1、数据中心云化网络安全分析PublicPrivate HybridCommunityWhere? Deployment ModelsVirtual PrivateWhat? Essential Characteristics (NIST)Measured ServicesRapid ElasticityResourcePoolingSelf ServiceBroad AccessHow? Service ModelsVMVM OSFRAMEWORKAPPLICATIONIaaSPaaSSaaS什么是云中心? 单 服 务 器 单应 用 静 态 手工配置 单 服 务 器多 应 用 移 动 动态 配置
2、 单 服 务 器多租 户 弹 性 自 动扩 展HYPERVISORVDC-1 VDC-2CONSISTENCY(一致性 ): 策略 , 功能,安全,管理物理WORKLOAD虚拟化WORKLOAD云化WORKLOADNexus 1000V, VM-FEXVSG*, ASA 1000V*UCS for Virtualized WorkloadsNexus 7K/5K/3K/2KASA 5585, ASA SMUCS for Bare Metal* Virtual only, * AnnouncedSwitchingSecurityCompute数据中心 变 迁 历 程 :从 物理 传统 的数据中心
3、到云数据中心安全架构要求 逻辑 隔离 Logical separation 策略一致性 Policy CONSISTENCY(一致性 ) 认证 和接入控制 Authentication and access control 扩 展和性能 Scalability and performance 自 动 化管理 AUTOMATION(自 动 化 )Security Management Infrastructure SecurityServicesServicesUCSVirtualAccessStorageAccessServicesAggregationCore基础架构安全保护数据中心控制和数
4、据层面的安全。防止数据丢失,顺从性,失败保护流量隔离以及认证授权审计AD 可视化要求 日志,事件信息,集中认证 取证 异常行为检测 顺从性网络入侵检测和阻挡网络监控,分析,取证CSM ACS数据中心进出流量过滤虚拟防火墙,策略分离,应对服务器之间过滤需求特殊的防火墙服务,保护服务器群负载均衡,隐藏服务和应用。数据安全认证访问控制端口安全认证QOS虚拟防火墙防火墙规则的实时监控ACLs, Port Security, VN Tag, Netflow, ERSPAN, QoS, CoPP, DHCP snooping虚 拟 化数据中心安全控制框架云中心访问控制及网络隔离Isolation & Ac
5、cess-Control ModelIntra-TenantIntra-LayerIntra-ServerVM VMInter-VMIntra-ServerVM VMInter-VMIntra-LayerIntra-ServerVM VMInter-VMIntra-ServerVM VMInter-VMIntra APP Inter-LayerIntra-TenantIntra-LayerIntra-ServerVM VMInter-VMIntra-ServerVM VMInter-VMIntra-LayerIntra-ServerVM VMInter-VMIntra-ServerVM VMI
6、nter-VMIntra APP Inter-LayerIntra-LayerIntra-ServerVM VMInter-VMIntra-ServerVM VMInter-VMIntra-LayerIntra-ServerVM VMInter-VMIntra-ServerVM VMInter-VMIntra APP Inter-LayerInter-APPInter-TenantIntra-Cloud DCIntra-LayerIntra-ServerVM VMInter-VMIntra-ServerVM VMInter-VMIntra-LayerIntra-ServerVM VMInter
7、-VMIntra-ServerVM VMInter-VM Inter-LayerIntra-APPInter-APP物理平面化立体化架构网络 安全 计算VFW VRF VRF VRFVLANVN-LinkVMVDCVLAN VLAN VLANVM VM VM VM VM VMVDCVFW VFWVN-LinkVN-LinkVN-LinkVN-LinkVMDC逻辑 层次化结构资源大集中云中心隔离模型中小租户 :1. 每个租户一个 VLAN/一个 VRF。2. VLAN映射到 VRF。3. 不进行业务 /服务层区分。4. 独立 VDC专供此用户类型接入。核心 VDC汇聚VDC中小租户VMVMVla
8、n物理机VMVMVlanVRF VRFTenant Tenant无安全要求租户VMVMVlan物理机VMVMVlani-VRFi-VRFTenantG-VRF大企业租户 /私有业务VMVMVlan物理机VMVMVlanTenantVMVMVlanVMVMVlanWeb APP DB大企业租户 /私有业务 :1. 租户利用 Global VRF区分。2. 每个租户多个 Internal VRF。3. Internal VRF区分不同部门或者应用。4. 通过多 VLAN实现多级应用灵活 Zone部署。5. 独立 VDC专供此用户类型接入。G-VRF Global VRFi-VRF Internal
9、 VRF汇聚 VDCi-VRFi-VRFG-VRF汇聚 VDCNexus 7K云中心业务保护模式 如果受到保护,流量经过防火墙否则直接流向无保护的区域 Zone。 业务模型按照应用特点来考虑服务集成: 安全要求应用 FW Only /FW+IPS 保护模式 性能要求应用 高吞吐 /时延敏感无- 保护模式 业务模型可以按照任意形式组合服务 全功能服务 防火墙 /负载均衡 /应用加速 仅需防火墙 防火墙和 负载均衡服务 无保护,但负载均衡服务务 无保护用户访问受保护 无保护可选应用服务 - 负载均衡 LB, IPS, Edge FW etc可选应用服务 - 负载均衡LB, IPS, Edge FW
10、 etc直接访问模式A模式B模式C模式D共享防火墙虚拟防火墙模式EPOD大租 户 安全服 务 池核心 VDCVPCVPC汇聚VDC汇聚VDC共享安全服 务 池核心 VDC汇聚VDC汇聚VDC大企 业 租 户 /私有 业务混合云安全架构模型 -二层安全结构汇聚VDC汇聚VDC边界防火墙高并发连接高每秒新建连接DDOS攻击防护IPS威胁防御地址转换POD中小租 户POD私有 业务 /无安全要求Internet安全服 务 池 虚拟防火墙虚拟 VPN接入虚墙 IPS虚拟负载均衡虚拟链路加速虚拟流量分析虚墙独立管理虚墙资源划分软件 /硬件方案安全服 务 池出口路由器出口路由器 Internet 安全服务
11、 池InternetNexus7KNexus 7K汇聚 VDC云中心隔离模型 -防火墙核心 VDC汇 聚VDC中小租 户VM VMVlan物理机VM VMVlanVRF VRFTenant Tenant大企 业 租 户VM VMVlan物理机VM VMVlani-VRF i-VRFTenantG-VRF大企 业 租 户 /私有 业务VM VMVlan物理机VM VMVlani-VRF i-VRFTenantG-VRFVM VMVlanVM VMVlanWeb APP DBG-VRF Global VRFi-VRF Internal VRFShare FWVFW VFW VFW VFW汇聚 VDC
