收藏
下载资源

数据中心云化网络安全分析

上传人:豆浆 文档编号:51653703 上传时间:2018-08-15 格式:PPTX 页数:19 大小:1.55MB
返回 下载 相关 举报
数据中心云化网络安全分析_第1页
第1页 / 共19页
数据中心云化网络安全分析_第2页
第2页 / 共19页
数据中心云化网络安全分析_第3页
第3页 / 共19页
数据中心云化网络安全分析_第4页
第4页 / 共19页
数据中心云化网络安全分析_第5页
第5页 / 共19页
点击查看更多>>
资源描述

《数据中心云化网络安全分析》由会员分享,可在线阅读,更多相关《数据中心云化网络安全分析(19页珍藏版)》请在金锄头文库上搜索。

1、数据中心云化网络安全分析PublicPrivateHybridCommunityWhere? Deployment ModelsVirtual PrivateWhat? Essential Characteristics (NIST)Measured ServicesRapid ElasticityResource PoolingSelf ServiceBroad AccessHow? Service ModelsVMVMOSFRAMEWORKAPPLICATIONIaaSPaaSSaaS什么是云中心? 单服务器单应用 静态 手工配置 单服务器多应用 移动 动态配置 单服务器多租户 弹性 自动

2、扩展HYPERVISOR VDC-1VDC-2CONSISTENCY(一致性): 策略, 功能,安全,管理物理 WORKLOAD虚拟化 WORKLOAD云化 WORKLOADNexus 1000V, VM-FEXVSG*, ASA 1000V*UCS for Virtualized WorkloadsNexus 7K/5K/3K/2KASA 5585, ASA SMUCS for Bare Metal* Virtual only, * AnnouncedSwitchingSecurityCompute数据中心变迁历程:从物理传统的数据中心到云数据中心安全架构要求 逻辑隔离Logical sep

3、aration 策略一致性Policy CONSISTENCY(一致性) 认证和接入控制Authentication and access control 扩展和性能Scalability and performance 自动化管理AUTOMATION(自动化)Security ManagementInfrastructure SecurityServicesServicesUCSVirtual AccessStorageAccessServicesAggregationCore基础架构安全保护数据中心 控制和数据层面的安全。防止数据丢失,顺从性,失 败保护流量隔离以及认证授权审计AD 可视化

4、要求 日志,事件信息,集中认 证 取证 异常行为检测 顺从性网络入侵检测和阻挡网络监控,分析,取证CSMACS数据中心进出流量过滤虚拟防火墙,策略分离,应 对服务器之间过滤需求特殊的防火墙服务,保护服 务器群负载均衡,隐藏服务和应 用。数据安全 认证 访问控制端口安全 认证 QOS虚拟防火墙防火墙规则的实时监控ACLs, Port Security, VN Tag, Netflow, ERSPAN, QoS, CoPP, DHCP snooping虚拟化数据中心安全控制框架云中心访问控制及网络隔离Isolation & Access-Control ModelIntra-TenantIntra

5、-LayerIntra-ServerVMVMInter-VMIntra-ServerVMVMInter-VMIntra-LayerIntra-ServerVMVMInter-VMIntra-ServerVMVMInter-VMIntra APPInter-LayerIntra-TenantIntra-LayerIntra-ServerVMVMInter-VMIntra-ServerVMVMInter-VMIntra-LayerIntra-ServerVMVMInter-VMIntra-ServerVMVMInter-VMIntra APPInter-LayerIntra-LayerIntra-

6、ServerVMVMInter-VMIntra-ServerVMVMInter-VMIntra-LayerIntra-ServerVMVMInter-VMIntra-ServerVMVMInter-VMIntra APPInter-LayerInter-APPInter-TenantIntra-Cloud DCIntra-LayerIntra-ServerVMVMInter-VMIntra-ServerVMVMInter-VMIntra-LayerIntra-ServerVMVMInter-VMIntra-ServerVMVMInter-VMInter-LayerIntra-APPInter-

7、APP物理平面化立体化架构网络安全计算VFWVRFVRFVRFVLANVN- LinkVMVDCVLANVLANVLANVMVMVMVMVMVMVDCVFWVFWVN- LinkVN- LinkVN- LinkVN- LinkVMDC逻辑层次化结构资源大集中云中心隔离模型中小租户:1.每个租户一个VLAN/一个VRF。 2.VLAN映射到VRF。 3.不进行业务/服务层区分。 4.独立VDC专供此用户类型接入。核心VDC汇聚 VDC中小租户V MV MVlan物理机V MV MVlanVRFVRFTenantTenant无安全要求租户V MV MVlan物理机V MV MVlani- VRFi

8、- VRFTenantG- VRF大企业租户/私有业务V MV MVlan物理机V MV MVlanTenantV MV MVlanV MV MVlanWebAPPDB大企业租户/私有业务:1.租户利用Global VRF区分。 2.每个租户多个Internal VRF。 3.Internal VRF区分不同部门或者应用。 4.通过多VLAN实现多级应用灵活Zone部署。 5.独立VDC专供此用户类型接入。G- VRFGlobal VRFi- VRFInternal VRF汇聚VDCi- VRFi- VRFG- VRF汇聚VDCNexus 7K云中心业务保护模式 如果受到保护,流量经过防火墙否

