Transcript PPT下载
云数据中心安全 V1.0 李勇卫 思科无边界网络安全部 © 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1 • 云数据中心安全战略 • 云中心安全架构 • 云中心安全虚拟服务点 © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 3 What? How? Service Models Essential Characteristics (NIST) IaaS VM Self Service Broad Access ∞ Resource Pooling VM OS FRAMEWORK ∞ Rapid Elasticity Measured Services Where? Private Community APPLICATION PaaS SaaS Deployment Models Virtual Private Hybrid Public 物理 WORKLOAD 云化 WORKLOAD 虚拟化 WORKLOAD • 单服务器单应用 • 静态 • 手工配置 • 单服务器多应用 • 移动 • 动态配置 • 单服务器多租户 • 弹性 • 自动扩展 HYPERVISOR VDC-1 VDC-2 CONSISTENCY(一致性): 策略, 功能,安全,管理 Switching Nexus 7K/5K/3K/2K Nexus 1000V, VM-FEX Security ASA 5585, ASA SM VSG*, ASA 1000V** Compute UCS for Bare Metal UCS for Virtualized Workloads * Virtual only, ** Announced • 逻辑隔离Logical separation • 策略一致性Policy CONSISTENCY(一致性) • 认证和接入控制Authentication and access control • 扩展和性能Scalability and performance • 自动化管理AUTOMATION(自动化) © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 7 Core Security Management • 可视化要求 • 日志,事件信息,集中认 证 • 取证 • 异常行为检测 • 顺从性 Infrastructure Security 基础架构安全保护数据中心 控制和数据层面的安全。 Aggregation 防止数据丢失,顺从性,失 败保护 流量隔离以及认证授权审计 Services AD CSM ACS Access Services Services 网络入侵检测和阻挡 数据中心进出流量过滤 虚拟防火墙,策略分离,应 对服务器之间过滤需求 ACLs, Port Security, VN Tag, Netflow, ERSPAN, QoS, CoPP, DHCP snooping Storage 特殊的防火墙服务,保护服 务器群 负载均衡,隐藏服务和应用。 数据安全 认证 访问控制 Virtual Access 虚拟防火墙 防火墙规则的实时监控 网络监控,分析,取证 UCS 端口安全 认证 QOS 物理平面化 Isolation & Access-Control Model Intra-Cloud DC 资源大集中 Intra-Tenant 网络 Intra-APP VM VM VM VM VM Intra-Layer VM Intra-Server VM Inter-VM Inter-VM VM Inter-VM Inter-Tenant Inter-VM VM Inter-VM VM VM VM Inter-VM Intra-Server Intra-Server VM VM Intra-Server Inter-Layer Inter-Layer VM Intra APP Inter-VM Intra-Layer VM Intra-Server Intra-Server Inter-VM Intra-Server Inter-APP Intra-Tenant Intra-Layer Intra-Server VM VM VM Intra-Server VM VM DC Intra-Server VM VM VM VM Intra-Layer VM VRF VM VRF VM Inter-VM VFW … VRF VLAN Intra-Server VM VLAN VNLink VNLink VNLink VM VM VM VM VFW … VLAN VM Inter-VM … VFW Inter-APP 逻辑层次化结构 VDC