《VMware軟件定義的網(wǎng)絡(luò)與安全》培訓(xùn)課件

軟件定義的網(wǎng)絡(luò)與安全“我的公司及IT部門在面對(duì)鋪天蓋地的數(shù)字商機(jī)時(shí)表現(xiàn)得無(wú)所適從。我們無(wú)法及時(shí)作出回應(yīng)，這會(huì)威脅到公司的成功以及IT部門的信譽(yù)?！盋IO面臨諸多挑戰(zhàn)：速度、創(chuàng)新、生產(chǎn)力、敏捷性、安全性和成本等等客戶的IT系統(tǒng)正在向軟件定義的數(shù)據(jù)中心和云計(jì)算架構(gòu)演進(jìn)480%的服務(wù)器到2016年會(huì)被虛擬化

1

40%的數(shù)據(jù)到2020年會(huì)在云端存儲(chǔ)或處理3$5.4B到2018年軟件定義數(shù)據(jù)中心的市場(chǎng)規(guī)模243%的服務(wù)采用云架構(gòu)。包括公有云、私有云或混合云架構(gòu)。100101001011000101100110001010110110100110101數(shù)據(jù)中心虛擬化層智能在軟件數(shù)據(jù)中心虛機(jī)的操作模式：自動(dòng)配置和管理什么是軟件定義的數(shù)據(jù)中心(SDDC)?智能在硬件專用芯片、品牌綁定的架構(gòu)手工配置和管理軟件硬件計(jì)算、網(wǎng)絡(luò)和存儲(chǔ)資源池化，獨(dú)立于廠商，最佳性價(jià)比架構(gòu)，配置和管理簡(jiǎn)單構(gòu)建軟件定義的數(shù)據(jù)中心虛擬機(jī)虛擬網(wǎng)絡(luò)虛擬存儲(chǔ)計(jì)算資源網(wǎng)絡(luò)資源存儲(chǔ)資源應(yīng)用位置無(wú)關(guān)數(shù)據(jù)中心虛擬化層(計(jì)算虛擬化、網(wǎng)絡(luò)虛擬化、存儲(chǔ)虛擬化)池化的計(jì)算、網(wǎng)絡(luò)和存儲(chǔ)資源獨(dú)立于廠商的最佳性能比架構(gòu)簡(jiǎn)化的配置和管理軟件硬件自動(dòng)化操作模式可編程的創(chuàng)建,快照,保存,遷移,刪除,恢復(fù)軟件定義數(shù)據(jù)中心的互連互通7數(shù)據(jù)中心互連混合云軟件定義數(shù)據(jù)中心(SDDC)任意應(yīng)用SDDC平臺(tái)任意x86任意存儲(chǔ)任意IP網(wǎng)絡(luò)數(shù)據(jù)中心虛擬化層任意x86任意存儲(chǔ)任意IP網(wǎng)絡(luò)任意x86任意存儲(chǔ)任意IP網(wǎng)絡(luò)任意應(yīng)用任意應(yīng)用軟件定義的數(shù)據(jù)中心愿景TEXT自助化應(yīng)用組裝應(yīng)用藍(lán)圖應(yīng)用發(fā)布標(biāo)準(zhǔn)化應(yīng)用服務(wù)云自助服務(wù)門戶服務(wù)目錄無(wú)需管理員參與管理監(jiān)控自動(dòng)化虛擬化主機(jī)與存儲(chǔ)軟件定義網(wǎng)絡(luò)應(yīng)用服務(wù)基礎(chǔ)架構(gòu)服務(wù)軟件定義數(shù)據(jù)中心基礎(chǔ)架構(gòu)云VMware為客戶打造面向未來(lái)的軟件定義的數(shù)據(jù)中心和新型IT體系架構(gòu)9可擴(kuò)展性傳統(tǒng)應(yīng)用現(xiàn)代云應(yīng)用任何應(yīng)用

私有云和混合云管理-vRealize

Suite/vCloud

Suite計(jì)算虛擬化-vSphere/vSOM網(wǎng)絡(luò)與安全虛擬化-NSX存儲(chǔ)虛擬化-VSAN一朵云自主構(gòu)建融合架構(gòu)超融合架構(gòu)

