網(wǎng)絡(luò)虛擬化于數(shù)據(jù)中心的使用情境分享_第1頁(yè)
網(wǎng)絡(luò)虛擬化于數(shù)據(jù)中心的使用情境分享_第2頁(yè)
網(wǎng)絡(luò)虛擬化于數(shù)據(jù)中心的使用情境分享_第3頁(yè)
網(wǎng)絡(luò)虛擬化于數(shù)據(jù)中心的使用情境分享_第4頁(yè)
網(wǎng)絡(luò)虛擬化于數(shù)據(jù)中心的使用情境分享_第5頁(yè)
已閱讀5頁(yè),還剩25頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、 2015 VMware Inc. All rights reserved.網(wǎng)絡(luò)網(wǎng)絡(luò)虛擬化于數(shù)據(jù)中心的使用情境分享Agenda快速回顧NSX Micro-Segmentation技術(shù),以及客戶采用的效益Micro-Segmentation與實(shí)體網(wǎng)絡(luò)安全防護(hù)技術(shù)的比較Micro-Segmentation的實(shí)際應(yīng)用案例Micro-Segmentation的核心特色,以及對(duì)客戶提供的效益于 vSphere Kernel 內(nèi)直接提供防火墻功能,每個(gè)VM前都有防火墻透過(guò)NSX Service Composer技術(shù),防火墻設(shè)定可完全與網(wǎng)絡(luò)配置脫鉤,而與客戶實(shí)際業(yè)務(wù)達(dá)成整合達(dá)成安全設(shè)定自動(dòng)化傳統(tǒng)實(shí)體防護(hù)架構(gòu)

2、:必須集中至邊界實(shí)體防火墻進(jìn)行防護(hù)InternetPerimeter Firewalls微切分安全防護(hù)技術(shù):封包檢查直接分散到每一臺(tái)vSphere Host Kernel內(nèi)運(yùn)作,于每臺(tái)虛擬機(jī)前直接提供防護(hù)InternetSecurity PolicyPerimeter FirewallsCloudManagementPlatform透過(guò)NSX Micro-Segmentaion分布式防火墻,管理者可以非常容易地做到同網(wǎng)段安全防護(hù),避免黑客的跳板攻擊App VLANDMZ VLANServices VLANDB VLANPerimeterfirewallInsidefirewallFinance

3、FinanceFinanceHRHRHRITITITADNTPDHCPDNSCERT傳統(tǒng)防火墻:防護(hù)規(guī)則必須采用網(wǎng)絡(luò)IP或network地址,但安全防護(hù)要求其實(shí)與網(wǎng)絡(luò)無(wú)關(guān)業(yè)務(wù)系統(tǒng)能夠快速地進(jìn)行部署,但安全政策的設(shè)定與組態(tài)需要花費(fèi)極大時(shí)間才能完成部署虛擬機(jī)部署網(wǎng)絡(luò)架構(gòu)確認(rèn)安全政策與網(wǎng)絡(luò)地址的關(guān)聯(lián)手動(dòng)進(jìn)行安全防護(hù)政策設(shè)定系統(tǒng)部署完成系統(tǒng)進(jìn)行變更定義安全政策需求新系統(tǒng)VC containers- Clusters- datacenters- Portgroups- VXLANVM containers- VM names- VM tags- VM attributesIdentity-AD Grou

4、psIPv6 compliant- IPv6 address- IPv6 setsServices- Protocol- Ports- CustomIPv6 ServicesAction- Allow- Block- RejectNSX 分布式防火墻:除了IP外,可以用不同的虛擬環(huán)境屬性、或直接利用安全群組的方式,來(lái)設(shè)定防護(hù)機(jī)制Policy rules construct: Rich dynamic container based rules apart from just IP addresses:Rule IDRule NameSourceDestinationServiceActionA

5、pplied ToNSX Service Compose技術(shù):藉由將業(yè)務(wù)與信息系統(tǒng)以自動(dòng)化安全群組建立關(guān)聯(lián),可直接指定對(duì)應(yīng)此業(yè)務(wù)/信息系統(tǒng)的安全防護(hù)政策,與網(wǎng)絡(luò)完全脫鉤WHAT you want to protectHOW you want to protect itSecurity Group:哪些業(yè)務(wù)與系統(tǒng)需要被保護(hù)?Security Policy:針對(duì)此群組,要提供什么的安全保護(hù)機(jī)制?所有名稱以ERP為開(kāi)頭的虛擬機(jī)所有操作系統(tǒng)為Win 2003的虛機(jī)所有設(shè)定卷標(biāo)為人事系統(tǒng)的虛機(jī)登入用戶為IT管理者的Windows虛機(jī)“Standard Web” Firewall allow inboun

