云计算网络安全.pptx
云数据中心安全战略第1页/共25页PublicPrivateHybridCommunityWhere?Deployment ModelsVirtual PrivateWhat?Essential Characteristics(NIST)Measured ServicesRapid ElasticityResourcePoolingSelf ServiceBroad AccessHow?Service ModelsVMVMOSFRAMEWORKAPPLICATIONIaaSPaaSSaaS第2页/共25页单服务器单应用静态手工配置单服务器多应用移动动态配置单服务器多租户弹性自动扩展HYPERVISORVDC-1VDC-2CONSISTENCY(一致性):策略,功能,安全,管理物理WORKLOAD虚拟化WORKLOAD云化WORKLOADNexus 1000V,VM-FEXVSG*,ASA 1000V*UCS for Virtualized WorkloadsNexus 7K/5K/3K/2KASA 5585,ASA SMUCS for Bare Metal *Virtual only,*AnnouncedSwitchingSecurityCompute第3页/共25页安全架构要求安全架构要求逻辑隔离Logical separation策略一致性Policy CONSISTENCY(一致性)认证和接入控制Authentication and access control扩展和性能Scalability and performance自动化管理AUTOMATION(自动化)第4页/共25页云中心安全架构第5页/共25页Security ManagementInfrastructure SecurityServicesServicesUCSVirtualAccessStorageAccessServicesAggregationCore基础架构安全保护数据中心控制和数据层面的安全。防止数据丢失,顺从性,失败保护流量隔离以及认证授权审计AD可视化要求日志,事件信息,集中认证取证异常行为检测顺从性网络入侵检测和阻挡网络监控,分析,取证CSM ACS数据中心进出流量过滤虚拟防火墙,策略分离,应对服务器之间过滤需求特殊的防火墙服务,保护服务器群负载均衡,隐藏服务和应用。数据安全认证访问控制端口安全认证QOS虚拟防火墙防火墙规则的实时监控ACLs,Port Security,VN Tag,Netflow,ERSPAN,QoS,CoPP,DHCP snooping第6页/共25页Isolation&Access-Control ModelIntra-TenantIntra-LayerIntra-ServerVMVMInter-VMIntra-ServerVMVMInter-VMIntra-LayerIntra-ServerVMVMInter-VMIntra-ServerVMVMInter-VMIntra APPInter-LayerIntra-TenantIntra-LayerIntra-ServerVMVMInter-VMIntra-ServerVMVMInter-VMIntra-LayerIntra-ServerVMVMInter-VMIntra-ServerVMVMInter-VMIntra APPInter-LayerIntra-LayerIntra-ServerVMVMInter-VMIntra-ServerVMVMInter-VMIntra-LayerIntra-ServerVMVMInter-VMIntra-ServerVMVMInter-VMIntra APPInter-LayerInter-APPInter-TenantIntra-Cloud DCIntra-LayerIntra-ServerVMVMInter-VMIntra-ServerVMVMInter-VMIntra-LayerIntra-ServerVMVMInter-VMIntra-ServerVMVMInter-VMInter-LayerIntra-APPInter-APP物理平面化立体化架构网络安全计算VFWVRFVRFVRFVLANVN-LinkVMVDCVLANVLANVLANVMVMVMVMVMVMVDCVFWVFWVN-LinkVN-LinkVN-LinkVN-LinkVMDC逻辑层次化结构资源大集中第7页/共25页云中心隔离模型云中心隔离模型中小租户中小租户:1.每个租户一个VLAN/一个VRF。2.VLAN映射到VRF。3.不进行业务/服务层区分。4.独立VDC专供此用户类型接入。核心VDC汇聚VDC中小租户VMVMVlan物理机VMVMVlanVRFVRFTenantTenant无安全要求租户VMVMVlan物理机VMVMVlani-VRFi-VRFTenantG-VRF大企业租户/私有业务VMVMVlan物理机VMVMVlanTenantVMVMVlanVMVMVlanWebAPPDB大企业租户大企业租户/私有业务私有业务:1.租户利用Global VRF区分。2.每个租户多个Internal VRF。3.Internal VRF区分不同部门或者应用。4.通过多VLAN实现多级应用灵活Zone部署。5.独立VDC专供此用户类型接入。G-VRFGlobal VRFi-VRFInternal VRF汇聚VDCi-VRFi-VRFG-VRF汇聚VDCNexus 7K第8页/共25页 如果受到保护,流量经过防火墙否则直接流向无保护的区域Zone。