|
大家好�,我匯報的題目是“云計算網(wǎng)絡(luò)安全”。
今天主要講的內(nèi)容有三個部分�,一是云數(shù)據(jù)中心安全戰(zhàn)略;二是云中心安全架構(gòu);三是云中心安全虛擬服務(wù)點。
首先給大家介紹一下云數(shù)據(jù)中心網(wǎng)絡(luò)安全的概念�����。云數(shù)據(jù)中心第一個特點是資源集中���,我們在云數(shù)據(jù)中心里面除了IT資源、網(wǎng)絡(luò)資源�����,F(xiàn)在的數(shù)據(jù)中心,基本上一個地方幾萬臺服務(wù)器����,云數(shù)據(jù)中心交換量很大。當(dāng)我們資源集中以后���,我們使用資源���,我們希望有一個統(tǒng)一的控制平臺,用戶可以通過這個控制平臺���,通過交互式工具來獲取相應(yīng)的資源��。在我們資源集中以后�,如果想使用這個數(shù)據(jù)的話����,彈性的去獲取,或者是撤銷任務(wù)�����。
從傳統(tǒng)數(shù)據(jù)中心到語音化數(shù)據(jù)中心的嚴(yán)謹(jǐn)。傳統(tǒng)的數(shù)據(jù)中心是什么樣子�,一個數(shù)據(jù)中心首先有數(shù)據(jù)中心外部,數(shù)據(jù)中心內(nèi)部�����。進入到數(shù)據(jù)中心內(nèi)部以后�,我們這個數(shù)據(jù)中心的內(nèi)部通常有一個交換的網(wǎng)絡(luò)作為核心。進到業(yè)務(wù)區(qū)域內(nèi)部以后���,業(yè)務(wù)區(qū)域內(nèi)部分為核心匯聚�,最后接入服務(wù)器��,傳統(tǒng)的服務(wù)器一臺是一臺��,這是傳統(tǒng)數(shù)據(jù)中心的一個架構(gòu)��。隨著服務(wù)器虛擬化��,我們說傳統(tǒng)服務(wù)器為什么會變成虛擬化的服務(wù)中心?主要驅(qū)動力來自于服務(wù)器的虛擬化�����。這種情況下�����,我們?yōu)榱速Y源合理去利用���,假如我們把一個服務(wù)器固定在一個固定的位置上�����,我們希望虛擬機可以按照我們的需要���,在資源普及的環(huán)境下,可以自由的去劃分�,這樣的話原來那個模型就不太適合這個架構(gòu),從這個角度來說你的虛擬化的服務(wù)中心��,不光是服務(wù)器的虛擬化����,網(wǎng)絡(luò)也需要虛擬化。我們把多個虛擬化進行集中�����,然后把業(yè)務(wù)分給不同的租戶來使用�����,這樣就提到了我們剛才說的語音化數(shù)據(jù)中心。我們思科針對云數(shù)據(jù)中心�����,我們提供了我們專有的產(chǎn)品���,從交換機���,我們提供了我們專門的數(shù)據(jù)中心7K、5K�、3K、2K��。我們在做云數(shù)據(jù)中心的時候���,我們的資源集中化����,按照傳統(tǒng)網(wǎng)絡(luò)�����,我怎么能讓我這個服務(wù)器接一個平面化的網(wǎng)絡(luò),我需要資源的時候我可以動態(tài)的去劃分�。網(wǎng)絡(luò)是一個大平面,在這個平面里面只有一個交換機��,具體你要使用的話���,任何一個服務(wù)器上的虛擬機,它和其他的是完全對等的�,你所想要的業(yè)務(wù)會非常方便,這是網(wǎng)絡(luò)對虛擬化的挑戰(zhàn)����,而思科是這么應(yīng)對的。同時我們還做了1000K的網(wǎng)絡(luò)交換機�。另外,我們專門針對數(shù)據(jù)中心做了安全防火墻�����,這個防火墻可以做虛擬化�,可以把多個防火墻做成一個防火墻,我們可以把我們的安全資源集中化以后���,虛擬成一個資源��。除了數(shù)據(jù)中心的防火墻��,我們還有ASA的防火墻卡��。
