Transcript 动态和灵活性
数据中心的演化和安全挑战 蒋东毅 研发副总裁,山石网络 2014/5/16 1 www.hillstonenet.com.cn www.hillstonenet.com.cn 议程 1 2 3 4 5 6 2 数据中心的演化 当前数据中心网络的局限性 灵活弹性的云化数据中心设计 云化数据中心带来的安全挑战 山石vEFA全并行架构的解决方案 山石下一代智能防火墙 www.hillstonenet.com.cn 数据中心的演进 应用系统架构的演进 大型主机 C/S架构 多层分布式架构 SOA架构 大数据的应用 服务器平台的演进 CPU性能越来越 高,体积越来越 小,密集度增高 虚拟化技术的引 入,逻辑和物理 机的分离 基础网络架构的演进 服务器虚拟化 存储虚拟化 网络虚拟化 运营模式的演进 复杂性增加 共享、按需、动 态的模式 自动化部署,敏 捷性 一体化运营 Portal ESB ISB DW 3 www.hillstonenet.com.cn 目前数据中心网络 三层架构:接入、汇聚、核心 4 www.hillstonenet.com.cn 当前数据中心的流量 5 东西向流量是南北向流量的数十倍以上 南北向流量: 数据中心内部的流量 东西向流量: 进出数据中心的流量 www.hillstonenet.com.cn 网络隔离和安全 • • • 6 二层使用VLAN实现隔离 三层使用VRF实现隔离 三层到三层的安全由部署在汇聚和核心的防火墙提供 www.hillstonenet.com.cn 当前数据中心网络设计的局限性 这种设计不能满足基于资源池的云化数据中心的需求,实现动态、灵活 的资源池配置,满足业务敏捷性要求: • 性能的扩展能力有限 – 三层网络架构设计更利于南北向流量,但并不适用于越来越占据主导地位的东西向流量 – 数量巨大的虚拟机(VM)网络端口(vNIC),导致网络设备MAC激增引起网络风暴 • 效率低下 – 物理链路使用生成树协议 (STP)转发数据,导致链路利用率低下 • 虚拟机迁移受限 – 网络扁平化受限于4K VLAN数量,无法实现规模化 – 大量独立的交换和路由设备,增加了操作和维护的复杂性. 7 www.hillstonenet.com.cn 云化数据中心设计 CISCO FabricPath and DFA • • • • 8 L2、L3 (二、三层网)的边界消失, 网络扁平化 L2 、L3 的标记都将终结(terminate)在接入层边界,基于MAC/IP的寻址变为基于 交换机ID的传输 数据包在接入交换机内封装了新的包头,植入目的交换机的ID并转发 目的交换机收到报文后,基于目的MAC/IP完成最后一跳 www.hillstonenet.com.cn 云化数据中心设计 Juniper QFabric • • • • • 9 数据中心大量的交换/路由等物理设备收敛到一个单一的巨型逻辑设备 控制平面: Qfabric控制器 数据平面交换矩阵: Qfabric内部互联 数据平面接口模块: Qfabric 接入节点 支持1600万 L2 network www.hillstonenet.com.cn 云化数据中心设计 VMware NSX • • • • 10 构建在叠加网络(Overlay Network)技术之上, 如VxLAN, NVGRE等. 数据中心交换矩阵静态配置,通过IP单播和多播提供物理机IP到IP的链接 在Hypervisor内部的Edge决定下一跳并且将数据包被封装在VxLAN隧道里转发 VxLAN 隧道最终节点 (VTEP)网关桥接叠加网络和物理网络 www.hillstonenet.com.cn 三家供应商方案的利与弊 CISCO FabricPath/DFA • • 保护现有的客户投资, 但是 破坏了分层网络结构所带来的优势 Juniper QFabric • • 保留了分层网络设计的优势 需要建设全新的数据 Mware NSX • • 11 静态的数据中心交换矩阵配置, 当网络中的 一个子网拓扑结构变化时,基本不需对交换 矩阵重新配置 从管理的角度看,由于VTEP(s)数量巨大, 管理的可扩展性存在问题 www.hillstonenet.com.cn 