Inter-VM Intra-Server Inter-VM Intra-Server Inter-VM … VDC Inter-Layer VM Inter-VM Intra APP Inter-Layer Intra APP Inter-VM Intra-Layer VM 立体化架构 Intra-Layer Intra-Server Inter-VM Intra-Server 计算 Intra-Layer Intra-Layer Intra-Server 安全 … … VLAN VNLink VM VM VNLink VM VM Nexus 7K Global VRF G-VRF 核心VDC iVRF 汇聚 VDC 汇聚VDC VRF VRF Vlan VM VM VM VM 物理机 Tenant 汇聚VDC G-VRF Vlan VM G-VRF iVRF iVRF Vlan Vlan Vlan VM VM VM 物理机 Tenant 中小租户 iVRF iVRF VM VM 物理机 Tenant Vlan Vlan VM VM Web VM VM Vlan VM APP Tenant 无安全要求租户 大企业租户/私有业务 中小租户: 大企业租户/私有业务: 1. 2. 3. 4. 1. 2. 3. 4. 5. 每个租户一个VLAN/一个VRF。 VLAN映射到VRF。 不进行业务/服务层区分。 独立VDC专供此用户类型接入。 Internal VRF 租户利用Global VRF区分。 每个租户多个Internal VRF。 Internal VRF区分不同部门或者应用。 通过多VLAN实现多级应用灵活Zone部署。 独立VDC专供此用户类型接入。 VM DB 用户访问 • • • 如果受到保护,流量经过防火墙否则直 接流向无保护的区域Zone。 无保护 受保护 业务模型按照应用特点来考虑服务集成: 共享防火墙 – 安全要求应用 – FW Only /FW+IPS– 保护模式 – 性能要求应用– 高吞吐/时延敏感 无- 保护模式 业务模型可以按照任意形式组合服务 可选应用服务- 负载均 可选应用服务- 负载均衡 – 全功能服务– 防火墙/负载均衡/ LB, IPS, Edge FW etc 衡LB, IPS, Edge FW etc 应用加速 – 仅需防火墙 虚拟防火墙 – 防火墙和 负载均衡服务 – 无保护,但负载均衡服务务 – 无保护 直接访问 模 式 A 模 式 B 模 式 C 模 式 D 模 式 E Internet Internet安全服务池 出口 路由器 出口 路由器 Internet 安全服 务池 Nexus 7K 核心VDC 核心VDC Nexus7K •边界防火墙 •高并发连接 •高每秒新建连接 •DDOS攻击防护 •IPS威胁防御 •地址转换 VPC 安全服务池 共享安全服务池 VPC 汇 聚 VDC 汇 聚 VDC 汇 聚 VDC 汇 聚 VDC 汇 聚 VDC 汇 聚 VDC 大企业租户/ 私有业务 中小租户 POD 大租户安全服务池 POD •虚拟防火墙 •虚拟VPN接入 •虚墙IPS •虚拟负载均衡 •虚拟链路加速 •虚拟流量分析 •虚墙独立管理 •虚墙资源划分 •软件/硬件方案 私有业务/ 无安全要求 POD 核心VDC G-VRF Global VRF i-VRF Internal VRF Share FW 汇聚VDC 汇聚VDC 汇聚 VDC G-VRF VRF VRF Vlan VM VFW Vlan VM VM VM 物理机 Tenant VM G-VRF VFW i-VRF i-VRF i-VRF Vlan Vlan Vlan VM VM 物理机 Tenant 中小租户 VFW Tenant 大企业租户 VM VM VM 物理机 VFW i-VRF Vlan Vlan VM VM Web VM VM APP Tenant 大企业租户/私有业务 Vlan VM VM DB – 多虚一技术 VPC: Virtual PortChannel 需求特点: 7k-1 Core-VDC 7k-2 Core-VDC scEC … ASA • • • • • scEC • VPC 7k-1 Agg-VDC scEC: span-cluster EC 多虚一,动态扩展防火墙处理 能力,性能按需扩展。保护投 资。 防火墙集群(多虚一): VPC ASA • 7k-2 Agg-VDC 高扩展性。 单点管理。 群内所有防火墙全部Active。 有群内负载均衡能力。 群内防火墙失败,全群火墙帮 助恢复会话。保证防火墙群内 无单点失败/ 防火墙全冗余。 可以和路由交换多虚一结合实 现全路径多虚一,无Spanning Tree困扰。 –一虚多技术 需求特点: 虚墙-1 性 能 并发连接 10万 容 量 MAC表 10万 数据 层面 安全 策略 控制 层面 配置 新建速率 100K/秒 在线主机 数 NAT 策略 日志 虚墙-2 租户-2 虚墙-3 租户-3 NAT连接 10万 路 由 一虚多,虚拟出多个防 火墙,租户逻辑隔离, 资源限定防止租户串扰。 减少投资。 防火墙虚拟化 DPI 策略 … 管理员 虚墙250 管理 连接 • • • 租户250 • • 虚墙独立管理/独立日志 虚墙独立路由层面(地址 可重叠) 虚墙独立安全策略/NAT策 略/应用层策略。 防火墙资源限定,彻底保 护租户不互相串扰。 公司分部 热点 ISR 接入方案 WAAS 广域网加速 VPN资源池(VPN集群+VLAN映射) N7N3用户/N7C29用户 用户接入容量>10万 VPN吞吐>60Gbps Internet TeleWorker 7k-1 Core-VDC VFW+VPN N7N5(POD用户) 用接入容量1万(单板)4万(单框) 3Gbps(单板)12Gbps(单框) 7k-2 Core-VDC VPC 接入协议及方式 共享安全服务池 VPC 7k-1 Agg-VDC2 7k-1 Agg-VDC1 分支互联(IPsec) 软硬件客户端远程连接 (IPSEC/SSL/DTLS) 无客户端远程连接(SSL) VPN资源池 7k-2 Agg-VDC1 7k-2 Agg-VDC2 接入终端类型 (PC/平板电脑/智能手机) POD 大租户安全服务池 C29 N3K VFW windows/MacOS/Linux Apple IPAD/Iphone Android Symbian Blackberry –多虚一技术 VPN集群技术特点 动态性能扩展–并发VPN隧道数扩展,VPN加密解密吞吐扩展。 动态无缝扩展–新建VPN网关无缝集成到已有VPN网关中。 动态负载均衡–保证设备利用率合理,健康状态实时跟踪。 动态接管–提供高可用性 。 保护投资/高兼容性 – 要求集群内设备型号允许混杂。 10.10.1.X .1 群集 IP 地址 124.118.24.50 .31 Cluster Master • .2 .32 .3 .33 .4 .34 客户端要求与 124.118.24.50 建立连接 虚拟群集以 124.118.24.33 响应 客户端与 124.118.24.33 建立IPsec/SSL VPN 连接 多虚一,动态扩展Cloud DC的VPN处理能力,性能按需扩展。保护投资。 -一虚多技术 Vlan Mapping Tunnel A Tunnel B VPN Gateway Outside IF G-B G-A Tunnel C 租户内内部地址规划独立。 租户VPN会话 与VLAN绑定。 所有租户单公网IP接入。 每租户有独立的定制界面。 每租户有独立的认证服务器组。 每租户有独立访问 控制. 设备支持租户数较多,租户数=VLAN数。 性能要求低。 免License,经济。 VRF C 虚拟站点=技术特点 Outside IF=C Share Interface VContext-B VContext-C Inside IF=A Inside IF=A Inside IF=A Outside IF=B Outside IF=A VContext-A • Vlan-C Vlan-B Vlan-A VRF B 1. 2. 3. 4. 5. 6. 7. 8. 9. Virtual Portal Tunnel A Tunnel C G-C Inside Vlan VRF A Tunnel B VLAN镜像技术特点 一虚多,虚拟出多个VPN 网关从而实现动态扩展,租户逻辑隔离,减少投资。 1. 2. 3. 4. 5. 6. 7. 8. 9. 每租户独立管理。 租户内内部地址规划独立。 每租户有独立的公网IP接入。 每租户有独立的定制界面。 每租户有独立的认证服务器组。 每租户有独立访问 控制. 租户数支持有限。 性能要求相对较高。 需要License。 © 2010 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 19 1. vMotion 在不同物理端口迁移 虚拟机—网络策略必须跟随 vMotion 2. 必须查看和应用本地交换的网 络和安全策略 Port Group 3. 