|
大家好�����,我匯報的題目是“云計算網絡安全”�。
今天主要講的內容有三個部分���,一是云數據中心安全戰略;二是云中心安全架構;三是云中心安全虛擬服務點�����。
首先給大家介紹一下云數據中心網絡安全的概念�����。云數據中心第一個特點是資源集中�����,我們在云數據中心里面除了IT資源���、網絡資源���,F在的數據中心����,基本上一個地方幾萬臺服務器���,云數據中心交換量很大�。當我們資源集中以后����,我們使用資源��,我們希望有一個統一的控制平臺�,用戶可以通過這個控制平臺��,通過交互式工具來獲取相應的資源���。在我們資源集中以后�����,如果想使用這個數據的話��,彈性的去獲取����,或者是撤銷任務���。
從傳統數據中心到語音化數據中心的嚴謹��。傳統的數據中心是什么樣子�,一個數據中心首先有數據中心外部�,數據中心內部�����。進入到數據中心內部以后����,我們這個數據中心的內部通常有一個交換的網絡作為核心�。進到業務區域內部以后����,業務區域內部分為核心匯聚��,最后接入服務器���,傳統的服務器一臺是一臺���,這是傳統數據中心的一個架構��。隨著服務器虛擬化���,我們說傳統服務器為什么會變成虛擬化的服務中心?主要驅動力來自于服務器的虛擬化����。這種情況下�����,我們為了資源合理去利用��,假如我們把一個服務器固定在一個固定的位置上���,我們希望虛擬機可以按照我們的需要��,在資源普及的環境下����,可以自由的去劃分���,這樣的話原來那個模型就不太適合這個架構�,從這個角度來說你的虛擬化的服務中心��,不光是服務器的虛擬化����,網絡也需要虛擬化���。我們把多個虛擬化進行集中�����,然后把業務分給不同的租戶來使用�����,這樣就提到了我們剛才說的語音化數據中心�。我們思科針對云數據中心����,我們提供了我們專有的產品�,從交換機���,我們提供了我們專門的數據中心7K����、5K��、3K���、2K�。我們在做云數據中心的時候���,我們的資源集中化���,按照傳統網絡�����,我怎么能讓我這個服務器接一個平面化的網絡����,我需要資源的時候我可以動態的去劃分�。網絡是一個大平面���,在這個平面里面只有一個交換機����,具體你要使用的話��,任何一個服務器上的虛擬機�,它和其他的是完全對等的����,你所想要的業務會非常方便���,這是網絡對虛擬化的挑戰���,而思科是這么應對的��。同時我們還做了1000K的網絡交換機�。另外�����,我們專門針對數據中心做了安全防火墻�,這個防火墻可以做虛擬化�����,可以把多個防火墻做成一個防火墻����,我們可以把我們的安全資源集中化以后����,虛擬成一個資源�。除了數據中心的防火墻���,我們還有ASA的防火墻卡����。
安全架構要求�。我們有五個層面�,邏輯隔離�,這種情況下����,我們在做云數據中心網絡安全第一步就是安全隔離��。第二是策略一致性���,我們可以做到各個層面的安全防護�����。第三�,在我使用語言數據中心的時候����,我希望正確的人在正確的時間��,從數據中心內部或者外部掃描資源����,這是基本的要求�,我們需要通過認證和授權�。語言數據中心最大的優點就是擴展和性能����,我們是不是能夠滿足性能的不斷提升的要求��。當我們加入這樣一個網絡安全服務的時候�,是不是非常麻煩�,還是我統一有一個平面����,在這個平面上去做控制���。虛擬化數據中心安全控制框架���,我們把所有安全的服務放到一個服務池里面����。在服務層面�,一個數據中心內部到外部的一個保護���,還有就是租戶之間���,業務之間的安全防護�。
云中心隔離模型�。中小型租戶:1����、每個租戶一個VLAN/一個VRF����。2����、VLAN映射到VRF�。3���、不進行業務/服務層區分�����。4��、獨立VDC專供此用戶類型接入���。大企業租戶/私有業務:1����、租戶利用Global VRF區分�。2���、每個租戶多個Intemal VRF����。3�����、Intemal VRF區分不同部門或者應用���。云中心業務保護模式�����。如果受到保護�,流量經過防火墻否則直接流向無保護的區域Zone�����。業務末新按照應用特點來考慮服務集成����,安全要求應用—FW Only/FW+IPS—保護模式���,性能要求應用—高吞吐����。這是混合云安全架構模型���,我們堅持兩層安全架構����,這里面的安全服務就是虛擬數據中心的安全架構中心里的服務層面概念��。如果僅僅是防火墻��,對于中小租戶的話�,可能作為共享���。云中心防火墻的特點�,多虛���,技術�。需求特點:多虛一���,動態擴展防火墻處理能力�,性能按需擴展���。保護投資����。防火墻集群:高擴展性�,單點管理�,群內所有防火墻全部Aclive��,有群內負責均衡能力�����,群內防火墻失敗�,全群火墻幫助恢復繪畫����,保證防火墻群內無單點失敗����。云中心防火墻的特點����,虛多技術�。需求特點:一虛多��,虛擬出多個防火墻����,租戶邏輯隔離����,資源限定防治租戶串擾�����,減少投資�。防火墻虛擬化����,虛墻獨立管理/獨立日志���,虛墻獨立路由層面����,虛墻獨立安全策略/NAT策略/應用層策略�。防火墻資源限定���,徹底保護租戶不互相串擾�����。在云數據中心當我們把網絡隔離好的話��,在云數據中心安全接入�����。一虛多技術���,VLAN鏡像技術特點:1��、租戶內內部地址規劃獨立�。2�、租戶VPN會話與VLAN綁定���。3��、所有租戶單公網IP接入�����。4��、每租戶有獨立的定制界面���。5�、每租戶有獨立的認證服務器組���。
云中心安全虛擬服務電��。服務器虛擬化潛在問題�,1��、vMotion在不物理端口遷移虛擬機一網絡策略必須跟隨vMotion�����。2�、必須察看和應用本地交換的網絡和安全策略���。虛擬化和云需求推動數據中心需求�����,傳統數據中心:服務于特有應用�����。組成:專用設備��,交換模塊�����。虛擬數據中心:虛擬設備����,動態實施配置���,服務隊VM移動透明�����,可擴展�����,適合大規模多租戶操作����。設備虛擬化����,資源限定����,可擴展�,性能可靠��,適合特定租戶操作����。這是我們思科的Nexus1000V軟件交換機�����,每個VEM支持200+vEth ports(虛擬網口)����。
本文出自:億恩科技【www.endtimedelusion.com】
服務器租用/服務器托管中國五強��!虛擬主機域名注冊頂級提供商��!15年品質保障��!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯通骨干機房
0371-60135900
