思科数据中心Datacenter解决方案.pptx

思科数据中心Datacenter解决方案.pptx

《思科数据中心Datacenter解决方案.pptx》由会员分享，可在线阅读，更多相关《思科数据中心Datacenter解决方案.pptx（50页珍藏版）》请在冰点文库上搜索。

Datacenter安全,Agenda,数据中心的“云化”趋势及安全挑战虚拟化安全域的实现及虚拟安全产品部署边界防火墙技术进展混合云场景及安全技术接入层安全技术的改善,技术上的“云”化PhysicalVirtualCloudJourney,PHYSICALWORKLOAD,VIRTUALWORKLOAD,CLOUDWORKLOAD,OneappperServerStaticManualprovisioning,ManyappsperServerMobileDynamicprovisioning,Multi-tenantperServerElasticAutomatedScaling,HYPERVISOR,VDC-1,VDC-2,Nexus1000V,VM-FEX,vWAAS,VSG,ASA1000v,vNAM,UCSforVirtualizedWorkloads,Nexus7K/5K/3K/2K,WAAS,ASA,NAM,UCSforBareMetal,CloudServicesRouter（CSR1000V）,ASR,ISR,思科的“云”化CiscoVirtualNetworkingandCloudNetworkServices,Multi-Hypervisor,WANRouter,Servers,TenantA,ASA1000VCloudFirewall,Nexus1000V,vPath,PhysicalInfrastructure,Virtualized/CloudDataCenter,vWAAS,CiscoVirtualSecurityGateway,VXLAN,CSR1000V（CloudRouter）,WANL3gatewayRoutingandVPN,Switches,EcosystemServices,CitrixNetScalerVPXvirtualADCImpervaWebApp.Firewall,CloudNetworkServices,CitrixNetScalerVPX,ImpervaSecureSphereWAF,CloudServicesRouter1000V,ZoneA,ZoneB,CloudSecurity与DCSecurity,计算/存储资源虚拟化资源位置虚拟化虚拟资源的互联虚拟资源的使用云：

从服务的角度看待已经被虚拟化的资源DC：

从物理资源角度看虚拟资源上的服务,为什么需要数据中心安全,CEO视角保护企业声誉和股价确保合规保障经营连续性帮助提高工作效率,CIO视角保证IT安全，保障企业经营避免由于攻击或人为失误导致的业务和经营中断保护核心应用、业务和设备的安全,IT管理者视角确保在全网范围内的可视化和控制安全地开展新业务维护数据安全和完整性部署和强化安全策略避免性能瓶颈优化网速、带宽和运行服务级别保护基础架构设施，避免过载和攻击安全合规要求,战术：

数据中心,战略：

云,“云”时代的数据中心及安全考虑,CEO：

云就是生产力，就是利润！

CFO:

安全也必须经得起ROI的考验。

“云数据中心”是不是经济&安全的方式？

“云化”的数据中心架构,ApplicationControl（SLB+）,ServiceControl,FirewallServices,VirtualDeviceContexts,FibreChannelForwarding,FabricExtension,Fabric-HostedStorageVirtualization,StorageMediaEncryption,VirtualContextsforFW&SLB,PortProfiles&VN-Link,PortProfiles&VN-Link,Line-RateNetFlow,VirtualDeviceContexts,SecureDomainRouting,ServiceProfiles,VirtualMachineOptimization,VirtualFirewallEdgeandVM,IntrusionDetection,云计算环境下的DC安全课题,流量模型的转变：

