虚拟化与云安全解决方案
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Alpha Zones
VLAN 1021 1022 VLAN trunk to L2 VDOM VLAN 1031 1032
VLAN trunk to L2 VDOM
VM Security
Bravo1 Bravo 2
To L3 VDOM vSwitch Inter-ZONE Bravo 1 Port Gr VLAN 102{1-n} Bravo 2 Port Gr VLAN 103{1-n}
REST API (控制) 红色= 控制通道 黑色= 数据通道
分布式虚拟交换机 (虚拟网络) vSphere
vCenter
• 安全服务VM (FortiGate-VMX) 通过使用NetX REST API实现自动部署 • 设定规则来决定什么样的数据包被接受,拒绝,发送 或为了检查而镜像 • 基于IP、MAC地址、端口号的逻辑规则 • 在被保护VM的vNIC与虚拟交换机之间插入过滤器(i.e. 基于hypervisor的安全)
DMZ/Private Zone
虚拟化数据中心
Servers / DMZ Desktops / Private
Server
硬件 虚拟化
软件 虚拟化
8
硬件虚拟化
客户1区域
客户2区域 Web 业务区
客户1区域
客户 1 区域 客户 1 区域
客户 2 区域 客户 2 区域 邮件业务区
客户1区域
客户1区域
客户2区域 通用业务区
边界
云/数据中心
低延迟
下一代防火墙 高性能 VPN/加密 访问控制
灵活性
下一代防火墙 应用控制 IPS 数据泄露保护 应用防火墙 数据库安全 虚拟域
7
多种虚拟化部署方案 – 适应云计算架构
硬件虚拟化 @ 数据中心边界 软件虚拟化 @ 数据中心内部区域
安全考量 风险 可视 控制 合规
• 最快的ATCA机架式防火墙
• 拥有最小的网络瓶颈
» 最大1.1.2 Tbps 防火墙吞吐 » 最大322 M并发会话 • 高性能,高容量平台 » 14槽, 13U 机框式高密度部署 » 40 GbE 交换背板带宽 » 最大扩展28x 40-GbE端口
• 模块化、整合与运营级安全解决 方案所需的可靠性和可伸缩性 • 基本安全功能完全集成到ATCA架 构防火墙中
需求
不仅仅是防火墙,还需要高级安全 特性(UTM/NGFW) 网络微分段(“零信任网络”)
控制东西向流量,多层逻辑安全域 虚拟机与安全的集成、协同、自动化处 理
解决方案
18
FortiGate-VMX概述
FG-VMX Fortinet 服务管理器
NetX Data API vShield Manager
租户wk.baidu.com行部署 FortiGate-VM 保护应用
Web 服务器
应用 服务器
数据库服务器
vSwitch WEB
vSwitch APP
vSwitch DB
vSwitch External
Hypervisor
Internet
16
问题:东西向(内部/VLAN内)流量怎么办?
现实: 数据中心中76%的流量都是 东西向的 *
反恶意软件及病毒 – 保护域并防止交叉感染
加密 – 什么数据需要被加密 虚拟域 – 更精确的策略管理
5
专注安全-物理还是虚拟化?
