云数据中心安全-思科

CiscoConfidential©2012Ciscoand/oritsaffiliates.Allrightsreserved.1云数据中心安全V1.0李勇卫思科无边界网络安全部•云数据中心安全战略•云中心安全架构•云中心安全虚拟服务点CiscoConfidential©2010Ciscoand/oritsaffiliates.Allrightsreserved.3PublicPrivateHybridCommunityWhere?DeploymentModelsVirtualPrivate∞What?EssentialCharacteristics(NIST)MeasuredServicesRapidElasticityResourcePooling∞SelfServiceBroadAccessHow?ServiceModelsVMVMOSFRAMEWORKAPPLICATIONIaaSPaaSSaaS•单服务器单应用•静态•手工配置•单服务器多应用•移动•动态配置•单服务器多租户•弹性•自动扩展HYPERVISORVDC-1VDC-2CONSISTENCY(一致性):策略,功能，安全，管理物理WORKLOAD虚拟化WORKLOAD云化WORKLOADNexus1000V,VM-FEXVSG*,ASA1000V**UCSforVirtualizedWorkloadsNexus7K/5K/3K/2KASA5585,ASASMUCSforBareMetal*Virtualonly,**AnnouncedSwitchingSecurityCompute•逻辑隔离Logicalseparation•策略一致性PolicyCONSISTENCY(一致性)•认证和接入控制Authenticationandaccesscontrol•扩展和性能Scalabilityandperformance•自动化管理AUTOMATION(自动化)CiscoConfidential©2010Ciscoand/oritsaffiliates.Allrightsreserved.7SecurityManagementInfrastructureSecurityServicesServicesUCSVirtualAccessStorageAccessServicesAggregationCore基础架构安全保护数据中心控制和数据层面的安全。防止数据丢失，顺从性，失败保护流量隔离以及认证授权审计AD•可视化要求•日志，事件信息，集中认证•取证•异常行为检测•顺从性网络入侵检测和阻挡网络监控，分析，取证CSMACS数据中心进出流量过滤虚拟防火墙，策略分离，应对服务器之间过滤需求特殊的防火墙服务，保护服务器群负载均衡，隐藏服务和应用。数据安全认证访问控制端口安全认证QOS虚拟防火墙防火墙规则的实时监控ACLs,PortSecurity,VNTag,Netflow,ERSPAN,QoS,CoPP,DHCPsnoopingIsolation&Access-ControlModelIntra-TenantIntra-LayerIntra-ServerVMVMInter-VMIntra-ServerVMVMInter-VMIntra-LayerIntra-ServerVMVMInter-VMIntra-ServerVMVMInter-VMIntraAPPInter-LayerIntra-TenantIntra-LayerIntra-ServerVMVMInter-VMIntra-ServerVMVMInter-VMIntra-LayerIntra-ServerVMVMInter-VMIntra-ServerVMVMInter-VMIntraAPPInter-LayerIntra-LayerIntra-ServerVMVMInter-VMIntra-ServerVMVMInter-VMIntra-LayerIntra-ServerVMVMInter-VMIntra-ServerVMVMInter-VMIntraAPPInter-LayerInter-APPInter-TenantIntra-CloudDCIntra-LayerIntra-ServerVMVMInter-VMIntra-ServerVMVMInter-VMIntra-LayerIntra-ServerVMVMInter-VMIntra-ServerVMVMInter-VMInter-LayerIntra-APPInter-APP物理平面化立体化架构网络安全计算VFW…VRFVRFVRF…VLANVN-LinkVMVDC…VLANVLANVLAN…VMVMVMVMVMVM…VDCVFWVFWVN-LinkVN-LinkVN-LinkVN-Link…VMDC逻辑层次化结构资源大集中中小租户:1.每个租户一个VLAN/一个VRF。2.VLAN映射到VRF。3.不进行业务/服务层区分。4.独立VDC专供此用户类型接入。核心VDC汇聚VDC中小租户VMVMVlan物理机VMVMVlanVRFVRFTenantTenant无安全要求租户VMVMVlan物理机VMVMVlani-VRFi-VRFTenantG-VRF大企业租户/私有业务VMVMVlan物理机VMVMVlanTenantVMVMVlanVMVMVlanWebAPPDB大企业租户/私有业务:1.租户利用GlobalVRF区分。2.每个租户多个InternalVRF。3.InternalVRF区分不同部门或者应用。4.通过多VLAN实现多级应用灵活Zone部署。5.独立VDC专供此用户类型接入。G-VRFGlobalVRFi-VRFInternalVRF汇聚VDCi-VRFi-VRFG-VRF汇聚VDCNexus7K•如果受到保护，流量经过防火墙否则直接流向无保护的区域Zone。