基于云计算的安全解决方案
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
WAF Cache
LB
Cache
LB
Web groups
DB groups
DMZ
Others
• 传统数据中心的网络架构主要包含核心层、汇聚层 和接入层
• 网络业务应用和网络安全通常以物理设备的形态接
入三层架构之间,包括网络防火墙、IPS、DMZ、 WAF、Cache、LB等安全与增值业务设备 • 为解决可靠性问题,不同网络设备和增值业务、网 络安全设备通常以负荷分担或主备的方式部署
负担; ➢ 各种引流方式,将进一步对本就负荷超重的东西向流量增加更
大的压力 ➢ 云计算自身的弹性伸缩、故障智能迁移等优异特性在特殊硬件
安全产品模式下将丧失殆尽
计算资源
网络资源
物理资源
存储资源
SaaS安全防护云
客户端用户
未采用云防护访问路径 采用云防护访问路径
云计算和大数据下一代网络安全架构
软件定义安全在公有云、私有云及IDC实现思路
NFV的起源和历史
NFV的发展趋势
v 传统网络模型:
APPLIANCE APPROACH
DPI
BRAS
GGSN/SGSN
Firewall CG-NAT
Session Border Controller
▪ 网络功能基于特定的软硬件 ▪ 一个硬件节点一个应用
云计算的应用
云计算的应用价值和潜力
➢ 提高生产效率,降低成本、节省能源、可持续发展的有效手段 ➢ 改变IT现状的应用模式 ➢ 带动传统产业的升级改造转型,调整产业经济结构 ➢ 促进商业、产业、事业模式发生变化
目录
云计算的发展趋势及应用
NFV发展及云计算应用对网络安全的诉求
传统IT和云计算中网络安全的解决之道 软件定义安全的统一架构模型
基于云计算的安全解决方案
——软件定义安全实现探索
目录
云计算的发展趋势及应用
NFV发展及云计算应用对网络安全的诉求
传统IT和云计算中网络安全的解决之道 软件定义安全的统一架构模型
云计算和大数据下一代网络安全架构
软件定义安全在公有云、私有云及IDC实现思路
云计算的发展趋势
• 全球云计算市场规模保持着快速的增长趋势,预计2015年将超过1800亿美金 • 中国云计算市场规模增长迅速,但相对欧美仍较落后,预计2016年国内云计算市场规模将突破741.8亿人民币 • IaaS逐渐成熟,PaaS和SaaS将呈现出巨大的市场空间 • 很遗憾,截止2015年,Gartner象限中仍无一家中国云计算公司
• 不同的网络设备、安全设备和增值业务设备,往往 由不同的运维人员管理,共同维护整个数据中心的 网络业务运营支撑
• 业务系统的运维由业务运维管理人员负责 • 数据中心业务的增扩容复杂:需要制定明确的组网
解决方案、购买设备、规划机架等进行部署实施 • 网络安全体系架构通常包含:网络防火墙
DMZIPS(IDS)WAF(针对WEB)等完善架构,通 常DB还包含DB审计和防护
安全范畴
边界安全
安全形态
安全功能虚拟化
安全演进
未知安全威胁
内部安全 自动化部署
可编程
东西向安全 集中化管理
服务化
云计算的网络安全诉求
南北向流量 东西向流量
Internet
安全防护部署区域
租户A
东西向访 问的安全 缺失!!!
租户B
非法租户
租户C 云计算资源池
ห้องสมุดไป่ตู้
• 传统的软硬件一体化安全防护产品主要负责南 北向流量的安全检测和防护
▪ 网络功能以软件形式运行于通用硬件上 ▪ 多个应用共享同一个物理硬件
Opex Capax
运营商对行业和技术的垄断引导了通信技术与数据中心技术的发展方向,NFV技术集合了云计算与 虚拟化、SDN技术以及开放创新思路,是对传统设备厂商“封闭式”系统的挑战,运营商倡导降低 Capax和Opex为核心思想,以通用计算、存储和网络资源的基础设施,采用虚拟化技术,实现网络 业务功能“软件化”的灵活部署以及方案的可复制性,推动NFV的迅猛发展和应用。
传统网络安全产品的弊端
单系统处理能
力有限(性能 低)
单系统存储能
力有限(数据 存放少)
强依赖于硬件 设备可靠性
每个厂家都有自 己的配置风格
传统信息安全产品(防火墙、
VPN、审计产品、数据加密、防泄 漏、防病毒……)
每台设备都需要 独立配置管理
有故障必须找 厂家
价格昂贵
云计算环境怎 么办?