6、d HTTP/S, allow outbound ANY IPS prevent DOS attacks, enforce acceptable use 此安全群組的標(biāo)準(zhǔn)防火墻防護(hù)規(guī)則?此安全群組要采用哪種防毒與系統(tǒng)保護(hù)方案?此安全群組要采用哪種入侵防御或應(yīng)用程序網(wǎng)絡(luò)防護(hù)方案?NSX架構(gòu)內(nèi),管理者可以用多樣性的動(dòng)態(tài)條件來(lái)建立自動(dòng)化安全群組操作系統(tǒng)機(jī)器名稱虛擬機(jī)屬性安全標(biāo)簽 登入用戶所屬應(yīng)用程序藉由NSX Service Composer的安全群組功能,可非常容易達(dá)成信息業(yè)務(wù)間的阻隔,且設(shè)定完全無(wú)需底層網(wǎng)絡(luò)IP或網(wǎng)段組態(tài)App VLANDMZ VLANServices VLANDB VLANPe

7、rimeterfirewallInsidefirewallFinanceFinanceFinanceHRHRHRITITITADNTPDHCPDNSCERT同時(shí), NSX Service Composer可達(dá)成安全政策自動(dòng)化Finance-SystemHR-SystemFin-Web-01Fin-Web-02HR-Web-01HR-Web-02Fin-AP-01HR-AP-01Fin-DB-01HR-DB-01HR-Web-03同時(shí), NSX Service Composer可達(dá)成安全政策自動(dòng)化Finance-SystemHR-SystemFin-Web-01Fin-Web-02HR-Web-

8、01HR-Web-02Fin-AP-01HR-AP-01Fin-DB-01HR-DB-01HR-Web-03Agenda快速回顧NSX Micro-Segmentation技術(shù),以及客戶采用的效益Micro-Segmentation與實(shí)體網(wǎng)絡(luò)安全防護(hù)技術(shù)的比較Micro-Segmentation的實(shí)際應(yīng)用案例NSX DFW與實(shí)體防火墻廠商并非競(jìng)爭(zhēng)關(guān)系,兩者定位不同主要應(yīng)用于數(shù)據(jù)中心東西向保護(hù):抵御內(nèi)部惡意用戶或黑客由內(nèi)部進(jìn)行的跳板攻擊標(biāo)準(zhǔn)的L4 Stateful Firewall可搭配防火墻廠商功能,提供東西向的L7 安全防護(hù)主要需求在數(shù)據(jù)中心南北向保護(hù):抵御外部黑客攻擊符合安全管理系統(tǒng)或法規(guī)

9、要求,如PCI-DSS / ISO-27002 / 金融監(jiān)理單位等強(qiáng)大的安全功能面:Next-Generation Firewall / Anti-Virus / Web-Inspection / URL-Filtering實(shí)體防火墻的優(yōu)勢(shì)NSX分布式防火墻的優(yōu)勢(shì)NSX與最主要的網(wǎng)絡(luò)安全廠商,包括Palo Alto Network / Check Point / Fortinet / Intel Security于東西向的防護(hù),都已經(jīng)整合完成常被詢問(wèn)問(wèn)題:南北向?qū)嶓w安全設(shè)備的功能如此強(qiáng)大,為何數(shù)據(jù)中心還是會(huì)遭受入侵?數(shù)據(jù)中心前端由強(qiáng)大的網(wǎng)絡(luò)安全設(shè)備進(jìn)行防護(hù)但黑客仍然時(shí)常由低重要性系統(tǒng)、或是合法

10、的系統(tǒng)或應(yīng)用程序漏洞入侵黑客入侵后通常不會(huì)聲張,僅會(huì)潛伏于現(xiàn)有系統(tǒng)內(nèi),或默默進(jìn)行環(huán)境偵測(cè)黑客可藉由內(nèi)部感染或入侵重要系統(tǒng),進(jìn)而竊取重要機(jī)敏數(shù)據(jù)101101001101010010100000101001110010100因?yàn)閿?shù)據(jù)中心內(nèi)部安全防護(hù)極弱,黑客容易于內(nèi)部環(huán)境進(jìn)一步感染東西向Traffic遠(yuǎn)大于南北向Traffic,且一般未被完整監(jiān)控現(xiàn)行客戶數(shù)據(jù)中心內(nèi),南北向防護(hù)的機(jī)制大部都已經(jīng)建立:NSX Micro-Segmentation才是現(xiàn)行防護(hù)的重點(diǎn)Data-Center東西向:數(shù)據(jù)中心內(nèi)網(wǎng)絡(luò)流InternetBranch Office南北向:出入數(shù)據(jù)中心Cisco Global Clou