从分散走向高度集中，设备性能面临压力？

安全边界消失；云计算/云服务环境下的安全部署边界在哪里？

虚拟化要求：

虚拟网络和虚拟主机的安全怎么保证？

集中化管理：

管理界面由物理变为虚拟，如何清晰界定和实现？

虚拟化机会：

安全作为一种服务（SaaS），如何实现虚拟化交付？

思科云数据中心安全技术,可视化,威胁防御,安全隔离,基础架构安全保护数据中心控制和数据层面的安全。

防止数据丢失，顺从性，失败保护流量隔离以及认证授权审计（“纵向隔离”和“横向隔离”）,基于特征的网络入侵检测和阻挡面向应用层的安全防御和流量规划异常行为检测,日志，事件信息，集中认证和策略下发管理取证应用分析和报表安全合规,A,Nexus7000,Nexus7000,Nexus5000,Nexus5000,Nexus5000,1GigServerRack,10GigServerRack,DataCenterPOD,DataCenterCore,Internet,Nexus2000,Nexus2000,Nexus2000,CiscoUCS,CiscoUCS,10GigServerRack,ExternalZone,InternalZone,EdgeDMZ,安全多租户数据中心架构图两级结构，按模块实现标准化、高扩展、可复制、可预测,IDC安全需求,边界安全互联网边界防护（uRPF，NAT，DDOS，IDS）内部互联边界要求（VPN，Firewall，IDS）多租户隔离和防护（模块化服务：

标准化、高扩展、可复制、可预测）租户域内L2安全（ARPFlooding，ARPSpoofingetc.）虚拟安全设备的正确、适度部署远程VPN虚拟机隔离及加固租户数据保密租户维护域设置及安全系统维护域设置及安全,Nexus700010GEAggr,NetworkServices,vPC+FabricPath,Nexus700010GECore,Catalyst6500End-of-Row,Nexus550010GENexus2248End-of-Row,CBS31xxBladeswitch,Nexus7000End-of-Row,Nexus5500FCoENexus2232Top-of-Rack,UCSFCoE,Nexus3000Top-of-Rack,Nexus4000FIP-Snoop.IBMBladeCenter,1GbEServerAccess&4/8GbFCviadualHBA（SANA/SANB）,10GbDCB/FCoEServerAccessor10GbEServerAccess&4/8GbFCviadualHBA（SANA/SANB）,L3L2,C6500,B22FEXHPBladeC-class,FCSANA,FCSANB,MDS9200/9100,Nexus5500FCoE,EDC典型结构,核心交换域L2安全跨域访问控制,维护域带外管理系统安全运维中心远程VPN,计算和数据资源域虚机L2安全子系统划分和隔离负载均衡应用层保护虚拟机安全数据加密和保护,Nexus700010GEAggr,NetworkServices,vPC+FabricPath,Nexus700010GECore,Catalyst6500End-of-Row,Nexus550010GENexus2248End-of-Row,CBS31xxBladeswitch,Nexus7000End-of-Row,Nexus5500FCoENexus2232Top-of-Rack,UCSFCoE,Nexus3000Top-of-Rack,Nexus4000FIP-Snoop.IBMBladeCenter,1GbEServerAccess&4/8GbFCviadualHBA（SANA/SANB）,10GbDCB/FCoEServerAccessor10GbEServerAccess&4/8GbFCviadualHBA（SANA/SANB）,L3L2,B22FEXHPBladeC-class,FCSANA,FCSANB,MDS9200/9100,Nexus5500FCoE,EDC的“云化”,“云化”特点由分散部署到集中部署共享规范的数据中心基础架构共享计算和存储资源业务系统和应用系统间必需的横向隔离业务终端到业务系统资源之间纵向安全访问,BSS,OSS,MSS,应用3,应用2,应用1,应用6,应用5,应用4,应用9,应用8,应用7,保护业务平台云的基础架构,EDC安全需求,互联网边界安全桌面域到EDC业务域的映射EDC内部网络虚拟化及安全域映射业务域隔离（横向和纵向），目前以VRF/VLAN隔离为主虚拟机隔离和加固（除数据库server外，EDC内主要通过VM方式提供服务）系统维护域设置及安全与IDC相比：