云计算的网络安全诉求
NFV推动网络安全SFV
v 传统网络安全模型:
APPLIANCE APPROACH
v 安全功能虚拟化模型:
VIRTUAL APPLIANCE APPROACH
病毒墙
IDS
防火墙
IPS
WAF
堡垒机
▪ 安全功能基于特定软硬件一体化实现 ▪ 硬件节点和安全功能一一绑定
安全的NFV演进
IDS
IPS
病毒墙
堡垒机VIRTUAL
PE Router
v 虚拟网络模型:
VIRTUAL APPLIANCE APPROACH
DPI
CG-NAT
BRAS
GGSN/ VIRTUAL SGSN APPLIANCES
Firewall PE Router
ORCHESTRATED, AUTOMATIC
& REMOTE INSTALL STANDARD HIGH VOLUME SERVERS
目录
云计算的发展趋势及应用
NFV发展及云计算应用对网络安全的诉求
传统IT和云计算中网络安全的解决之道 软件定义安全的统一架构模型
云计算和大数据下一代网络安全架构
软件定义安全在公有云、私有云及IDC实现思路
传统IT架构及网络安全方案
Internet
Core Router
Firewall
DMZ
IPS
• 数据中心的流量从传统的主要为南北向转化为 主要为东西向流量,东西向流量的互通缺少安 全的检测和防御措施
• 软硬件一体化安全设备目前在应对云计算环境 防护主要采用两种方式:1)南北向入口流量防 护;2)通过云计算平台及SDN引流方式实现。
特殊硬件安全产品的问题: ➢ 在云计算环境中,特殊安全产品硬件的管理将带来极大的运维
WAF 防火墙
APPLIANCES
ORCHESTRATED, AUTOMATIC & REMOTE INSTALL
STANDARD HIGH VOLUME SERVERS
▪ 所有安全功能都以虚拟化/软件形势运行于通用
硬件上
▪ 多个安全应用共享同一个物理硬件
安全功能是网络功能的一部分,NFV势必推动传统安全产品向SFV方向发展,否则无法满足NFV的需求
LB
Cache
LB
Web groups
DB groups
DMZ
Others
• 传统数据中心的网络架构主要包含核心层、汇聚层 和接入层
• 网络业务应用和网络安全通常以物理设备的形态接
入三层架构之间,包括网络防火墙、IPS、DMZ、 WAF、Cache、LB等安全与增值业务设备 • 为解决可靠性问题,不同网络设备和增值业务、网 络安全设备通常以负荷分担或主备的方式部署
负担; ➢ 各种引流方式,将进一步对本就负荷超重的东西向流量增加更
大的压力 ➢ 云计算自身的弹性伸缩、故障智能迁移等优异特性在特殊硬件
安全产品模式下将丧失殆尽
计算资源
网络资源
物理资源
存储资源
SaaS安全防护云
客户端用户
未采用云防护访问路径 采用云防护访问路径
云计算和大数据下一代网络安全架构
软件定义安全在公有云、私有云及IDC实现思路
NFV的起源和历史
NFV的发展趋势
v 传统网络模型:
APPLIANCE APPROACH
DPI
BRAS
GGSN/SGSN
Firewall CG-NAT
Session Border Controller
▪ 网络功能基于特定的软硬件 ▪ 一个硬件节点一个应用
云计算的应用
云计算的应用价值和潜力
➢ 提高生产效率,降低成本、节省能源、可持续发展的有效手段 ➢ 改变IT现状的应用模式 ➢ 带动传统产业的升级改造转型,调整产业经济结构 ➢ 促进商业、产业、事业模式发生变化
目录
云计算的发展趋势及应用
NFV发展及云计算应用对网络安全的诉求
传统IT和云计算中网络安全的解决之道 软件定义安全的统一架构模型
基于云计算的安全解决方案
——软件定义安全实现探索
目录
云计算的发展趋势及应用
NFV发展及云计算应用对网络安全的诉求
传统IT和云计算中网络安全的解决之道 软件定义安全的统一架构模型
云计算和大数据下一代网络安全架构
软件定义安全在公有云、私有云及IDC实现思路
云计算的发展趋势
• 全球云计算市场规模保持着快速的增长趋势,预计2015年将超过1800亿美金 • 中国云计算市场规模增长迅速,但相对欧美仍较落后,预计2016年国内云计算市场规模将突破741.8亿人民币 • IaaS逐渐成熟,PaaS和SaaS将呈现出巨大的市场空间 • 很遗憾,截止2015年,Gartner象限中仍无一家中国云计算公司
• 不同的网络设备、安全设备和增值业务设备,往往 由不同的运维人员管理,共同维护整个数据中心的 网络业务运营支撑
• 业务系统的运维由业务运维管理人员负责 • 数据中心业务的增扩容复杂:需要制定明确的组网
解决方案、购买设备、规划机架等进行部署实施 • 网络安全体系架构通常包含:网络防火墙
DMZIPS(IDS)WAF(针对WEB)等完善架构,通 常DB还包含DB审计和防护
安全范畴
边界安全
安全形态
安全功能虚拟化
安全演进
未知安全威胁
内部安全 自动化部署
可编程
东西向安全 集中化管理
服务化
云计算的网络安全诉求
南北向流量 东西向流量
Internet
安全防护部署区域
租户A
东西向访 问的安全 缺失!!!