物理防火墙位于边界
High-Capacity Perimeter FW
服务器则可以使用虚 拟化来支持应用的安 全
VM On The Servers
6
关键技术– 不同的部署
客户1区域
Web 业务安全策略
虚拟安全区域客户1
多层虚拟化
防火墙网关
VLAN trunk
通用 业务安全策略
虚拟安全区域客户1
VLAN trunk
VLAN trunk
VLAN trunk
虚拟安全区域客户2
虚拟安全区域客户2
虚拟安全区域客户2 超级管理员根系统
虚拟安全区域客户2
超级管理员根系统
9
FortiGate-5144C – 世界上最快的防火墙
• 保证最小延迟及最大 性能 • 硬件保护数据中心防 范外部威胁
VM Security
硬件安全设备
12
虚拟机与虚拟域
• 在虚拟机中使用虚拟 域 • 一个VDOM一个租户 • 在多租户环境中将客 户与商业组织分离 (私 有云/公有云)
13
域间&虚拟机之间的安全
所有Bravo区虚拟机之间的安全通过2层VDOM由UTM进行全面扫描. 域间安全交由下一代防火墙及UTM扫描通过3层VDOM进行全面扫描 Alpha 区的虚拟机可以与其他虚拟机自由交互
Finance
HR
R&D
3
数据中心与云安全
哪些因素必须考虑
»速度: 南向 vs 北向 »灵活性: 东向 vs 西向
4
关键技术
DLP – 保证敏感信息没有穿过安全域 应用控制 – 保护应用层 入侵防护 – 保护服务器避免攻击 Web 应用防火墙– 保护关键应用 数据库保护- 保护及审计数据库
• 并发支持500个虚拟防火墙
10
软件虚拟化 - VM
Web Server
VM VM VM
应用 Server
VM VM VM
应用 Server
VM VM VM
服务管理接口
虚拟化安 全防御
管理控制台
攻击者
11
11
专有安全– 物理&虚拟化
• 虚拟平台保护trust区 域之间的数据流,无 需路由至物理网络
数据中心边界
南北向流量
东西向流量的可视化 迁移时保持会话状态 (e.g. vMotion) SDN/SDDC 网络虚拟化 (e.g. VXLAN) 逻辑端口、IP、MAC 可以打破静态规则
东西向流量
*Cisco Global Cloud Index, 2013
17
VMware NSX SDN解决方案
虚拟化与云安全解决方案
云安全没有借口
“The cloud ate my homework”
2
面临的关键挑战
我需要什么: 公有云,私有云,混合云
什么属于云的范畴 我该如何建立,实施并且管理我的安全策 略? 如何保证低延迟
» 我该使用物理安全还是虚拟化安 » 不同的租户/部门能否共享安全设备 » 我该如何管理控制同一个公司下不 同的商业部门之间的设备
Alpha Port Group (VLAN 101) vSwitch Alpha
vSwitch Bravo 1-n Inter-VM
vSwitch Fabric
Hypervisor Layer
14
全系列软件虚拟化方案
15
FortiGate-VM方案
• FortiGate-VM是一个
虚拟机(与业务服务器 VM地位相同) • 通过网络协议(二层/ 三层)引流至 FortiGate-VM • 主要定位于数据中心 南北向流量(跨VLAN 流量)
VLAN 1021 1022 VLAN trunk to L2 VDOM VLAN 1031 1032
VLAN trunk to L2 VDOM
VM Security
Bravo1 Bravo 2
To L3 VDOM vSwitch Inter-ZONE Bravo 1 Port Gr VLAN 102{1-n} Bravo 2 Port Gr VLAN 103{1-n}
REST API (控制) 红色= 控制通道 黑色= 数据通道
分布式虚拟交换机 (虚拟网络) vSphere
vCenter
• 安全服务VM (FortiGate-VMX) 通过使用NetX REST API实现自动部署 • 设定规则来决定什么样的数据包被接受,拒绝,发送 或为了检查而镜像 • 基于IP、MAC地址、端口号的逻辑规则 • 在被保护VM的vNIC与虚拟交换机之间插入过滤器(i.e. 基于hypervisor的安全)
DMZ/Private Zone
虚拟化数据中心
Servers / DMZ Desktops / Private
Server
硬件 虚拟化
软件 虚拟化
8
硬件虚拟化
客户1区域
客户2区域 Web 业务区
客户1区域
客户 1 区域 客户 1 区域
客户 2 区域 客户 2 区域 邮件业务区
客户1区域
客户1区域
客户2区域 通用业务区
边界
云/数据中心
低延迟
下一代防火墙 高性能 VPN/加密 访问控制
灵活性
下一代防火墙 应用控制 IPS 数据泄露保护 应用防火墙 数据库安全 虚拟域
7
多种虚拟化部署方案 – 适应云计算架构
硬件虚拟化 @ 数据中心边界 软件虚拟化 @ 数据中心内部区域
安全考量 风险 可视 控制 合规
• 最快的ATCA机架式防火墙
• 拥有最小的网络瓶颈
» 最大1.1.2 Tbps 防火墙吞吐 » 最大322 M并发会话 • 高性能,高容量平台 » 14槽, 13U 机框式高密度部署 » 40 GbE 交换背板带宽 » 最大扩展28x 40-GbE端口
• 模块化、整合与运营级安全解决 方案所需的可靠性和可伸缩性 • 基本安全功能完全集成到ATCA架 构防火墙中
需求
不仅仅是防火墙,还需要高级安全 特性(UTM/NGFW) 网络微分段(“零信任网络”)
控制东西向流量,多层逻辑安全域 虚拟机与安全的集成、协同、自动化处 理
解决方案
18
FortiGate-VMX概述
FG-VMX Fortinet 服务管理器
NetX Data API vShield Manager
租户wk.baidu.com行部署 FortiGate-VM 保护应用
Web 服务器
应用 服务器
数据库服务器
vSwitch WEB
vSwitch APP
vSwitch DB
vSwitch External
Hypervisor
Internet
16
问题:东西向(内部/VLAN内)流量怎么办?