“安全服务”的地位淡化“端到端安全”成为可能,虚拟化环境下的安全焦点,17,云数据中心的安全规划,传统的基于业务和应用进行安全区域划分的方法依然必要独立的管理域在云数据中心的安全规划中变得非常重要,中间件,数据库,Web层,APP1,APP2,APPn,管理安全域,业务安全域,运维管理域功能及架构,业务特性内部员工使用为主承载内容多，信息价值高外部接口较多安全需求特性注重内部管理安全保护的重点：

内部员工权限控制不同系统、客户之间的运维平面要进行安全隔离客户维护域灵活要满足特定要求,ServiceAggregation,InternetEdge,AdaptiveSecurityAppliances,BorderRouters,EdgeRouters,CatalystSwitches,IPS,UCSCompute,ExternalWebServers,WebApplicationServer,DMZStorage,DMZStorage,CoreLayer,NexusSwitches,FabricSwitches,PublicInternetWAN,DemilitarizedZone,管理维护区,客户维护区,云计算平台运维区安全方案,共享区,VCENTERVNMC防病毒系统补丁管理系统,设有安全服务区，提供共享资源内部维护人员通过DMZ区对云平台进行带外维护硬件厂商人员通过DMZ区的VDI对设备进行维护受保护租户区不能主动发起连接去往DMZ区域远程访问维护人员通过sslvpn拨入维护DMZ区,vpngateway,安全运维设计思路利用VDI,Nexus1000V（SXP）,Nexus1000V,ConnectionBrokers,Roleassignedbasedonportprofile,Role-basedaccesstoapplicationservergroups,vCenter,VMPoolAssignment（portgroup）,ADGrouptoVMPoolMapping,IdentityServicesEngine,Nexus7KorASA,UCS,HostedVirtualDesktops（HVD）,UCS,vApp,vApp,vApp,VDI隔离用户自有终端对DC的直接访问，威胁程度大大降低VDI可置于运维DMZ区，按授权对DC设备、服务进行维护N1KV在portprofile上启用SGT功能并映射到vethenet上，用户通过AD域认证授权访问规定的应用桌面,租户DMZ维护区域安全设计思路通过VPN和DMZ,TenantA,TenantB,InternalVRF,ExternalVRF,DMZVRF,ToDMZDCdevices,DMZ,VSG,Internet,CorpGateway,MultipleVRFs,MultipleVRFs,ISPGateway,DMZBBGWs,DMZDCGWs,AppFW,CorpFW,NASGWs,NASFiler,AppFW,VSG,UCS,Nexus1000V,VSG,VNMC,VMs,DMZACE,InternalandSimDMZACE,InternalZone,ProtectNetZone,ExternalZone,DMZZone,租户可以通过企业私有云与运营商公有云平台之间的二层专用通道访问租户DMZ域当二层通道出现故障时也可以通过internet，拨入vpn，映射到该租户的vrf中，并经过防火墙的策略控制，受控进入其DMZ域,Agenda,数据中心的“云化”趋势及安全挑战虚拟化安全域的实现及虚拟安全产品部署边界防火墙技术进展混合云场景及安全技术接入层安全技术的改善,内网系统管理安全域,身份认证区,网络管理区,安全管理区,业务应用安全域（核心生产区）,数据库安全子域,应用服务器安全子域,应用服务器安全子域,VFW1,VFW2,网络安全域,客户管理维护安全区域,VDI/VXI,互联网安全区域,内部接口安全区域,VPN网关,云平台安全域划分,虚拟资源（计算，网络，存储）,云平台运维管理区域,测试区,孵化区,生产区,业务系统A,测试区,孵化区,生产区,业务系统B,测试区,孵化区,生产区,业务系统C,DMZ,互联网接入区,vlan1,vlan2,vlann,虚拟化架构软件（Hypervisor）,物理基础设施,办公区,域安全总体策略,一级域之间物理隔离，包括：