租户B
非法租户
租户C 云计算资源池
ห้องสมุดไป่ตู้
• 传统的软硬件一体化安全防护产品主要负责南 北向流量的安全检测和防护
▪ 网络功能以软件形式运行于通用硬件上 ▪ 多个应用共享同一个物理硬件
Opex Capax
运营商对行业和技术的垄断引导了通信技术与数据中心技术的发展方向,NFV技术集合了云计算与 虚拟化、SDN技术以及开放创新思路,是对传统设备厂商“封闭式”系统的挑战,运营商倡导降低 Capax和Opex为核心思想,以通用计算、存储和网络资源的基础设施,采用虚拟化技术,实现网络 业务功能“软件化”的灵活部署以及方案的可复制性,推动NFV的迅猛发展和应用。
传统网络安全产品的弊端
单系统处理能
力有限(性能 低)
单系统存储能
力有限(数据 存放少)
强依赖于硬件 设备可靠性
每个厂家都有自 己的配置风格
传统信息安全产品(防火墙、
VPN、审计产品、数据加密、防泄 漏、防病毒……)
每台设备都需要 独立配置管理
有故障必须找 厂家
价格昂贵
云计算环境怎 么办?
云计算的网络安全诉求
NFV推动网络安全SFV
v 传统网络安全模型:
APPLIANCE APPROACH
v 安全功能虚拟化模型:
VIRTUAL APPLIANCE APPROACH
病毒墙
IDS
防火墙
IPS
WAF
堡垒机
▪ 安全功能基于特定软硬件一体化实现 ▪ 硬件节点和安全功能一一绑定
安全的NFV演进
IDS
IPS
病毒墙
堡垒机VIRTUAL
PE Router
v 虚拟网络模型:
VIRTUAL APPLIANCE APPROACH
DPI
CG-NAT
BRAS
GGSN/ VIRTUAL SGSN APPLIANCES
Firewall PE Router
ORCHESTRATED, AUTOMATIC
& REMOTE INSTALL STANDARD HIGH VOLUME SERVERS
目录
云计算的发展趋势及应用
NFV发展及云计算应用对网络安全的诉求
传统IT和云计算中网络安全的解决之道 软件定义安全的统一架构模型
云计算和大数据下一代网络安全架构
软件定义安全在公有云、私有云及IDC实现思路
传统IT架构及网络安全方案
Internet
Core Router
Firewall
DMZ
IPS
• 数据中心的流量从传统的主要为南北向转化为 主要为东西向流量,东西向流量的互通缺少安 全的检测和防御措施
• 软硬件一体化安全设备目前在应对云计算环境 防护主要采用两种方式:1)南北向入口流量防 护;2)通过云计算平台及SDN引流方式实现。
特殊硬件安全产品的问题: ➢ 在云计算环境中,特殊安全产品硬件的管理将带来极大的运维
WAF 防火墙
APPLIANCES
ORCHESTRATED, AUTOMATIC & REMOTE INSTALL
STANDARD HIGH VOLUME SERVERS
▪ 所有安全功能都以虚拟化/软件形势运行于通用
硬件上
▪ 多个安全应用共享同一个物理硬件
安全功能是网络功能的一部分,NFV势必推动传统安全产品向SFV方向发展,否则无法满足NFV的需求