安全架構(gòu)要求�����。我們有五個層面�,邏輯隔離,這種情況下��,我們在做云數(shù)據(jù)中心網(wǎng)絡(luò)安全第一步就是安全隔離��。第二是策略一致性�,我們可以做到各個層面的安全防護。第三�,在我使用語言數(shù)據(jù)中心的時候,我希望正確的人在正確的時間�����,從數(shù)據(jù)中心內(nèi)部或者外部掃描資源�,這是基本的要求,我們需要通過認(rèn)證和授權(quán)。語言數(shù)據(jù)中心最大的優(yōu)點就是擴展和性能�����,我們是不是能夠滿足性能的不斷提升的要求�����。當(dāng)我們加入這樣一個網(wǎng)絡(luò)安全服務(wù)的時候���,是不是非常麻煩,還是我統(tǒng)一有一個平面��,在這個平面上去做控制�。虛擬化數(shù)據(jù)中心安全控制框架,我們把所有安全的服務(wù)放到一個服務(wù)池里面����。在服務(wù)層面,一個數(shù)據(jù)中心內(nèi)部到外部的一個保護�,還有就是租戶之間,業(yè)務(wù)之間的安全防護�。
云中心隔離模型。中小型租戶:1����、每個租戶一個VLAN/一個VRF�����。2����、VLAN映射到VRF��。3���、不進行業(yè)務(wù)/服務(wù)層區(qū)分�����。4���、獨立VDC專供此用戶類型接入。大企業(yè)租戶/私有業(yè)務(wù):1��、租戶利用Global VRF區(qū)分�。2、每個租戶多個Intemal VRF���。3�����、Intemal VRF區(qū)分不同部門或者應(yīng)用��。云中心業(yè)務(wù)保護模式���。如果受到保護�,流量經(jīng)過防火墻否則直接流向無保護的區(qū)域Zone��。業(yè)務(wù)末新按照應(yīng)用特點來考慮服務(wù)集成��,安全要求應(yīng)用—FW Only/FW+IPS—保護模式���,性能要求應(yīng)用—高吞吐。這是混合云安全架構(gòu)模型����,我們堅持兩層安全架構(gòu),這里面的安全服務(wù)就是虛擬數(shù)據(jù)中心的安全架構(gòu)中心里的服務(wù)層面概念�����。如果僅僅是防火墻,對于中小租戶的話����,可能作為共享。云中心防火墻的特點��,多虛�����,技術(shù)���。需求特點:多虛一��,動態(tài)擴展防火墻處理能力����,性能按需擴展���。保護投資����。防火墻集群:高擴展性�,單點管理���,群內(nèi)所有防火墻全部Aclive,有群內(nèi)負(fù)責(zé)均衡能力����,群內(nèi)防火墻失敗,全群火墻幫助恢復(fù)繪畫�,保證防火墻群內(nèi)無單點失敗。云中心防火墻的特點�����,虛多技術(shù)����。需求特點:一虛多,虛擬出多個防火墻����,租戶邏輯隔離�����,資源限定防治租戶串?dāng)_�,減少投資����。防火墻虛擬化����,虛墻獨立管理/獨立日志,虛墻獨立路由層面����,虛墻獨立安全策略/NAT策略/應(yīng)用層策略。防火墻資源限定�,徹底保護租戶不互相串?dāng)_。在云數(shù)據(jù)中心當(dāng)我們把網(wǎng)絡(luò)隔離好的話��,在云數(shù)據(jù)中心安全接入��。一虛多技術(shù)�,VLAN鏡像技術(shù)特點:1、租戶內(nèi)內(nèi)部地址規(guī)劃獨立��。2�����、租戶VPN會話與VLAN綁定����。3����、所有租戶單公網(wǎng)IP接入�����。4�、每租戶有獨立的定制界面。5��、每租戶有獨立的認(rèn)證服務(wù)器組���。
云中心安全虛擬服務(wù)電���。服務(wù)器虛擬化潛在問題,1����、vMotion在不物理端口遷移虛擬機一網(wǎng)絡(luò)策略必須跟隨vMotion��。2�、必須察看和應(yīng)用本地交換的網(wǎng)絡(luò)和安全策略��。虛擬化和云需求推動數(shù)據(jù)中心需求���,傳統(tǒng)數(shù)據(jù)中心:服務(wù)于特有應(yīng)用。組成:專用設(shè)備�����,交換模塊�。虛擬數(shù)據(jù)中心:虛擬設(shè)備,動態(tài)實施配置����,服務(wù)隊VM移動透明,可擴展���,適合大規(guī)模多租戶操作����。設(shè)備虛擬化���,資源限定��,可擴展�����,性能可靠����,適合特定租戶操作。這是我們思科的Nexus1000V軟件交換機�����,每個VEM支持200+vEth ports(虛擬網(wǎng)口)����。
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強��!虛擬主機域名注冊頂級提供商���!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