需要不间断维护来确保租户/业 务隔离 Server Admin Security Admin Network Admin 传统数据中心 虚拟数据中心 VDC-1 APP OS Hypervisor FW WAAS WAN Opt ACE/ SLB • 服务于特有应用 • 组成: 专用设备 交换模块 VDC-2 虚 拟 服 务 点 • • • • • 虚拟设备 动态实施配置 服务对VM移动透明 可扩展 适合大规模多租户操作 传 统 服 务 点 • • • • • 设备虚拟化 资源限定 可扩展 性能可靠 适合特定租户操作 VSM: Virtual Supervisor Module VEM: Virtual Ethernet Module VSM + VEMs = Nexus 1000 Virtual Chassis Virtual Appliance • • 每个VEM支持200+ vEth ports(虚拟网口) VSM1 每个N1K(VSM)支持64 VEMs (VEM通过L2 或者 L3连接 VSM) VSM2 Switching: L2 Switching, 802.1Q Tagging, VLAN Segmentation, Rate Limiting (TX), IGMP Snooping, QoS Marking (COS & DSCP), Class-based WFQ Security: Policy Mobility, Private VLANs w/ local PVLAN Enforcement Access Control Lists (L2–4 w/ Redirect), Port Security Dynamic ARP inspection, IP Source Guard, DHCP Snooping Suppress broadcast storm Nexus 1000V VEM V M V M V M V M Hypervisor L3 Mode VSM运行NX-OS L2 Mode • Back Plane • 每个N1K(VSM)支持 2K vEths VEM-2 Hypervisor Supervisor-1 (Active) Supervisor-2 (StandBy) Linecard-1 Linecard-2 … Linecard-N VEM-N Hypervisor 基于内容, 虚拟感知, 多容器,工作分离 VNMC VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM Nexus 1000V Distributed Virtual Switch 分布式虚拟交换机 vPath VSG (备用) VSG (主用) 安全隔离(VLAN agnostic) 高效部署 (secure multiple hosts) 动态策略配置 (Dynamic policy-based provisioning) 透明接入(topology agnostic) 高可靠性(HA) VM移动感知(policies follow vMotion) 通过物理CPU数量来限制License(不限制 Core的数量) 自动设计(XML API, security profiles) Log/Audit 日志/审计 VNMC: Virtual Network Management Center 1. 2. 3. 4. 出口 ASR9K Internet出口防火墙 ASR 全局VRF/VDC N7K(VDC) VRF-L VRF-L VSN 虚拟服务 点 vACE VLAN 1 区域1 业务系统2 /租户2 VSG vWAAS 业务系统3/租户3 VRF-L VSN 虚拟服务 点 ASA1000V vPath Layer2 N7/5/2K 业务系统1 /租户1 VLAN 3 VLAN 2 Nexus 1000V OS VSG 区域2 VLAN 1001-2000 虚拟 桌面 vPath APP OS VSG VLAN 1002 VLAN 1003 Nexus 1000V Nexus 1000V VLAN 2001 区域3 VLAN 2001-3000 Nexus 1000V Nexus 1000V vPath Nexus 1000V VLAN 1-1000 Nexus 1000V 应用系统2 应用系统1 WEB VLAN 1001 VRF-L VSG vWAAS vACE 应用系统 ASA1000V vPat h N7K(VDC) Virtual Service Node 虚拟服务点 5. 6. 按需生成服务点,方便流程 化管理。 透明物理拓扑部署 。 License按照CPU数收取。 按照实际性能需求可自行扩 充CPU和内存。 计算资源可以重复利用。 方便迁移。 DB OS VLAN 2002 VLAN 2003 Nexus 1000V Nexus 1000V • 单管理接口管理思科虚拟服 务设备 • 通过SDK实现附加业务灵活性 • 常见的用户体验和操作流程 • 通过XML API集成第三方流程 管理工具,易于操作管理 orchestration tools • Virtual Appliance VSM VSG ASA1000V VNMC 属于思科云管理组件生态系 统 VEM-1 VEM-2 vPath vPath Hypervisor Hypervisor Thank you.