|
大家好,我匯報的題目是“云計算網(wǎng)絡安全”。
今天主要講的內(nèi)容有三個部分���,一是云數(shù)據(jù)中心安全戰(zhàn)略;二是云中心安全架構;三是云中心安全虛擬服務點。
首先給大家介紹一下云數(shù)據(jù)中心網(wǎng)絡安全的概念�����。云數(shù)據(jù)中心第一個特點是資源集中�����,我們在云數(shù)據(jù)中心里面除了IT資源����、網(wǎng)絡資源。現(xiàn)在的數(shù)據(jù)中心���,基本上一個地方幾萬臺服務器�,云數(shù)據(jù)中心交換量很大�。當我們資源集中以后,我們使用資源��,我們希望有一個統(tǒng)一的控制平臺����,用戶可以通過這個控制平臺,通過交互式工具來獲取相應的資源�����。在我們資源集中以后,如果想使用這個數(shù)據(jù)的話����,彈性的去獲取,或者是撤銷任務���。
從傳統(tǒng)數(shù)據(jù)中心到語音化數(shù)據(jù)中心的嚴謹���。傳統(tǒng)的數(shù)據(jù)中心是什么樣子,一個數(shù)據(jù)中心首先有數(shù)據(jù)中心外部����,數(shù)據(jù)中心內(nèi)部。進入到數(shù)據(jù)中心內(nèi)部以后��,我們這個數(shù)據(jù)中心的內(nèi)部通常有一個交換的網(wǎng)絡作為核心���。進到業(yè)務區(qū)域內(nèi)部以后�����,業(yè)務區(qū)域內(nèi)部分為核心匯聚�����,最后接入服務器��,傳統(tǒng)的服務器一臺是一臺�,這是傳統(tǒng)數(shù)據(jù)中心的一個架構。隨著服務器虛擬化���,我們說傳統(tǒng)服務器為什么會變成虛擬化的服務中心?主要驅(qū)動力來自于服務器的虛擬化。這種情況下��,我們?yōu)榱速Y源合理去利用�,假如我們把一個服務器固定在一個固定的位置上,我們希望虛擬機可以按照我們的需要���,在資源普及的環(huán)境下�,可以自由的去劃分�,這樣的話原來那個模型就不太適合這個架構,從這個角度來說你的虛擬化的服務中心�����,不光是服務器的虛擬化����,網(wǎng)絡也需要虛擬化���。我們把多個虛擬化進行集中,然后把業(yè)務分給不同的租戶來使用����,這樣就提到了我們剛才說的語音化數(shù)據(jù)中心。我們思科針對云數(shù)據(jù)中心����,我們提供了我們專有的產(chǎn)品,從交換機����,我們提供了我們專門的數(shù)據(jù)中心7K、5K�����、3K���、2K���。我們在做云數(shù)據(jù)中心的時候,我們的資源集中化,按照傳統(tǒng)網(wǎng)絡����,我怎么能讓我這個服務器接一個平面化的網(wǎng)絡,我需要資源的時候我可以動態(tài)的去劃分�。網(wǎng)絡是一個大平面,在這個平面里面只有一個交換機��,具體你要使用的話��,任何一個服務器上的虛擬機��,它和其他的是完全對等的�,你所想要的業(yè)務會非常方便���,這是網(wǎng)絡對虛擬化的挑戰(zhàn)�,而思科是這么應對的�。同時我們還做了1000K的網(wǎng)絡交換機。另外��,我們專門針對數(shù)據(jù)中心做了安全防火墻�,這個防火墻可以做虛擬化,可以把多個防火墻做成一個防火墻�,我們可以把我們的安全資源集中化以后,虛擬成一個資源�。除了數(shù)據(jù)中心的防火墻����,我們還有ASA的防火墻卡����。