•业务模型按照应用特点来考虑服务集成：–安全要求应用–FWOnly/FW+IPS–保护模式–性能要求应用–高吞吐/时延敏感无-保护模式•业务模型可以按照任意形式组合服务–全功能服务–防火墙/负载均衡/应用加速–仅需防火墙–防火墙和负载均衡服务–无保护，但负载均衡服务务–无保护用户访问受保护无保护可选应用服务-负载均衡LB,IPS,EdgeFWetc可选应用服务-负载均衡LB,IPS,EdgeFWetc直接访问模式A模式B模式C模式D共享防火墙虚拟防火墙模式EPOD大租户安全服务池核心VDCVPCVPC汇聚VDC汇聚VDC共享安全服务池核心VDC汇聚VDC汇聚VDC大企业租户/私有业务汇聚VDC汇聚VDC•边界防火墙•高并发连接•高每秒新建连接•DDOS攻击防护•IPS威胁防御•地址转换POD中小租户POD私有业务/无安全要求Internet安全服务池•虚拟防火墙•虚拟VPN接入•虚墙IPS•虚拟负载均衡•虚拟链路加速•虚拟流量分析•虚墙独立管理•虚墙资源划分•软件/硬件方案安全服务池出口路由器出口路由器Internet安全服务池InternetNexus7KNexus7K汇聚VDC核心VDC汇聚VDC中小租户VMVMVlan物理机VMVMVlanVRFVRFTenantTenant大企业租户VMVMVlan物理机VMVMVlani-VRFi-VRFTenantG-VRF大企业租户/私有业务VMVMVlan物理机VMVMVlani-VRFi-VRFTenantG-VRFVMVMVlanVMVMVlanWebAPPDBG-VRFGlobalVRFi-VRFInternalVRFShareFWVFWVFWVFWVFW汇聚VDC–多虚一技术•多虚一，动态扩展防火墙处理能力，性能按需扩展。保护投资。…7k-2Core-VDCVPCVPC7k-2Agg-VDC7k-1Core-VDC7k-1Agg-VDCscECscEC•高扩展性。•单点管理。•群内所有防火墙全部Active。•有群内负载均衡能力。•群内防火墙失败，全群火墙帮助恢复会话。保证防火墙群内无单点失败/防火墙全冗余。•可以和路由交换多虚一结合实现全路径多虚一，无SpanningTree困扰。scEC:span-clusterECVPC:VirtualPortChannel需求特点：防火墙集群(多虚一)：ASAASA–一虚多技术•一虚多，虚拟出多个防火墙，租户逻辑隔离，资源限定防止租户串扰。减少投资。•虚墙独立管理/独立日志•虚墙独立路由层面（地址可重叠）•虚墙独立安全策略/NAT策略/应用层策略。•防火墙资源限定，彻底保护租户不互相串扰。防火墙虚拟化需求特点：并发连接10万新建速率100K/秒虚墙-1性能MAC表10万在线主机数容量日志控制层面管理员安全策略配置NAT策略DPI策略数据层面NAT连接10万管理连接虚墙-2虚墙-3虚墙-250…路由租户-2租户-3租户-2507k-2Core-VDCVPCVPC7k-2Agg-VDC17k-1Core-VDC7k-1Agg-VDC17k-2Agg-VDC27k-1Agg-VDC2VPN资源池N3KC29PODInternetISRTeleWorkerWAAS广域网加速公司分部热点VFW接入方案VPN资源池(VPN集群+VLAN映射)N7N3用户/N7C29用户用户接入容量10万VPN吞吐60GbpsVFW+VPNN7N5（POD用户）用接入容量1万(单板)4万(单框)3Gbps(单板)12Gbps(单框)接入协议及方式分支互联（IPsec）软硬件客户端远程连接（IPSEC/SSL/DTLS)无客户端远程连接（SSL）接入终端类型(PC/平板电脑/智能手机)windows/MacOS/LinuxAppleIPAD/IphoneAndroidSymbianBlackberry共享安全服务池大租户安全服务池–多虚一技术.1.2.3.4.31.32.33.34ClusterMaster10.10.1.X124.118.24.50群集IP地址客户端要求与124.118.24.50建立连接虚拟群集以124.118.24.33响应客户端与124.118.24.33建立IPsec/SSLVPN连接动态性能扩展–并发VPN隧道数扩展，VPN加密解密吞吐扩展。动态无缝扩展–新建VPN网关无缝集成到已有VPN网关中。动态负载均衡–保证设备利用率合理，健康状态实时跟踪。动态接管–提供高可用性。保护投资/高兼容性–要求集群内设备型号允许混杂。VPN集群技术特点•多虚一，动态扩展CloudDC的VPN处理能力，性能按需扩展。保护投资。-一虚多技术VlanMappingVRFAVRFBVRFCVlan-AVlan-BVlan-COutsideIFG-AG-BG-CInsideVlanVPNGatewayTunnelATunnelBTunnelC1.租户内内部地址规划独立。2.租户VPN会话与VLAN绑定。3.所有租户单公网IP接入。4.每租户有独立的定制界面。5.每租户有独立的认证服务器组。6.每租户有独立访问控制.7.设备支持租户数较多，租户数=VLAN数。8.性能要求低。9.免License，经济。VLAN镜像技术特点1.每租户独立管理。2.租户内内部地址规划独立。3.每租户有独立的公网IP接入。4.每租户有独立的定制界面。5.每租户有独立的认证服务器组。6.每租户有独立访问控制.7.租户数支持有限。8.性能要求相对较高。9.需要License。虚拟站点=技术特点VContext-AVirtualPortalVContext-BVContext-COutsideIF=AOutsideIF=BOutsideIF=CInsideIF=AInsideIF=AInsideIF=AShareInterfaceTunnelATunnelBTunnelC•一虚多，虚拟出多个VPN网关从而实现动态扩展，租户逻辑隔离，减少投资。CiscoConfidential©2010Ciscoand/oritsaffil