云环境下的安全
威胁与保障
臧铁军
VMware云安全产品丏家
2
免责声明
这个讲座内容有可能包括产品功能目前还正在开发中。
这里涉及到的新技术并不意味着威睿公司会放在未来产品中。
这里涉及到的功能有可能更改,因此它们目前不可以用在任何合约、订单
或者其它协议中。
技术的可行性以及市场需求会影响最终这里可能涉及到的未来产品或者功
能。
这里涉及到新技术以产品功能体现的价格或者销售形式并未考虑。
3
议程
虚拟化与云计算环境下的安全挑战
如何提升平台(虚拟化层)的安全性
软件定义的网络安全
• vCNS架构概览
• 逻辑边界网关服务
• 虚拟机与应用安全服务
以VMware为核心的云安全生态系统
4
议程
虚拟化与云计算环境下的安全挑战
如何提升平台(虚拟化层)的安全性
软件定义的网络安全
• vCNS架构概览
• 逻辑边界网关服务
• 虚拟机与应用安全服务
以VMware为核心的云安全生态系统
5
虚拟化与云计算环境下的安全挑战
传统IT 虚拟化
Hypervisor Hypervisor
云计算
CMS
Hypervisor
VDC VDC VDC
1. 技术相对成熟
2. 安全状况较好
3. 技术要求高
4. 管理难度大
5. 建设与维护成本高
1. 虚拟化层安全
2. 资源之间的隔离保护
3. 可用性保障
4. 管理工具集成
1. 云组件安全
2. 租户之间的隔离保护
3. 资源访问控制(4A)
4. 服务级别保障
5. 自动化与自助服务
6. 分工与协作
6
议程
虚拟化与云计算环境下的安全挑战
如何提升平台(虚拟化层)的安全性
软件定义的网络安全
• vCNS架构概览
• 逻辑边界网关服务
• 虚拟机与应用安全服务
以VMware为核心的云安全生态系统
7
ESXi:第3代虚拟化平台
VMware ESX
服务控制台 VMware ESXi
2007
VMkernel
VMkernel
Windows 或 Linux 操作系统
VMware GSX
(VMware Server)
VMware ESX VMware GSX VMware ESXi
2001 2003
8
如何提升虚拟化平台安全性
生产
VMkernel
管理 存储
管理
网络
生产
网络
VMware ESXi VMware ESX
Update Manager
利用Hypervisor防火墙 及时更新Hypervisor 验证、授权与审计
隔离管理网络 虚拟化层安全强化 日志集中审计
简化验证与角色管理
vCenter SSO 服务
vCenter VCD vShield 其它
VMware
vSphere
vSphere
Hardening
Guide
VCM
虚拟化层
vCenter Server
虚拟化层
Hypervisor
Firewall
Hypervisor
9
议程
虚拟化与云计算环境下的安全挑战
如何提升平台(虚拟化层)的安全性
软件定义的网络安全
• vCNS架构概览
• 逻辑边界网关服务
• 虚拟机与应用安全服务
以VMware为核心的云安全生态系统
10
软件定义的网络安全
1. vCNS架构概览
2. 逻辑边界网关服务
3. 虚拟机与应用安全服务
11
物理安全网关存在性能瓶颈
传统数据中心 性能视图
12
物理安全网关策略管理复杂
传统数据中心 虚拟数据中心
13
全面实现软件定义的数据中心
传统数据中心 软件定义的数据中心
14
vCloud Network and Security架构(vCNS)
1 利用vSphere分布式虚
拟交换机抽象物理网
络。
2 利用VXLAN,vShield
Edge,App和Endpoint
创建软件定义的网络与
安全。
3 利用vCloud Ecosystem
Framework引入第三方
网络与安全服务。
4 借劣vCloud Networking
and Security实现VDC的
真正自劢化。
vCNS API
软件
vShield Manager
vCenter
分布式虚拟交换机
硬件
Edge Edge
VDC
软件定义的数据中心服务
VXLAN VXLAN
15
软件定义的网络安全
1. vCNS架构概览
2. 逻辑边界网关服务
3. 虚拟机与应用安全服务
16
vShield Edge:按需的逻辑边界网关服务
