集中进进行安全管理，大幅减低维维运Effort 最短期间间内锁锁定所有Windows Server 2003虚机并进进行升级级 案例三：高科技产业实际客户案例： NSX搭配Horizon提供完整桌面安全防护 原本采用Citrix XenApp，应应用程序维护维护 以及安全区隔非常复杂杂，多组