混合云私有

您的數(shù)據(jù)中心公有可管理任意設(shè)備業(yè)務(wù)移動(dòng)性:應(yīng)用|設(shè)備|內(nèi)容軟件定義的數(shù)據(jù)中心

終端用戶計(jì)算和企業(yè)移動(dòng)化管理-Horizon

7,Airwatch,WorkSpaceONE雙活數(shù)據(jù)中心/容災(zāi)/運(yùn)維客戶數(shù)據(jù)中心的變革：對(duì)網(wǎng)絡(luò)管理和安全意味著什么?10每分鐘新出現(xiàn)236

個(gè)新的威脅

(接近每秒鐘4個(gè))數(shù)據(jù)丟失的平均每分鐘的成本:$7900—比2010年上升了41%580%+

的公司用戶在IT部門不知情的情況下使用云app40%

的攻擊目標(biāo)是服務(wù)器僅有

50%

需要保護(hù)的數(shù)據(jù)得到了恰當(dāng)?shù)陌踩Ｗo(hù)攻擊界面增加管理復(fù)雜度和安全風(fēng)險(xiǎn)顯著增加網(wǎng)絡(luò)割裂，導(dǎo)致資源池利用率及靈活性降低網(wǎng)絡(luò)架構(gòu)復(fù)雜，割接工作量大數(shù)據(jù)中心安全域的邊界防護(hù)難以運(yùn)維已有業(yè)務(wù)變更響應(yīng)緩慢，容易導(dǎo)致誤操作對(duì)新業(yè)務(wù)部署上線支持緩慢核心鏈路和節(jié)點(diǎn)帶寬被大量發(fā)夾流量消耗難以實(shí)現(xiàn)網(wǎng)絡(luò)及安全的L2-L7層自動(dòng)化網(wǎng)絡(luò)已經(jīng)成為通往云計(jì)算之路的壁壘

虛擬化挑戰(zhàn)傳統(tǒng)網(wǎng)絡(luò)設(shè)計(jì)和運(yùn)行基礎(chǔ)架構(gòu)二層網(wǎng)絡(luò)的規(guī)模限制大二層技術(shù)的限制安全邊界打破，安全隔離成為難題業(yè)務(wù)部署計(jì)算和存儲(chǔ)資源已經(jīng)實(shí)現(xiàn)快速就緒網(wǎng)絡(luò)就緒成為業(yè)務(wù)部署的瓶頸運(yùn)維排障安全策略跟隨虛擬機(jī)移動(dòng)虛擬機(jī)的可視化管理命令行或GUI界面無(wú)法自動(dòng)化部署Floor-1:VLAN1–10.x.x.xFloor-2:VLAN2–172.16.x.x通用X86服務(wù)器資源服務(wù)器虛擬化層需求:x86服務(wù)器x86環(huán)境虛擬機(jī)應(yīng)用分離硬件軟件虛擬機(jī)應(yīng)用虛擬機(jī)應(yīng)用通用網(wǎng)絡(luò)硬件網(wǎng)絡(luò)虛擬化層需求：IP承載網(wǎng)絡(luò)L2,L3,L4-7網(wǎng)絡(luò)服務(wù)虛擬網(wǎng)絡(luò)負(fù)載虛擬網(wǎng)絡(luò)負(fù)載虛擬網(wǎng)絡(luò)負(fù)載解決辦法：虛擬化您的網(wǎng)絡(luò)通過(guò)虛擬化層來(lái)映射虛擬與物理資源與傳統(tǒng)的計(jì)算虛擬化類似:實(shí)現(xiàn)物理資源池化并支持scale-out擴(kuò)展實(shí)現(xiàn)集中管理與配置支持API可編程接口虛擬網(wǎng)絡(luò)之間完全隔離可移動(dòng)性虛擬網(wǎng)絡(luò)為軟件容器,像虛擬機(jī)一樣支持snapshot,備份與恢復(fù)VMwareNSX：專為云數(shù)據(jù)中心設(shè)計(jì)的軟件定義的網(wǎng)絡(luò)與安全管理平臺(tái)

