云计算网络安全.pptx
《云计算网络安全.pptx》由会员分享,可在线阅读,更多相关《云计算网络安全.pptx(25页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、云数据中心安全战略第1页/共25页PublicPrivateHybridCommunityWhere?Deployment ModelsVirtual PrivateWhat?Essential Characteristics(NIST)Measured ServicesRapid ElasticityResourcePoolingSelf ServiceBroad AccessHow?Service ModelsVMVMOSFRAMEWORKAPPLICATIONIaaSPaaSSaaS第2页/共25页单服务器单应用静态手工配置单服务器多应用移动动态配置单服务器多租户弹性自动扩展HYPERV
2、ISORVDC-1VDC-2CONSISTENCY(一致性):策略,功能,安全,管理物理WORKLOAD虚拟化WORKLOAD云化WORKLOADNexus 1000V,VM-FEXVSG*,ASA 1000V*UCS for Virtualized WorkloadsNexus 7K/5K/3K/2KASA 5585,ASA SMUCS for Bare Metal *Virtual only,*AnnouncedSwitchingSecurityCompute第3页/共25页安全架构要求安全架构要求逻辑隔离Logical separation策略一致性Policy CONSISTENCY(
3、一致性)认证和接入控制Authentication and access control扩展和性能Scalability and performance自动化管理AUTOMATION(自动化)第4页/共25页云中心安全架构第5页/共25页Security ManagementInfrastructure SecurityServicesServicesUCSVirtualAccessStorageAccessServicesAggregationCore基础架构安全保护数据中心控制和数据层面的安全。防止数据丢失,顺从性,失败保护流量隔离以及认证授权审计AD可视化要求日志,事件信息,集中认证取证
4、异常行为检测顺从性网络入侵检测和阻挡网络监控,分析,取证CSM ACS数据中心进出流量过滤虚拟防火墙,策略分离,应对服务器之间过滤需求特殊的防火墙服务,保护服务器群负载均衡,隐藏服务和应用。数据安全认证访问控制端口安全认证QOS虚拟防火墙防火墙规则的实时监控ACLs,Port Security,VN Tag,Netflow,ERSPAN,QoS,CoPP,DHCP snooping第6页/共25页Isolation&Access-Control ModelIntra-TenantIntra-LayerIntra-ServerVMVMInter-VMIntra-ServerVMVMInter-V
5、MIntra-LayerIntra-ServerVMVMInter-VMIntra-ServerVMVMInter-VMIntra APPInter-LayerIntra-TenantIntra-LayerIntra-ServerVMVMInter-VMIntra-ServerVMVMInter-VMIntra-LayerIntra-ServerVMVMInter-VMIntra-ServerVMVMInter-VMIntra APPInter-LayerIntra-LayerIntra-ServerVMVMInter-VMIntra-ServerVMVMInter-VMIntra-Layer
6、Intra-ServerVMVMInter-VMIntra-ServerVMVMInter-VMIntra APPInter-LayerInter-APPInter-TenantIntra-Cloud DCIntra-LayerIntra-ServerVMVMInter-VMIntra-ServerVMVMInter-VMIntra-LayerIntra-ServerVMVMInter-VMIntra-ServerVMVMInter-VMInter-LayerIntra-APPInter-APP物理平面化立体化架构网络安全计算VFWVRFVRFVRFVLANVN-LinkVMVDCVLANVL