云化数据中心的安全挑战 网络的物理边界消失 • 由于网络和资源全虚拟化和分布化,网络与资源的物理边界消失,使安全和服务部 署十分困难 效率和性能 • 如果设计不合理,网络的流量可能在实际网络上多次往返,造成倍增的延时和流量 浪费 动态和灵活性 • • 虚拟机迁移要求动态感知的安全服务 持续不断的据中心变化要求安全服务动态调整,以提供对用户SLA的保证 管理复杂 • 12 随着租户的增长和资源的增加,数据中心管理本身就是复杂的事情,安全更加增加 了这个复杂性 www.hillstonenet.com.cn 当前的方案和局限性 高性能硬件安全设备 虚拟化软件安全设备 In-Hypervisor安全设备 南北向流量 • 数据中心网关位 置 东西向流量 • 单臂部署 • 租户VM流量转 发到设备 同时服务于南北向和 东西向流量 VM级设备服务于单用 户 虚拟操作系统厂商在 Hypervisor层安全模 块 弹性受硬件设备限制 数据中心的网络瓶颈, 延时加大 13 计算资源浪费 动态流量处理性能低 下 多设备管理复杂 因为Hypervisor稳定 性要求,功能简单 www.hillstonenet.com.cn 山石分布式安全架构 硬件基于分布式、弹性安全服务(EFA)架构 SCM Interface Interface Interface IOM IOM IOM SSM SSM HillStone X7180 360G FW Switch Fabric SCM SSM 要点: • • • 14 建立在全分布式防火墙架构的专利技术之上 性能和容量能够随着CPU的数量增加而线性增长 规模可以从数十到数百个CPU www.hillstonenet.com.cn 虚拟分布式、弹性安全架构(vEFA) Cloud Orchestration Cloud Orchestration • • • • • 15 扩展已有的分布式架构到云安全解决方案 完全可扩展的分布式体系架构 利用云中计算与网络资源的全软件解决方案,无任何专用硬件 管理简单,人机交互与单一设备管理完全相同 基于 VSYS(虚拟安全系统)对每个租户提供安全服务 www.hillstonenet.com.cn vEFA 重朔数据中心的安全边界 • 数据中心安全边界随 虚拟化而消失 16 • vEFA不但重朔数据 中心安全边界 • 而且将边界推向服 务器边缘 www.hillstonenet.com.cn vEFA的优势 高度动态和灵活性 管理简单且灵活 不需要硬件设备 天然适应云化数据中 心架构 随系统的规模扩展而 增加支付 为新的租户增加虚拟 系统扩展安全 V M V M V M V M VEB TOR 17 单一的虚拟安全设备 负责整个数据中心的 安全服务 虚拟机迁移无需更改 安全策略配置 V M VEB 高性能和可伸缩性 V M V M V M 按需弹性增加或减少 vIOM 和vSSM vIOM接近租户的虚拟 机节省带宽 高可扩展的吞吐量 : 容易扩展到1Tbps 低延时:vIOM/vSSM 独占CPU,避免VM切 换延时 V M V M VEB V M V M VEB TOR www.hillstonenet.com.cn 智能化、下一代网络安全解决方案 Firewall Firewall UTM NGFW Intelligent NGFW Gartner “Enterprise Network Firewalls Magic Quadrant” 18 山石网络是iNGFW的原创者、领导者 www.hillstonenet.com.cn 山石全面网络安全架构: 智能防火墙 主机服务器网 知识库 络行为建模,预 NGFW/WA 测和异常分析 F/AD 检测, 阻挡 全周期检测: 大 大数据分析, 云 计算, 云沙箱 数据Malware检 管理员智能 样本上传学习, 测 证据收集 动态策略加载 异常及威胁 确认 19 www.hillstonenet.com.cn 非常感谢! www.hillstonenet.com.cn 如有问题,请联系我们 服务热线: 400-828-6655 www.hillstonenet.com.cn 20 www.hillstonenet.com.cn