计算资源，存储资源，网络资源安全控制措施：

一类二类三类二级域之间逻辑隔离，使用虚拟交换机，防火墙实现,虚拟化安全与安全域划分,安全域总体架构安全策略需求,数据中心外与数据中心内使用者DMZ区管理者管理维护区数据中心内系统间应用系统间应用系统内不同安全域间同一应用系统同一安全域内服务器间,DMZ区,核心生产区,应用系统1,管理维护区,测试区,应用系统2,使用者,管理者,安全策略场景1,2数据中心外与数据中心内访问,DMZ区VLAN1-1000,核心生产区VLAN1001-2000,应用系统1,管理维护区VLAN2001-3000,测试区VLAN3001-4000,应用系统2,防火墙,VLAN1,VLAN1001,VLAN2001,VLAN3001,VLAN2,VLAN1002,VLAN2002,VLAN3002,使用者,管理者,1,2,安全策略：

DMZ：

外网对内网访问策略VPN：

连接安全性,安全策略场景3,4,5应用系统间访问,DMZ区VLAN1-1000,核心生产区VLAN1001-2000,应用系统1,管理维护区VLAN2001-3000,测试区VLAN3001-4000,应用系统2,防火墙,VLAN1,VLAN1001,VLAN2001,VLAN3001,VLAN2,VLAN1002,VLAN2002,VLAN3002,3,5,4,安全策略：

缺省安全域隔离（三层）按需的互访策略应用层协议异常分析,安全策略场景6,7应用系统内不同安全域间访问,DMZ区VLAN1-1000,核心生产区VLAN1001-2000,应用系统1,管理维护区VLAN2001-3000,测试区VLAN3001-4000,应用系统2,VSG,VLAN1,VLAN1001,VLAN2001,VLAN3001,VLAN2,VLAN1002,VLAN2002,VLAN3002,6,7,安全策略：

缺省安全域隔离按需的互联策略应用层协议异常分析,安全域策略总结,融合物理机与虚拟机网络，统一通过交换机和防火墙管理；安全策略场景总结：

多租户环境下的不同边界防护方式,互联网边界物理防火墙CiscoASA,如果客户没有部署n1kv利用物理防火墙按租户划分虚拟防火墙进行边界防护如果客户部署了n1kv利用ASA1000V进行虚拟边界防护,Usecase:

CiscoASA1000V,CiscoASA1000V,CiscoASA1000V,多租户环境（物理架构）,多租户环境（虚拟云架构）,思科物理防火墙ASA按租户划分虚拟防火墙,vfw1,vfw2,vfw3,vfw4,思科虚拟防火墙ASA1000V部署租户边界,利用ASA1000V部署虚拟安全边界,32,VRF,SubZones,10.1.1.252,10.1.1.253,Nexus1000V,vPath,ASA1000V,ASA5585,Layer310.1.1.254,Layer310.1.3.254,10.1.2.254,Layer2,Core,Aggregation,ASA5585,192.168.12.0/24,192.168.14.0/24,10.1.2.10,10.1.3.10,VRF,租户利用asa1000v部署安全边界,租户部署2层物理防火墙与asa1000v结合形成多层安全边界,租户部署3层物理防火墙与asa1000v结合形成多层安全边界,vASAandVSGServiceChainingonVXLAN,Client,ESX,VSG,ASA1000V,1,2,4,3,VM,vPath,SecurityProfileIDforVSGDecisionreturnedtothevPath,vASAandVSGServiceChainingonVXLAN,Client,ESX,VSG,ASA1000V,6,5,VM,vPath,SecurityProfileIDforVSGDecisionreturnedtothevPath,PolicyoffLoaded,vASAandVSGServiceChainingonVXLAN,Client,ESX,VSG,ASA1000V,VM,7,8,9,10,vPath,EdgeSecurityProfileIDforASA,结合Adapter-FEX/VM-FEX以及Disjoint-Layer2精细区分业务流量,网管VDCVlan2-100,租户VDCVlan101-200,备份VDCVlan201-300,EndHost,EndHost,TrunkVlan2-100,结合Adapter-FEX/VM-FEX和内置在UCS中的disjointLayer2提供虚拟接口映射到处于不同的非互联的2层网络刀片与虚机上。