安全架構要求。我們有五個層面����,邏輯隔離,這種情況下�,我們在做云數(shù)據(jù)中心網(wǎng)絡安全第一步就是安全隔離。第二是策略一致性�,我們可以做到各個層面的安全防護。第三�����,在我使用語言數(shù)據(jù)中心的時候���,我希望正確的人在正確的時間���,從數(shù)據(jù)中心內(nèi)部或者外部掃描資源,這是基本的要求,我們需要通過認證和授權���。語言數(shù)據(jù)中心最大的優(yōu)點就是擴展和性能�����,我們是不是能夠滿足性能的不斷提升的要求����。當我們加入這樣一個網(wǎng)絡安全服務的時候�,是不是非常麻煩,還是我統(tǒng)一有一個平面�����,在這個平面上去做控制��。虛擬化數(shù)據(jù)中心安全控制框架��,我們把所有安全的服務放到一個服務池里面�����。在服務層面�����,一個數(shù)據(jù)中心內(nèi)部到外部的一個保護�����,還有就是租戶之間�����,業(yè)務之間的安全防護���。
云中心隔離模型����。中小型租戶:1����、每個租戶一個VLAN/一個VRF。2����、VLAN映射到VRF。3��、不進行業(yè)務/服務層區(qū)分。4�、獨立VDC專供此用戶類型接入。大企業(yè)租戶/私有業(yè)務:1���、租戶利用Global VRF區(qū)分����。2����、每個租戶多個Intemal VRF。3��、Intemal VRF區(qū)分不同部門或者應用����。云中心業(yè)務保護模式。如果受到保護�,流量經(jīng)過防火墻否則直接流向無保護的區(qū)域Zone�。業(yè)務末新按照應用特點來考慮服務集成,安全要求應用—FW Only/FW+IPS—保護模式��,性能要求應用—高吞吐���。這是混合云安全架構模型���,我們堅持兩層安全架構���,這里面的安全服務就是虛擬數(shù)據(jù)中心的安全架構中心里的服務層面概念。如果僅僅是防火墻�,對于中小租戶的話,可能作為共享���。云中心防火墻的特點�,多虛�,技術。需求特點:多虛一����,動態(tài)擴展防火墻處理能力,性能按需擴展����。保護投資。防火墻集群:高擴展性����,單點管理��,群內(nèi)所有防火墻全部Aclive�,有群內(nèi)負責均衡能力�����,群內(nèi)防火墻失敗�����,全群火墻幫助恢復繪畫�,保證防火墻群內(nèi)無單點失敗。云中心防火墻的特點����,虛多技術。需求特點:一虛多��,虛擬出多個防火墻���,租戶邏輯隔離��,資源限定防治租戶串擾���,減少投資。防火墻虛擬化��,虛墻獨立管理/獨立日志����,虛墻獨立路由層面,虛墻獨立安全策略/NAT策略/應用層策略�。防火墻資源限定,徹底保護租戶不互相串擾��。在云數(shù)據(jù)中心當我們把網(wǎng)絡隔離好的話��,在云數(shù)據(jù)中心安全接入���。一虛多技術�,VLAN鏡像技術特點:1�����、租戶內(nèi)內(nèi)部地址規(guī)劃獨立��。2�、租戶VPN會話與VLAN綁定。3���、所有租戶單公網(wǎng)IP接入�����。4���、每租戶有獨立的定制界面���。5、每租戶有獨立的認證服務器組�����。
云中心安全虛擬服務電����。服務器虛擬化潛在問題,1����、vMotion在不物理端口遷移虛擬機一網(wǎng)絡策略必須跟隨vMotion。2����、必須察看和應用本地交換的網(wǎng)絡和安全策略����。虛擬化和云需求推動數(shù)據(jù)中心需求�����,傳統(tǒng)數(shù)據(jù)中心:服務于特有應用����。組成:專用設備�����,交換模塊����。虛擬數(shù)據(jù)中心:虛擬設備,動態(tài)實施配置�,服務隊VM移動透明,可擴展����,適合大規(guī)模多租戶操作。設備虛擬化,資源限定��,可擴展�����,性能可靠�,適合特定租戶操作。這是我們思科的Nexus1000V軟件交換機����,每個VEM支持200+vEth ports(虛擬網(wǎng)口)。
本文出自:億恩科技【1tcdy.com】
服務器租用/服務器托管中國五強�����!虛擬主機域名注冊頂級提供商�����!15年品質(zhì)保障���!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