现实: 数据中心中76%的流量都是 东西向的 *
反恶意软件及病毒 – 保护域并防止交叉感染
加密 – 什么数据需要被加密 虚拟域 – 更精确的策略管理
5
专注安全-物理还是虚拟化?
物理防火墙位于边界
High-Capacity Perimeter FW
服务器则可以使用虚 拟化来支持应用的安 全
VM On The Servers
6
关键技术– 不同的部署
客户1区域
Web 业务安全策略
虚拟安全区域客户1
多层虚拟化
防火墙网关
VLAN trunk
通用 业务安全策略
虚拟安全区域客户1
VLAN trunk
VLAN trunk
VLAN trunk
虚拟安全区域客户2
虚拟安全区域客户2
虚拟安全区域客户2 超级管理员根系统
虚拟安全区域客户2
超级管理员根系统
9
FortiGate-5144C – 世界上最快的防火墙
• 保证最小延迟及最大 性能 • 硬件保护数据中心防 范外部威胁
VM Security
硬件安全设备
12
虚拟机与虚拟域
• 在虚拟机中使用虚拟 域 • 一个VDOM一个租户 • 在多租户环境中将客 户与商业组织分离 (私 有云/公有云)
13
域间&虚拟机之间的安全
所有Bravo区虚拟机之间的安全通过2层VDOM由UTM进行全面扫描. 域间安全交由下一代防火墙及UTM扫描通过3层VDOM进行全面扫描 Alpha 区的虚拟机可以与其他虚拟机自由交互
Finance
HR
R&D
3
数据中心与云安全
哪些因素必须考虑
»速度: 南向 vs 北向 »灵活性: 东向 vs 西向
4
关键技术
DLP – 保证敏感信息没有穿过安全域 应用控制 – 保护应用层 入侵防护 – 保护服务器避免攻击 Web 应用防火墙– 保护关键应用 数据库保护- 保护及审计数据库
• 并发支持500个虚拟防火墙
10
软件虚拟化 - VM
Web Server
VM VM VM
应用 Server
VM VM VM
应用 Server
VM VM VM
服务管理接口
虚拟化安 全防御
管理控制台
攻击者
11
11
专有安全– 物理&虚拟化
• 虚拟平台保护trust区 域之间的数据流,无 需路由至物理网络
数据中心边界
南北向流量
东西向流量的可视化 迁移时保持会话状态 (e.g. vMotion) SDN/SDDC 网络虚拟化 (e.g. VXLAN) 逻辑端口、IP、MAC 可以打破静态规则
东西向流量
*Cisco Global Cloud Index, 2013
17
VMware NSX SDN解决方案
虚拟化与云安全解决方案
云安全没有借口
“The cloud ate my homework”
2
面临的关键挑战
我需要什么: 公有云,私有云,混合云
什么属于云的范畴 我该如何建立,实施并且管理我的安全策 略? 如何保证低延迟
» 我该使用物理安全还是虚拟化安 » 不同的租户/部门能否共享安全设备 » 我该如何管理控制同一个公司下不 同的商业部门之间的设备
Alpha Port Group (VLAN 101) vSwitch Alpha
vSwitch Bravo 1-n Inter-VM
vSwitch Fabric
Hypervisor Layer
14
全系列软件虚拟化方案
15
FortiGate-VM方案
• FortiGate-VM是一个
虚拟机(与业务服务器 VM地位相同) • 通过网络协议(二层/ 三层)引流至 FortiGate-VM • 主要定位于数据中心 南北向流量(跨VLAN 流量)