7、ANVLANVMVMVMVMVMVMVDCVFWVFWVN-LinkVN-LinkVN-LinkVN-LinkVMDC逻辑层次化结构资源大集中第7页/共25页云中心隔离模型云中心隔离模型中小租户中小租户:1.每个租户一个VLAN/一个VRF。2.VLAN映射到VRF。3.不进行业务/服务层区分。4.独立VDC专供此用户类型接入。核心VDC汇聚VDC中小租户VMVMVlan物理机VMVMVlanVRFVRFTenantTenant无安全要求租户VMVMVlan物理机VMVMVlani-VRFi-VRFTenantG-VRF大企业租户/私有业务VMVMVlan物理机VMVMVlanTenantVM
8、VMVlanVMVMVlanWebAPPDB大企业租户大企业租户/私有业务私有业务:1.租户利用Global VRF区分。2.每个租户多个Internal VRF。3.Internal VRF区分不同部门或者应用。4.通过多VLAN实现多级应用灵活Zone部署。5.独立VDC专供此用户类型接入。G-VRFGlobal VRFi-VRFInternal VRF汇聚VDCi-VRFi-VRFG-VRF汇聚VDCNexus 7K第8页/共25页 如果受到保护,流量经过防火墙否则直接流向无保护的区域Zone。业务模型按照应用特点来考虑服务集成:安全要求应用 FW Only/FW+IPS 保护模式性能要
9、求应用 高吞吐/时延敏感无-保护模式业务模型可以按照任意形式组合服务全功能服务 防火墙/负载均衡/应用加速仅需防火墙防火墙和 负载均衡服务无保护,但负载均衡服务务无保护用户访问受保护无保护可选应用服务-负载均衡LB,IPS,Edge FW etc可选应用服务-负载均衡LB,IPS,Edge FW etc直接访问模式A模式B模式C模式D共享防火墙虚拟防火墙模式E第9页/共25页POD大租户安全服务池核心VDCVPCVPC汇聚VDC汇聚VDC共享安全服务池核心VDC汇聚VDC汇聚VDC大企业租户/私有业务混合云安全架构模型-二层安全结构汇聚VDC汇聚VDC边界防火墙高并发连接高每秒新建连接DDOS
10、攻击防护IPS威胁防御地址转换POD中小租户POD私有业务/无安全要求Internet安全服务池 虚拟防火墙虚拟VPN接入虚墙IPS虚拟负载均衡虚拟链路加速虚拟流量分析虚墙独立管理虚墙资源划分软件/硬件方案安全服务池出口路由器出口路由器 Internet 安全服务池InternetNexus7KNexus 7K第10页/共25页汇聚VDC云中心隔离模型-防火墙核心VDC汇聚VDC中小租户VMVMVlan物理机VMVMVlanVRFVRFTenantTenant大企业租户VMVMVlan物理机VMVMVlani-VRFi-VRFTenantG-VRF大企业租户/私有业务VMVMVlan物理机VM
11、VMVlani-VRFi-VRFTenantG-VRFVMVMVlanVMVMVlanWebAPPDBG-VRFGlobal VRFi-VRFInternal VRFShare FWVFWVFWVFWVFW汇聚VDC第11页/共25页 多虚一技术多虚一技术多虚一,动态扩展防火墙处理能力,性能按需扩展。保护投资。7k-2Core-VDCVPCVPC7k-2Agg-VDC7k-1Core-VDC7k-1Agg-VDCscECscEC高扩展性。单点管理。群内所有防火墙全部Active。有群内负载均衡能力。群内防火墙失败,全群火墙帮助恢复会话。保证防火墙群内无单点失败/防火墙全冗余。可以和路由交换多虚
12、一结合实现全路径多虚一,无Spanning Tree困扰。scEC:span-cluster ECVPC:Virtual PortChannel 需求特点:防火墙集群(多虚一):ASAASA第12页/共25页一虚多技术一虚多技术一虚多,虚拟出多个防火墙,租户逻辑隔离,资源限定防止租户串扰。减少投资。虚墙独立管理/独立日志虚墙独立路由层面(地址可重叠)虚墙独立安全策略/NAT策略/应用层策略。防火墙资源限定,彻底保护租户不互相串扰。防火墙虚拟化需求特点:并发连接10万新建速率100K/秒虚墙-1性能MAC表10万在线主机数容量日志控制层面管理员安全策略配置NAT策略DPI策略数据层面NAT连接1
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 计算 网络安全
限制150内