9、则直接 流向无保护的区域Zone。业务模型按照应用特点来考虑服务集成:安全要求应用 FW Only /FW+IPS 保护模式性能要求应用 高吞吐/时延敏感无 - 保护模式业务模型可以按照任意形式组合服务全功能服务 防火墙/负载均衡/应 用加速仅需防火墙防火墙和 负载均衡服务无保护,但负载均衡服务务无保护用户访问受保护无保护可选应用服务- 负载均 衡LB, IPS, Edge FW etc可选应用服务- 负载均衡 LB, IPS, Edge FW etc直接访问模 式 A模 式 B模 式 C模 式 D共享防火墙虚拟防火墙模 式 EPOD大租户安全服务池核心VDCVPCVPC汇 聚 VDC汇 聚

10、VDC共享安全服务池核心VDC汇 聚 VDC汇 聚 VDC大企业租户/ 私有业务混合云安全架构模型-二层安全结构汇 聚 VDC汇 聚 VDC边界防火墙 高并发连接 高每秒新建连接 DDOS攻击防护 IPS威胁防御 地址转换POD中小租户 POD私有业务 / 无安全要求Internet安全服务池 虚拟防火墙 虚拟VPN接入 虚墙IPS 虚拟负载均衡 虚拟链路加速 虚拟流量分析 虚墙独立管理 虚墙资源划分 软件/硬件方案安全服务池出口 路由器出口 路由器 Internet 安全服 务池InternetNexus7KNexus 7K汇聚VDC云中心隔离模型-防火墙核心VDC汇聚 VDC中小租户VMV

11、MVlan物理机VMVMVlanVRFVRFTenantTenant大企业租户VMVMVlan物理机VMVMVlani-VRFi-VRFTenantG-VRF大企业租户/私有业务VMVMVlan物理机VMVMVlani-VRFi-VRFTenantG-VRFVMVMVlanVMVMVlanWebAPPDBG-VRFGlobal VRFi-VRFInternal VRFShare FWVFWVFWVFWVFW汇聚VDC云中心防火墙的特点 多虚一技术多虚一,动态扩展防火墙处理 能力,性能按需扩展。保护投 资。7k-2Core-VDCVPCVPC7k-2Agg-VDC7k-1Core-VDC7k-1

12、Agg-VDCscECscEC高扩展性。 单点管理。 群内所有防火墙全部Active。 有群内负载均衡能力。 群内防火墙失败,全群火墙帮 助恢复会话。保证防火墙群内 无单点失败/ 防火墙全冗余。 可以和路由交换多虚一结合实 现全路径多虚一,无 Spanning Tree困扰。scEC: span-cluster ECVPC: Virtual PortChannel 需求特点:防火墙集群(多虚一) :ASAASA云中心防火墙的特点 一虚多技术一虚多,虚拟出多个防 火墙,租户逻辑隔离, 资源限定防止租户串 扰。减少投资。虚墙独立管理/独立日志 虚墙独立路由层面(地址 可重叠) 虚墙独立安全策略/N

13、AT策 略/应用层策略。 防火墙资源限定,彻底保 护租户不互相串扰。防火墙虚拟化需求特点:并发连接 10万新建速率 100K/秒虚墙-1性 能MAC表 10万在线主机 数容 量日志控制 层面管理员安全 策略配置NAT 策略DPI 策略数据 层面NAT连接 10万管理 连接虚墙-2虚墙-3虚墙- 250路 由租户-2租户-3租户- 2507k-2Core-VDCVPCVPC7k-2Agg-VDC17k-1Core-VDC7k-1Agg-VDC17k-2Agg-VDC27k-1Agg-VDC2VPN资源池N3KC29PODInternetISRTeleWorkerWAAS 广域网加速公司分部热点s

14、sLIPSecIPSecVFW接入方案VPN资源池(VPN集群+VLAN映射) N7N3用户/N7C29用户 用户接入容量10万 VPN吞吐60GbpsVFW+VPN N7N5(POD用户) 用接入容量1万(单板)4万(单框) 3Gbps(单板)12Gbps(单框)接入协议及方式分支互联(IPsec) 软硬件客户端远程连接 (IPSEC/SSL/DTLS) 无客户端远程连接(SSL)接入终端类型(PC/平板电脑/智能手机)windows/MacOS/Linux Apple IPAD/Iphone Android Symbian Blackberry云中心安全接入共享安全服务池大租户安全服务池云

15、中心VPN特点 多虚一技术.1.2.3.4.31.32.33.34Cluster Master10.10.1.X124.118.24.50群集 IP 地址客户端要求与 124.118.24.50 建立连接虚拟群集以 124.118.24.33 响应客户端与 124.118.24.33 建立IPsec/SSL VPN 连接动态性能扩展并发VPN隧道数扩展,VPN加密解密吞吐扩展。动态无缝扩展新建VPN网关无缝集成到已有VPN网关中。动态负载均衡保证设备利用率合理,健康状态实时跟踪。动态接管提供高可用性 。保护投资/高兼容性 要求集群内设备型号允许混杂。VPN集群技术特点多虚一,动态扩展Cloud

16、 DC的VPN处理能力,性能按需扩展。保护投资。云中心VPN特点 -一虚多技术Vlan MappingVRF AVRF BVRF CVlan-AVlan-BVlan-COutside IF G-AG-BG-CInside VlanVPN GatewayTunnel ATunnel BTunnel C1. 租户内内部地址规划独立。 2. 租户VPN会话 与VLAN绑定。 3. 所有租户单公网IP接入。 4. 每租户有独立的定制界面。 5. 每租户有独立的认证服务器组。 6. 每租户有独立访问 控制. 7. 设备支持租户数较多,租户数=VLAN数。 8. 性能要求低。 9. 免License,经济。VLAN镜像技术特点1. 每租户独立管理。 2. 租户内内部地址规划独立。 3. 每租户有独立的公网IP接入。 4. 每租户有独立的定制界面。 5. 每租户有独立的认证服务

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 行业资料 > 其它行业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号