业务模型按照应用特点来考虑服务集成:安全要求应用 FW Only/FW+IPS 保护模式性能要求应用 高吞吐/时延敏感无-保护模式业务模型可以按照任意形式组合服务全功能服务 防火墙/负载均衡/应用加速仅需防火墙防火墙和 负载均衡服务无保护,但负载均衡服务务无保护用户访问受保护无保护可选应用服务-负载均衡LB,IPS,Edge FW etc可选应用服务-负载均衡LB,IPS,Edge FW etc直接访问模式A模式B模式C模式D共享防火墙虚拟防火墙模式E第9页/共25页POD大租户安全服务池核心VDCVPCVPC汇聚VDC汇聚VDC共享安全服务池核心VDC汇聚VDC汇聚VDC大企业租户/私有业务混合云安全架构模型-二层安全结构汇聚VDC汇聚VDC边界防火墙高并发连接高每秒新建连接DDOS攻击防护IPS威胁防御地址转换POD中小租户POD私有业务/无安全要求Internet安全服务池 虚拟防火墙虚拟VPN接入虚墙IPS虚拟负载均衡虚拟链路加速虚拟流量分析虚墙独立管理虚墙资源划分软件/硬件方案安全服务池出口路由器出口路由器 Internet 安全服务池InternetNexus7KNexus 7K第10页/共25页汇聚VDC云中心隔离模型-防火墙核心VDC汇聚VDC中小租户VMVMVlan物理机VMVMVlanVRFVRFTenantTenant大企业租户VMVMVlan物理机VMVMVlani-VRFi-VRFTenantG-VRF大企业租户/私有业务VMVMVlan物理机VMVMVlani-VRFi-VRFTenantG-VRFVMVMVlanVMVMVlanWebAPPDBG-VRFGlobal VRFi-VRFInternal VRFShare FWVFWVFWVFWVFW汇聚VDC第11页/共25页 多虚一技术多虚一技术多虚一,动态扩展防火墙处理能力,性能按需扩展。保护投资。7k-2Core-VDCVPCVPC7k-2Agg-VDC7k-1Core-VDC7k-1Agg-VDCscECscEC高扩展性。单点管理。群内所有防火墙全部Active。有群内负载均衡能力。群内防火墙失败,全群火墙帮助恢复会话。保证防火墙群内无单点失败/防火墙全冗余。可以和路由交换多虚一结合实现全路径多虚一,无Spanning Tree困扰。scEC:span-cluster ECVPC:Virtual PortChannel 需求特点:防火墙集群(多虚一):ASAASA第12页/共25页一虚多技术一虚多技术一虚多,虚拟出多个防火墙,租户逻辑隔离,资源限定防止租户串扰。减少投资。虚墙独立管理/独立日志虚墙独立路由层面(地址可重叠)虚墙独立安全策略/NAT策略/应用层策略。防火墙资源限定,彻底保护租户不互相串扰。防火墙虚拟化需求特点:并发连接10万新建速率100K/秒虚墙-1性能MAC表10万在线主机数容量日志控制层面管理员安全策略配置NAT策略DPI策略数据层面NAT连接10万管理连接虚墙-2虚墙-3虚墙-250路由租户-2租户-3租户-250第13页/共25页7k-2Core-VDCVPCVPC7k-2Agg-VDC17k-1Core-VDC7k-1Agg-VDC17k-2Agg-VDC27k-1Agg-VDC2VPN资源池N3KC29PODInternetISRTeleWorkerWAAS广域网加速公司分部热点 ssL ssL IPSec IPSec IPSec IPSecVFW接入方案VPNVPN资源池资源池(VPN(VPN集群集群+VLAN+VLAN映射映射)N7N3用户/N7C29用户用户接入容量10万VPN吞吐60GbpsVFW+VPNVFW+VPNN7N5(POD用户)用接入容量1万(单板)4万(单框)3Gbps(单板)12Gbps(单框)接入协议及方式分支互联(IPsecIPsec)软硬件客户端远程连接(IPSEC/SSL/DTLSIPSEC/SSL/DTLS)无客户端远程连接(SSLSSL)接入终端类型(PC/PC/平板电脑平板电脑/智能手机智能手机)windows/MacOS/LinuxApple IPAD/IphoneAndroidSymbianBlackberry共享安全服务池大租户安全服务池第14页/共25页多虚一技术多虚一技术.1.1.2.2.3.3.4.4.31.31.32.32.33.33.34.34Cluster MasterCluster Master10.10.1.X124.118.24.50群集 IP 地址客户端要求与 124.118.24.50 建立连接虚拟群集以 124.118.24.33 响应客户端与 124.118.24.33 建立IPsec/SSL VPN 连接动态性能扩展并发VPN隧道数扩展,VPN加密解密吞吐扩展。动态无缝扩展新建VPN网关无缝集成到已有VPN网关中。动态负载均衡保证设备利用率合理,健康状态实时跟踪。动态接管提供高可用性。保护投资/高兼容性 要求集群内设备型号允许混杂。VPN集群技术特点多虚一,动态扩展Cloud DC的VPN处理能力,性能按需扩展。保护投资。第15页/共25页-一虚多技术一虚多技术Vlan MappingVRFAVRFBVRFCVlan-AVlan-BVlan-COutside IFG-AG-BG-CInside VlanVPN GatewayTunnel ATunnel BTunnel C1.租户内内部地址规划独立。2.租户VPN会话 与VLAN绑定。3.所有租户单公网IP接入。4.每租户有独立的定制界面。5.每租户有独立的认证服务器组。6.每租户有独立访问 控制.7.设备支持租户数较多,租户数=VLAN数。8.性能要求低。9.免License,经济。VLAN镜像技术特点1.每租户独立管理。2.租户内内部地址规划独立。3.每租户有独立的公网IP接入。4.每租户有独立的定制界面。5.每租户有独立的认证服务器组。6.每租户有独立访问 控制.7.租户数支持有限。8.性能要求相对较高。9.需要License。