基于NSX的網(wǎng)絡(luò)與安全虛擬化像管理虛擬機(jī)一樣，

管理虛擬化和云數(shù)據(jù)中心的網(wǎng)絡(luò)與安全硬件軟件二層交換三層路由防火墻負(fù)載均衡通過(guò)NSX構(gòu)建的網(wǎng)絡(luò)虛擬化層，輕松調(diào)配虛擬機(jī)的網(wǎng)絡(luò)和安全I(xiàn)nternet網(wǎng)絡(luò)虛擬化層虛擬網(wǎng)絡(luò)軟件容器，如虛機(jī)虛擬網(wǎng)絡(luò)拓?fù)銹hysicalNetworkTopologySwitchingRoutingFirewallingLoad

BalancingVPNConnectivitytoPhysicalNSX以軟件方式提供虛擬化和云數(shù)據(jù)中心的自動(dòng)化網(wǎng)絡(luò)和安全服務(wù)15邏輯交換機(jī),邏輯路由器,分布式防火墻,負(fù)載均衡,VPN(ESXi)虛擬化層(NSX)資源池任意IP網(wǎng)絡(luò)任意x86VMVMVM實(shí)現(xiàn)按需/自動(dòng)化部署虛擬網(wǎng)絡(luò)按需動(dòng)態(tài)部署虛擬網(wǎng)絡(luò)，不受物理位置限制面向?qū)ο蟮腝oS以及安全策略配置集中控制，系統(tǒng)性的可視,監(jiān)控與管理邏輯區(qū)域完全隔離

(L2&L3)95+%減少物理網(wǎng)絡(luò)資源消耗（IP，VLAN，MAC地址等）智能邊界，分布式轉(zhuǎn)發(fā)VMware

NSX網(wǎng)絡(luò)和安全虛擬化的意義打破壁壘：使網(wǎng)絡(luò)及其相關(guān)服務(wù)部署不再受制于底層物理網(wǎng)絡(luò)硬件和物理位置的限制VLAN1–10.x.x.xVLAN2–172.16.x.xVLAN2–192.168.x.x

虛擬網(wǎng)絡(luò)虛擬的Layer2–88.33.x.x(whatever)NSX網(wǎng)絡(luò)和安全虛擬化的收益

突破位置阻礙，靈活部署負(fù)載使用情形：構(gòu)建雙活或容災(zāi)數(shù)據(jù)中心，打通數(shù)據(jù)中心之間的資源池利用軟件定義數(shù)據(jù)中心的網(wǎng)絡(luò)和安全優(yōu)勢(shì)構(gòu)建跨數(shù)據(jù)中心的資源池打通，網(wǎng)絡(luò)和安全策略可以跟隨虛擬機(jī)在數(shù)據(jù)中心之間遷移。CONFIDENTIAL18WebAppWebAppWAN

InternetL2overDarkFiberVPLSInstanceVPLSInstanceVPLSInstanceMPLSBackboneL2overL3OTVDBDBDBWebWAN

InternetWebAppDBDB改變應(yīng)用的IP地址物理網(wǎng)絡(luò)L2-L3網(wǎng)絡(luò)分段

重寫防火墻策略(東/西,南/北)確認(rèn)符合負(fù)載均衡策略其他物理網(wǎng)絡(luò)配置昂貴方案(基于硬件)配置復(fù)雜度高/廠商私有技術(shù)服務(wù)部署需要時(shí)間窗口運(yùn)維難度高逐一設(shè)備配置缺乏靈活和自動(dòng)化問(wèn)題：新舊數(shù)據(jù)中心互連的挑戰(zhàn)解決方案：NSX實(shí)現(xiàn)新舊數(shù)據(jù)中心之間的網(wǎng)絡(luò)和安全擴(kuò)展VM1VM2VM3網(wǎng)頁(yè)虛擬交換機(jī)

/24舊數(shù)據(jù)中心新數(shù)據(jù)中心分布式虛擬路由器VM4VM5應(yīng)用虛擬交換機(jī)

/24外部地址

外部地址A網(wǎng)段/29UplinkALIFB網(wǎng)段/29UplinkBLIFVM6VM7數(shù)據(jù)庫(kù)虛擬交換機(jī)

/24網(wǎng)關(guān).1使用場(chǎng)景軟件方式實(shí)現(xiàn)新舊數(shù)據(jù)中心的擴(kuò)展互連無(wú)需更換硬件設(shè)備無(wú)需復(fù)雜配置和downtime時(shí)間安全策略和路由策略跟隨虛擬機(jī)在數(shù)據(jù)中心間遷移實(shí)現(xiàn)出流量的本地化NSX網(wǎng)絡(luò)和安全虛擬化的收益