客户可以继续利用隔离的二层网络区分他们的不同级别的应用,但仍可以从虚拟化技术中得到收益，例如资源流动，vmotion等等。

TrunkVlan101-200,VM,VM,VM,BladeServer,BladeServer,BladeServer,AdapterFEX,BladeServer,VMFEX,利用VSG隔离虚机对vCenter以及宿主机的风险,利用VSG中按照vcenter的属性定义安全策略保护，控制vm对vcenter的访问，保护vCenter的安全宿主机的虚拟网卡与虚拟机的网卡（eth0）连接的主干道路作为关键路径，并在该路径上布置防火墙,vCenter被入侵将影响整个虚拟化环境，需要保护管理平台VM逃逸是一种将攻击从VM端一直蔓延到宿主机并导致同一宿主机上所有VM瘫痪的方式,Hypervisor安全防护,LimitconnectivitytobothVMKernel&VMotionsegmentsVMotion&VMkernelinterfacesshouldbeunreachablefromoutsidethedatacenterLimitVMkernelmanagementaccesstoDCOperationsonly（firewall+ACLs）VMotioninterface&VLANmaybeisolated*foragivenclusterUseFirewall（Virtualcontext）tocontrolaccessConsiderper-VMCSAtopreventcompromisedVMlaunchinghypervisorexploitsConsiderBluelaneforHypervisorlevelprotection,*VMotionstatetransfercanberouted.NotethatVMotionrequiresVLANconsistencybetweensourceandtargetserversforVMmigration,pNIC,VMKernel,VMotion,pNIC,pNIC,CSA,CSA,CSA,VirtualizedServer,交换基础设施攻击的对策,ESX1,ESX2,5548-1,5548-2,1/1,1/17,1/17,1/18,1/18,1/11,1/12,1/11,1/12,VMNIC#3,VMNIC#4,VMNIC#4,VMNIC#3,PortChannel111,1/1,1/2,1/2,ToN7018-2,ToN7018-1,Server#1,Server#3,Server#2,Server#4,VSG-1,vEth,vEth,vEth,vEth,ESXHost1,ESXHost2,VSG-2,vCenter,L2Securitymac泛洪,1.黑客工具能够让攻击者使用恶意的MAC地址泛洪交换机的CAM表2.强制把交换机变成了集线器，泛洪所有的单播包3.交换机的CAM能够容纳的MAC地址数量是有限的。

1.端口安全限制MAC泛洪攻击并锁定端口。

2.端口安全可以发送一个SNMP的Trap3.允许的帧将会被发送。

4.超过限制的新的MAC地址将不会被允许。

PortSecurity,ESX1,ESX2,5548-1,5548-2,1/1,1/17,1/17,1/18,1/18,1/11,1/12,1/11,1/12,VMNIC#3,VMNIC#4,VMNIC#4,VMNIC#3,PortChannel111,1/1,1/2,1/2,ToN7018-2,ToN7018-1,Server#1,Server#3,Server#2,Server#4,VSG-1,vEth,vEth,vEth,vEth,ESXHost1,ESXHost2,VSG-2,L2SecurityARPStatic,配置一个配置一个ARP访问控制列表，静态映射IP到MACARP访问控制列表，静态映射IP到MAC。

PortSecurity,黑客将网关的mac地址篡改为自己或已被控制的设备的mac地址，并将ARP发送给业务VM,业务流量将被引流至黑客处。

L2Securityarp毒化攻击,NetFlowCapable,InternalNetwork,Devices,伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞或者实现“maninthemiddle”进行ARP重定向和嗅探攻击,1.保护ARP毒化攻击2.使用DHCPSnooping的绑定表3.通过DHCP事务，跟踪IP-to-MAC4.丢弃恶意的免费ARP5.阻止ARP毒化和中间人攻击。

6