虚拟站点=技术特点VContext-AVirtual PortalVContext-BVContext-COutside IF=AOutside IF=BOutside IF=CInside IF=AInside IF=AInside IF=AShare InterfaceTunnel ATunnel BTunnel C一虚多,虚拟出多个VPN 网关从而实现动态扩展,租户逻辑隔离,减少投资。第16页/共25页云中心安全虚拟服务点第17页/共25页SecurityAdminNetworkAdminPort Group1.vMotion 在不同物理端口迁移虚拟机网络策略必须跟随vMotion2.必须查看和应用本地交换的网络和安全策略3.需要不间断维护来确保租户/业务隔离ServerAdmin第18页/共25页传统数据中心虚拟数据中心FWFWWAASWAASWANWANOptOpt 服务于特有应用 组成:专用设备交换模块虚拟设备动态实施配置服务对VM移动透明可扩展适合大规模多租户操作虚拟服务点APPOSHypervisorHypervisorVDC-1VDC-1VDC-2VDC-2ACE/ACE/SLBSLB设备虚拟化资源限定可扩展性能可靠适合特定租户操作传统服务点第19页/共25页 VSM+VEMs=Nexus 1000 Virtual ChassisVSM:Virtual Supervisor ModuleVEM:Virtual Ethernet Module 每个VEM支持200+vEth ports(虚拟网口)每个N1K(VSM)支持64 VEMs(VEM通过L2 或者 L3连接VSM)每个N1K(VSM)支持 2K vEths VSM运行NX-OSSwitching:L2 Switching,802.1Q Tagging,VLAN Segmentation,Rate Limiting(TX),IGMP Snooping,QoS Marking(COS&DSCP),Class-based WFQSecurity:Policy Mobility,Private VLANs w/local PVLAN EnforcementAccess Control Lists(L24 w/Redirect),Port SecurityDynamic ARP inspection,IP Source Guard,DHCP SnoopingSuppress broadcast storm HypervisorHypervisorHypervisorVEM-NVEM-2L2 ModeL3 ModeVSM1VSM2Virtual ApplianceNexus1000V VEMVMVMVMVMLinecard-NSupervisor-1(Active)Supervisor-2(StandBy)Linecard-1Linecard-2Back Plane第20页/共25页基于内容基于内容,虚拟感知虚拟感知,多容器,工作分离多容器,工作分离Nexus 1000VDistributed Virtual Switch分布式虚拟交换机 VMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMvPathVNMCLog/Audit日志/审计VSG(主用)安全隔离(VLAN agnostic)高效部署(secure multiple hosts)透明接入(topology agnostic)高可靠性(HA)动态策略配置(Dynamic policy-based provisioning)VM移动感知(policies follow vMotion)VSG(备用)VNMC:Virtual Network Management Center自动设计(XML API,security profiles)通过物理CPU数量来限制License(不限制Core的数量)第21页/共25页 虚拟服务点方式的虚拟服务点方式的CloudCloud安全安全ASR9KASR9K区域1VLAN 1-1000区域2VLAN 1001-2000区域3VLAN 2001-3000应用系统2VLAN 3VLAN 3Nexus1000VVLAN 1003VLAN 1003Nexus1000VVLAN 2003VLAN 2003Nexus1000VLayer2N7/5/2K应用系统1VLAN 2VLAN 2Nexus1000VVLAN 1002VLAN 1002Nexus1000VVLAN 2002VLAN 2002Nexus1000V应用系统VLAN 1VLAN 1Nexus1000VVLAN 1001VLAN 1001Nexus1000VVLAN 2001VLAN 2001Nexus1000V虚拟桌面业务系统1/租户1业务系统2/租户2APPOSDBOSWEBOSvPathVSGVRF-LN7K(VDC)N7K(VDC)业务系统3/租户3全局VRF/VDCVRF-LASRASRVRF-LvACEvWAASASA1000VVSN虚拟服务点VSGvPathVirtual Service Node虚拟服务点虚拟服务点vACEvWAASASA1000VVSN虚拟服务点VSGVRF-LvPathVSGvPathvPathvPathvPathvPath出口Internet出口防火墙1.按需生成服务点,方便流程化管理。2.透明物理拓扑部署。3.License按照CPU数收取。4.按照实际性能需求可自行扩充CPU和内存。5.计算资源可以重复利用。6.方便迁移。第22页/共25页Virtual ApplianceVSM VEM-1vPathVEM-2vPathHypervisorHypervisorVSGASA1000VVNMC单管理接口管理思科虚拟服务设备通过SDK实现附加业务灵活性常见的用户体验和操作流程通过XML API集成第三方流程管理工具,易于操作管理orchestration tools属于思科云管理组件生态系统第23页/共25页第24页/共25页感谢您的观看。第25页/共25页