突破位置阻礙，提高資源利用率網(wǎng)絡(luò)虛擬化之前的資源利用率大約是60%網(wǎng)絡(luò)虛擬化之后的資源利用率能夠達(dá)到90%以上NSX網(wǎng)絡(luò)和安全虛擬化的收益

分布式防火墻實(shí)現(xiàn)的安全微分段有效掃除了安全死角，打造一個(gè)更加安全的數(shù)據(jù)中心VMVMVMVMVMVMVMVMVMVMVMVMVMVMVM好處…虛擬機(jī)與AD域用戶感知面向?qū)ο蟮陌踩呗远ㄖ茮]有安全處理“瓶頸”線速轉(zhuǎn)發(fā)，水平擴(kuò)展安全策略部署越靠近應(yīng)用，體系就越安全集中式安全管理

最近發(fā)生的攻擊事件：23絕大多數(shù)攻擊都有一個(gè)通性:攻擊包可以在數(shù)據(jù)中心內(nèi)部任意通行，而由于投資成本太高而且運(yùn)維管理十分復(fù)雜，以至于數(shù)據(jù)中心Micro-segmentation難以實(shí)現(xiàn)，而NSX有效的解決了這個(gè)問(wèn)題。NSX的安全微分段(MicroSegmentation)價(jià)值NSX的安全微分段可以實(shí)現(xiàn)豐富的安全管理功能分區(qū)隔離高級(jí)服務(wù)ProductionTestDevNetwork相關(guān)安全組間依據(jù)安全策略通信可以集成第三方的L4–L7層安全解決方案不相關(guān)網(wǎng)絡(luò)完全隔離DBAppWebDBAppWeb2425Micro-segmentation:實(shí)現(xiàn)虛擬化數(shù)據(jù)中心內(nèi)部不同應(yīng)用的安全防護(hù)

WebVMVMDBVMVMDBVMVMMarketingGroupServicesVMVMMgmtServices/Management

Group/WebVMAppVMVMDBVMVMHRGroupApplicationsegmentation按部門、區(qū)域劃分隔離按應(yīng)用邊界劃分按應(yīng)用層劃分支持安全組內(nèi)部成員之間的邏輯隔離以虛機(jī)為單位隔離按需部署邏輯隔離支持現(xiàn)有網(wǎng)絡(luò)與應(yīng)用靈活方便的安全對(duì)象管理安全管控與應(yīng)用一致性部署好處控制一個(gè)網(wǎng)絡(luò)中的流量控制一個(gè)網(wǎng)絡(luò)中各組之間的流量基于邏輯分組而不是物理拓?fù)?/p>

保護(hù)流量安全靈活地創(chuàng)建網(wǎng)段–

甚至在同一虛擬局域網(wǎng)上的不同系統(tǒng)之間（這在傳統(tǒng)網(wǎng)絡(luò)中極難做到）使用NSX的安全微分段功能保護(hù)VDI桌面虛擬化環(huán)境中的東西向流量側(cè)重于合規(guī)性和風(fēng)險(xiǎn)緩解的組織將實(shí)施

安全區(qū)以保護(hù)數(shù)據(jù)中心內(nèi)的東西向流量難以實(shí)施需要大量的物理基礎(chǔ)架構(gòu)管理復(fù)雜集中式虛擬桌面共享服務(wù)DMZ數(shù)據(jù)庫(kù)區(qū)遠(yuǎn)程工作

員工區(qū)工程區(qū)開發(fā)區(qū)財(cái)務(wù)區(qū)公司區(qū)PCI

區(qū)管理區(qū)保密資料26虛擬網(wǎng)絡(luò)連接：快速、簡(jiǎn)單、可延展保密資料27Jennifer（財(cái)務(wù)）文件人力資源財(cái)務(wù)電子郵件SharePoint網(wǎng)絡(luò)Bob（人力資源）人力資源財(cái)務(wù)NSX提供基于智能分組的安全策略按自定義標(biāo)準(zhǔn)定義的組操作系統(tǒng)計(jì)算機(jī)名稱應(yīng)用層服務(wù)安全狀況法規(guī)要求NSX提供可以編程的安全組和安全策略定義支持可編程部署網(wǎng)絡(luò)與安全拓?fù)錆M足應(yīng)用需求安全策略安全組邏輯交換、路由、防火墻、負(fù)載均衡Web應(yīng)用數(shù)據(jù)庫(kù)Web“Web”