11、d Index 對(duì)于數(shù)據(jù)中心網(wǎng)絡(luò)流統(tǒng)計(jì)信息:東西向網(wǎng)絡(luò)流: 76.7%南北向網(wǎng)絡(luò)流: 16.7%數(shù)據(jù)中心間之網(wǎng)絡(luò)流: 6.6%數(shù)據(jù)中心內(nèi)之東西向安全防護(hù)刻不容緩Agenda快速回顧NSX Micro-Segmentation技術(shù),以及客戶采用的效益Micro-Segmentation與實(shí)體網(wǎng)絡(luò)安全防護(hù)技術(shù)的比較Micro-Segmentation的實(shí)際應(yīng)用案例案例一:VMware NSX 微切分技術(shù)于客戶實(shí)際驗(yàn)證場(chǎng)景:以DFW采用白名單方式提供保護(hù),以弱點(diǎn)掃描工具進(jìn)行驗(yàn)證App VLANDMZ VLANServices VLANDB VLANPerimeterfirewallInsidefir

12、ewallFinanceFinanceFinanceHRHRHRITITITADNTPDHCPDNSCERT弱點(diǎn)掃描工具弱點(diǎn)掃描工具案例一:VMware NSX 微切分技術(shù)于客戶實(shí)際驗(yàn)證場(chǎng)景:以DFW采用白名單方式提供保護(hù),以弱點(diǎn)掃描工具進(jìn)行驗(yàn)證NSXNSX 防護(hù)前防護(hù)前NSXNSX 防護(hù)后防護(hù)后案例二:政府實(shí)際客戶案例超過(guò)五百臺(tái)虛擬機(jī)跑在15臺(tái)vSphere實(shí)體主機(jī)上,主要虛機(jī)均為Windows Servers,小部分為L(zhǎng)inux外部資安稽核單位與內(nèi)部資安主管要求必須達(dá)成業(yè)務(wù)間、以及服務(wù)器間的安全區(qū)隔,目前使用Windows防火墻與人工管理方式,幾乎難以維運(yùn)不允許使用End-of-Suppo

13、rt操作系統(tǒng)案例二:政府實(shí)際客戶案例:以集中管理、分散防護(hù)方式,達(dá)成信息業(yè)務(wù)間、及同網(wǎng)段機(jī)器間的阻隔App VLANDMZ VLANServices VLANDB VLANPerimeterfirewallInsidefirewallFinanceFinanceFinanceHRHRHRITITITADNTPDHCPDNSCERT客戶狀況安全政策禁止使用已經(jīng)End-of-Support的操作系統(tǒng)若有此類操作系統(tǒng)機(jī)器,完成升級(jí)前禁止連接至InternetUnsupported OS Group案例二:政府實(shí)際客戶案例:快速找出已經(jīng)End-of-Support的操作系統(tǒng),并禁止訪問(wèn)Internet

14、此客戶導(dǎo)入 NSX 安全虛擬化后的效益以NSX達(dá)成業(yè)務(wù)間與服務(wù)器間需求的安全管理機(jī)制能夠于NSX集中進(jìn)行安全管理,大幅減低維運(yùn)Effort最短期間內(nèi)鎖定所有Windows Server 2003虛機(jī)并進(jìn)行升級(jí)案例三:高科技產(chǎn)業(yè)實(shí)際客戶案例:NSX搭配Horizon提供完整桌面安全防護(hù)原本采用Citrix XenApp,應(yīng)用程序維護(hù)以及安全區(qū)隔非常復(fù)雜,多組系統(tǒng)、多組網(wǎng)絡(luò)、多組安全設(shè)備改為桌面虛擬化架構(gòu),約200組,提供員工與外部合作廠商使用機(jī)敏數(shù)據(jù)保護(hù)極度重要,具備復(fù)雜的安全防護(hù)政策VMware NSX 微切分技術(shù)于臺(tái)灣客戶實(shí)際應(yīng)用場(chǎng)景:搭配虛擬桌面方案,依據(jù)用戶身份限制可連入的系統(tǒng)與網(wǎng)絡(luò)環(huán)境合作廠商A開(kāi)發(fā)平臺(tái)WebApp合作廠商B開(kāi)發(fā)平臺(tái)WebAppRD開(kāi)發(fā)環(huán)境WebApp企業(yè)OA環(huán)境WebAppFinance系統(tǒng)WebApp企業(yè)后端環(huán)境一般內(nèi)部員工內(nèi)部員工-RD內(nèi)部員工-FinanceVDI Desktop合作廠商B30案例三:高科技產(chǎn)業(yè)實(shí)際客戶案例:此客戶導(dǎo)入安全虛擬化整合桌面虛擬化后的效益單一桌面虛擬化系統(tǒng)、單純網(wǎng)絡(luò)架構(gòu)、集中管理的環(huán)境除了達(dá)成數(shù)據(jù)不落地外,同時(shí)達(dá)成數(shù)據(jù)中心內(nèi)網(wǎng)絡(luò)保護(hù)所有部門及員工間之?dāng)?shù)據(jù)控管需求得以達(dá)成結(jié)論:NSX Micr

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論