主要收益
租户的逻辑边界
比物理防火墙容易部署和管理
更好的扩展性
与vCenter/Cloud Director紧密集成
按需自劢部署
一个设备提供多种安全服务
有状态防火墙(Firewall)
网络地址转换 (NAT)
劢态地址分配 (DHCP)
站点到站点VPN(IPsec)
远程接入VPN(SSL)
TCP负载平衡
可为计费组件提供详细的流量统计数据
提供业界标准的Syslog格式日志
vShield Edge边界网关
vSphere
VDC 1 VDC 2
负载平衡器 VPN 防火墙
17
逻辑边界网关服务:可用性与性能
秒级切换的主备式高可用 随需而变的服务能力
VDC
主 备
超大型
• 2 vCPU 64-bit
• 8G vRAM
大型
• 2 vCPU, 32-bit
• 1G vRAM
精简型
• 1 vCPU, 32-bit
• 256MB vRAM
……
18
vShield Edge管理界面一览
19
软件定义的网络安全
1. vCNS架构概览
2. 逻辑边界网关服务
3. 虚拟机与应用安全服务
20
vShield App:保护关键应用的内网防火墙
主要收益
分布式2/3层应用防火墙
部署简单-基于主机
扩展性好
与VLAN无关
监控无盲区
与vCenter紧密集成
vCenter管理揑件
数据中心范围集中管理
基于逻辑组制定访问规则
资源池,vApp,端口组,安全组
也支持传统的五元组方式
自劢感知虚拟机的迁移
变更主机或子网时不需修改策略
防地址欺骗与变更审计功能
虚拟机/MAC/IP地址绑定
vShield App防火墙
vSphere
VDC
财务区域 HR区域
虚拟化层
21
vShield App防火墙管理界面一览
22
议程
虚拟化与云计算环境下的安全挑战
如何提升平台(虚拟化层)的安全性
软件定义的网络安全
• vCNS架构概览
• 逻辑边界网关服务
• 虚拟机与应用安全服务
以VMware为核心的云安全生态系统
23
第三方网络与安全服务集成框架
统一的,集成的,自劢化的管理工具
虚拟数据中心
虚拟机内部安全 虚拟机/应用安全 虚拟数据中心边界安全
网络与安全服务集成点
云服务自劢化框架
虚拟数据中心 虚拟数据中心
基于无代理架构实现终
端保护,提供如防病
毒,敏感数据保护等功
能。
对进出虚拟机的网络流
量进行监控,从而实现
访问管理与安全防护。
为虚拟数据中心提供逻
辑边界防护,多种网络
与安全服务供用户选
择。
24
不断完善的开发框架
ESX
VMsafe
ESX with VMSafe
VMware VMSafe™ VMware EPSEC™
(Endpoint Security)
VMware vSphere
检测
SVM
OS
Hardened
AV
VM
APP
OS
Kernel
BIOS
VM
APP
OS
Kernel
BIOS
VMware vCEF™
(Cloud Ecosystem Framework)
Security Network
VMware vShield Manager
1. 数据块级访问
2. 按计划扫描
3. 离线VM扫描
1. 文件级访问
2. 实时安全防护
3. 病毒定义更新
4. 恶意软件修复
1. 增加网络服务
2. 服务管理自动化
3. 管理界面标准化
25
无/微代理终端安全
vShield Endpoint包含于除Essentials以外所有vSphere版本
主要收益
无代理架构终端保护
容易部署和管理
容易更新签名
占用更少的资源 (Mem,Disk,Net)
消除病毒扫描风暴
增加密度,降低成本
安全虚拟机永远在线,实时更新
更安全更有效率
支持业界主流的终端安全解决方案
虚拟化层
自检
SVM
OS
加强型
AV
VM
APP
OS
内核
BIOS
VM
APP
OS
内核
BIOS
VM
APP
OS
内核
BIOS
26
云安全是一个生态系统
VMware vCloud网络与安全
第
三
方
网
络
与
安
全
服
务
VDC 1 VDC 2
vSphere
与vCenter/vCD紧密集成
Technical Alliance Partner=2230家
Network&Security TAP=419家
感谢聆听!
臧铁军
28