防火墻–入方向僅允許HTTP/S,出方向允許任意流量

IPS–入侵監(jiān)測(cè)數(shù)據(jù)庫(kù)“數(shù)據(jù)庫(kù)”防火墻–入方向允許SQL，出方向允許漏洞管理–每周掃描應(yīng)用“應(yīng)用”防火墻–入方向允許TCP8443,出方向運(yùn)行SQLVMVMVMVMVMVM“缺省”

防火墻–共享服務(wù)訪問(wèn)(DNS,AD)

防病毒–每天掃描缺省29情形操作系統(tǒng)在若干系統(tǒng)上已不再受支持這些系統(tǒng)需要用策略將訪問(wèn)僅限制到電子郵件服務(wù)器不受支持的操作系統(tǒng)組示例：對(duì)不受支持的操作系統(tǒng)的智能分組30示例：軟件定義的數(shù)據(jù)中心的自動(dòng)化安全防護(hù)

隔離有漏洞的系統(tǒng)，直至將其修復(fù)軟件定義的數(shù)據(jù)中心安全組=隔離區(qū)域成員={標(biāo)簽=‘ANTI_VIRUS.VirusFound’,L2隔離網(wǎng)絡(luò)}安全組=Web層ServiceComposer云計(jì)算管理虛擬網(wǎng)絡(luò)策略定義標(biāo)準(zhǔn)桌面虛擬機(jī)策略

防病毒-掃描隔離的虛擬機(jī)策略

防火墻-阻止除安全工具之外的所有工具

防病毒-掃描并修復(fù)NSX控制器示例：NSX高級(jí)安全(IDS/IPS)服務(wù)插入–比如PaloAltoNetworksNGFWInternet虛擬化管理程序物理主機(jī)VMVM虛擬交換機(jī)虛擬化管理程序物理主機(jī)虛擬交換機(jī)VMVM安全策略安全管理員流量轉(zhuǎn)向虛擬網(wǎng)絡(luò)NSX網(wǎng)絡(luò)和安全虛擬化的收益

無(wú)需中斷業(yè)務(wù)：可編程的自動(dòng)化部署網(wǎng)絡(luò)和安全服務(wù)33NSXvSwitchHypervisorVMVMVM物理網(wǎng)絡(luò)云管理平臺(tái)NSXvSwitchHypervisorVMUserSpaceVMVMNSXController分布式網(wǎng)絡(luò)服務(wù)分布式網(wǎng)絡(luò)服務(wù)NSX助力云計(jì)算自動(dòng)化和自助式IT

多機(jī)藍(lán)本云計(jì)算使用者云計(jì)算管理員SLA成本配置文件安全性網(wǎng)絡(luò)連接服務(wù)目錄服務(wù)請(qǐng)求網(wǎng)絡(luò)配置文件安全組安全策略網(wǎng)絡(luò)管理員負(fù)載均衡器管理員標(biāo)準(zhǔn)化模板邏輯負(fù)載均衡器安全管理員可用性安全性連接安全標(biāo)記外部網(wǎng)絡(luò)保密資料34動(dòng)態(tài)配置和部署模板化應(yīng)用程序（NSX和vRealizeAutomation）邏輯交換機(jī)邏輯路由器NSX邏輯防火墻邏輯負(fù)載均衡器NSX與vRealize

Automation云計(jì)算自動(dòng)化平臺(tái)結(jié)合，實(shí)現(xiàn)包含網(wǎng)絡(luò)和安全策略的按需應(yīng)用交付按需應(yīng)用交付vRealizeAutomation資源預(yù)留多節(jié)點(diǎn)主機(jī)藍(lán)圖服務(wù)目錄CloudManagementPlatform網(wǎng)絡(luò)配置文件安全策略安全組Web應(yīng)用數(shù)據(jù)庫(kù)VMVMVMVMVMVM保密資料35集中化管理運(yùn)維您的應(yīng)用網(wǎng)絡(luò)NSX架構(gòu)擴(kuò)展性:廣泛的合作伙伴NSXControllerNSXAPI合作伙伴安全服務(wù)+Cl