数据中心的演化和安全挑战 蒋东毅 研发副总裁,山石网络 2014/5/16 数据中心的演化和安全挑战 蒋东毅 研发副总裁,山石网络 2014/5/16
议程 1 2 3 4 5 6 数据中心的演化 当前数据中心网络的局限性 灵活弹性的云化数据中心设计 云化数据中心带来的安全挑战 山石vEFA全并行架构的解决方案 6 山石下一代智能防火墙
数据中心的演进 Portal ESB ISB DW 应用系统架构的演进 服务器平台的演进 基础网络架构的演进 运营模式的演进 大型主机 C/S架构 多层分布式架构 SOA架构 大数据的应用 CPU性能越来越高,体积越来越小,密集度增高 虚拟化技术的引入,逻辑和物理机的分离 服务器虚拟化 存储虚拟化 网络虚拟化 复杂性增加 共享、按需、动态的模式 自动化部署,敏捷性 一体化运营 Portal ESB ISB DW
目前数据中心网络 三层架构:接入、汇聚、核心
当前数据中心的流量 东西向流量是南北向流量的数十倍以上 南北向流量: 进出数据中心的流量 东西向流量: 数据中心内部的流量
网络隔离和安全 二层使用VLAN实现隔离 三层使用VRF实现隔离 三层到三层的安全由部署在汇聚和核心的防火墙提供
当前数据中心网络设计的局限性 这种设计不能满足基于资源池的云化数据中心的需求,实现动态、灵活的资源池配置,满足业务敏捷性要求: 性能的扩展能力有限 三层网络架构设计更利于南北向流量,但并不适用于越来越占据主导地位的东西向流量 数量巨大的虚拟机(VM)网络端口(vNIC),导致网络设备MAC激增引起网络风暴 效率低下 物理链路使用生成树协议 (STP)转发数据,导致链路利用率低下 虚拟机迁移受限 网络扁平化受限于4K VLAN数量,无法实现规模化 大量独立的交换和路由设备,增加了操作和维护的复杂性.
云化数据中心设计 CISCO FabricPath and DFA L2、L3 (二、三层网)的边界消失, 网络扁平化 L2 、L3 的标记都将终结(terminate)在接入层边界,基于MAC/IP的寻址变为基于交换机ID的传输 数据包在接入交换机内封装了新的包头,植入目的交换机的ID并转发 目的交换机收到报文后,基于目的MAC/IP完成最后一跳
云化数据中心设计 Juniper QFabric 数据中心大量的交换/路由等物理设备收敛到一个单一的巨型逻辑设备 支持1600万 L2 network
云化数据中心设计 VMware NSX 构建在叠加网络(Overlay Network)技术之上, 如VxLAN, NVGRE等. 数据中心交换矩阵静态配置,通过IP单播和多播提供物理机IP到IP的链接 在Hypervisor内部的Edge决定下一跳并且将数据包被封装在VxLAN隧道里转发 VxLAN 隧道最终节点 (VTEP)网关桥接叠加网络和物理网络
三家供应商方案的利与弊 CISCO FabricPath/DFA Juniper QFabric Mware NSX 保护现有的客户投资, 但是 破坏了分层网络结构所带来的优势 Juniper QFabric 保留了分层网络设计的优势 需要建设全新的数据 Mware NSX 静态的数据中心交换矩阵配置, 当网络中的一个子网拓扑结构变化时,基本不需对交换矩阵重新配置 从管理的角度看,由于VTEP(s)数量巨大,管理的可扩展性存在问题
云化数据中心的安全挑战 网络的物理边界消失 效率和性能 动态和灵活性 管理复杂 由于网络和资源全虚拟化和分布化,网络与资源的物理边界消失,使安全和服务部署十分困难 效率和性能 如果设计不合理,网络的流量可能在实际网络上多次往返,造成倍增的延时和流量 浪费 动态和灵活性 虚拟机迁移要求动态感知的安全服务 持续不断的据中心变化要求安全服务动态调整,以提供对用户SLA的保证 管理复杂 随着租户的增长和资源的增加,数据中心管理本身就是复杂的事情,安全更加增加了这个复杂性
当前的方案和局限性 高性能硬件安全设备 虚拟化软件安全设备 南北向流量 数据中心网关位置 东西向流量 单臂部署 租户VM流量转发到设备 弹性受硬件设备限制 数据中心的网络瓶颈,延时加大 虚拟化软件安全设备 同时服务于南北向和东西向流量 VM级设备服务于单用户 计算资源浪费 动态流量处理性能低下 多设备管理复杂 In-Hypervisor安全设备 虚拟操作系统厂商在Hypervisor层安全模块 因为Hypervisor稳定性要求,功能简单
山石分布式安全架构 要点: 硬件基于分布式、弹性安全服务(EFA)架构 HillStone X7180 360G FW 建立在全分布式防火墙架构的专利技术之上 性能和容量能够随着CPU的数量增加而线性增长 规模可以从数十到数百个CPU
虚拟分布式、弹性安全架构(vEFA) 扩展已有的分布式架构到云安全解决方案 完全可扩展的分布式体系架构 Cloud Orchestration Cloud Orchestration 扩展已有的分布式架构到云安全解决方案 完全可扩展的分布式体系架构 利用云中计算与网络资源的全软件解决方案,无任何专用硬件 管理简单,人机交互与单一设备管理完全相同 基于 VSYS(虚拟安全系统)对每个租户提供安全服务
vEFA 重朔数据中心的安全边界 数据中心安全边界随虚拟化而消失 vEFA不但重朔数据中心安全边界 而且将边界推向服务器边缘
vEFA的优势 高度动态和灵活性 管理简单且灵活 高性能和可伸缩性 VEB VEB VEB VEB TOR TOR 不需要硬件设备 天然适应云化数据中心架构 随系统的规模扩展而增加支付 为新的租户增加虚拟系统扩展安全 单一的虚拟安全设备负责整个数据中心的安全服务 虚拟机迁移无需更改安全策略配置 按需弹性增加或减少 vIOM 和vSSM vIOM接近租户的虚拟机节省带宽 高可扩展的吞吐量 :容易扩展到1Tbps 低延时:vIOM/vSSM独占CPU,避免VM切换延时 VM VM VM VM VM VM VM VM VM VM VM VM VEB VEB VEB VEB TOR TOR
Gartner “Enterprise Network Firewalls Magic Quadrant” 智能化、下一代网络安全解决方案 Firewall UTM NGFW Intelligent NGFW Gartner “Enterprise Network Firewalls Magic Quadrant” 山石网络是iNGFW的原创者、领导者
山石全面网络安全架构: 智能防火墙 主机服务器网络行为建模,预测和异常分析 NGFW/WAF/AD 检测,阻挡 全周期检测: 大数据Malware检测 证据收集 管理员智能 异常及威胁确认 样本上传学习,动态策略加载 大数据分析, 云计算, 云沙箱 知识库 Plus spiral (on click animation) emphasize admin’s ai.
非常感谢! 如有问题,请联系我们 服务热线: 400-828-6655 www.hillstonenet.com.cn