數(shù)據(jù)中心的演化和安全挑戰(zhàn)PPT課件

1、數(shù)據(jù)中心的演化和安全挑戰(zhàn)蔣東毅研發(fā)副總裁，山石網(wǎng)絡(luò)2014/5/2議程123數(shù)據(jù)中心的演化 當(dāng)前數(shù)據(jù)中心網(wǎng)絡(luò)的局限性靈活彈性的云化數(shù)據(jù)中心設(shè)計4云化數(shù)據(jù)中心帶來的安全挑戰(zhàn)5山石vEFA全并行架構(gòu)的解決方案6山石下一代智能防火墻3 大型主機(jī) C/S架構(gòu) 多層分布式架構(gòu) SOA架構(gòu) 大數(shù)據(jù)的應(yīng)用數(shù)據(jù)中心的演進(jìn)應(yīng)用系統(tǒng)架構(gòu)的演進(jìn)服務(wù)器平臺的演進(jìn)基礎(chǔ)網(wǎng)絡(luò)架構(gòu)的演進(jìn)運營模式的演進(jìn) CPU性能越來越高，體積越來越小，密集度增高 虛擬化技術(shù)的引入，邏輯和物理機(jī)的分離 服務(wù)器虛擬化 存儲虛擬化 網(wǎng)絡(luò)虛擬化 復(fù)雜性增加 共享、按需、動態(tài)的模式 自動化部署，敏捷性 一體化運營ISBESBDWP4目前數(shù)據(jù)中心網(wǎng)絡(luò)三

2、層架構(gòu)：接入、匯聚、核心5當(dāng)前數(shù)據(jù)中心的流量南北向流量: 進(jìn)出數(shù)據(jù)中心的流量東西向流量: 數(shù)據(jù)中心內(nèi)部的流量東西向流量是南北向流量的數(shù)十倍以上6網(wǎng)絡(luò)隔離和安全二層使用VLAN實現(xiàn)隔離三層使用VRF實現(xiàn)隔離三層到三層的安全由部署在匯聚和核心的防火墻提供7當(dāng)前數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)計的局限性這種設(shè)計不能滿足基于資源池的云化數(shù)據(jù)中心的需求，實現(xiàn)動態(tài)、靈活的資源池配置，滿足業(yè)務(wù)敏捷性要求: 性能的擴(kuò)展能力有限 三層網(wǎng)絡(luò)架構(gòu)設(shè)計更利于南北向流量，但并不適用于越來越占據(jù)主導(dǎo)地位的東西向流量數(shù)量巨大的虛擬機(jī)（VM)網(wǎng)絡(luò)端口（vNIC），導(dǎo)致網(wǎng)絡(luò)設(shè)備MAC激增引起網(wǎng)絡(luò)風(fēng)暴效率低下物理鏈路使用生成樹協(xié)議 (STP)轉(zhuǎn)發(fā)

3、數(shù)據(jù)，導(dǎo)致鏈路利用率低下虛擬機(jī)遷移受限網(wǎng)絡(luò)扁平化受限于4K VLAN數(shù)量，無法實現(xiàn)規(guī)?；罅开毩⒌慕粨Q和路由設(shè)備，增加了操作和維護(hù)的復(fù)雜性8云化數(shù)據(jù)中心設(shè)計CISCO FabricPath and DFAL2、L3 （二、三層網(wǎng)）的邊界消失, 網(wǎng)絡(luò)扁平化L2 、L3 的標(biāo)記都將終結(jié)（terminate）在接入層邊界，基于MAC/IP的尋址變?yōu)榛诮粨Q機(jī)ID的傳輸數(shù)據(jù)包在接入交換機(jī)內(nèi)封裝了新的包頭，植入目的交換機(jī)的ID并轉(zhuǎn)發(fā)目的交換機(jī)收到報文后，基于目的MAC/IP完成最后一跳9云化數(shù)據(jù)中心設(shè)計Juniper QFabric數(shù)據(jù)中心大量的交換/路由等物理設(shè)備收斂到一個單一的巨型邏輯設(shè)備控制平面:

4、 Qfabric控制器數(shù)據(jù)平面交換矩陣: Qfabric內(nèi)部互聯(lián)數(shù)據(jù)平面接口模塊: Qfabric 接入節(jié)點支持1600萬 L2 network 10云化數(shù)據(jù)中心設(shè)計VMware NSX構(gòu)建在疊加網(wǎng)絡(luò)(Overlay Network)技術(shù)之上, 如VxLAN, NVGRE等.數(shù)據(jù)中心交換矩陣靜態(tài)配置，通過IP單播和多播提供物理機(jī)IP到IP的鏈接在Hypervisor內(nèi)部的Edge決定下一跳并且將數(shù)據(jù)包被封裝在VxLAN隧道里轉(zhuǎn)發(fā)VxLAN 隧道最終節(jié)點 (VTEP)網(wǎng)關(guān)橋接疊加網(wǎng)絡(luò)和物理網(wǎng)絡(luò)11三家供應(yīng)商方案的利與弊CISCO FabricPath/DFA保護(hù)現(xiàn)有的客戶投資, 但是破壞了分層網(wǎng)

5、絡(luò)結(jié)構(gòu)所帶來的優(yōu)勢Juniper QFabric保留了分層網(wǎng)絡(luò)設(shè)計的優(yōu)勢需要建設(shè)全新的數(shù)據(jù)Mware NSX靜態(tài)的數(shù)據(jù)中心交換矩陣配置, 當(dāng)網(wǎng)絡(luò)中的一個子網(wǎng)拓?fù)浣Y(jié)構(gòu)變化時，基本不需對交換矩陣重新配置從管理的角度看，由于VTEP(s)數(shù)量巨大，管理的可擴(kuò)展性存在問題12云化數(shù)據(jù)中心的安全挑戰(zhàn)網(wǎng)絡(luò)的物理邊界消失由于網(wǎng)絡(luò)和資源全虛擬化和分布化，網(wǎng)絡(luò)與資源的物理邊界消失，使安全和服務(wù)部署十分困難效率和性能如果設(shè)計不合理，網(wǎng)絡(luò)的流量可能在實際網(wǎng)絡(luò)上多次往返，造成倍增的延時和流量 浪費 動態(tài)和靈活性虛擬機(jī)遷移要求動態(tài)感知的安全服務(wù)持續(xù)不斷的據(jù)中心變化要求安全服務(wù)動態(tài)調(diào)整，以提供對用戶SLA的保證管理復(fù)雜隨

6、著租戶的增長和資源的增加，數(shù)據(jù)中心管理本身就是復(fù)雜的事情，安全更加增加了這個復(fù)雜性13當(dāng)前的方案和局限性高性能硬件安全設(shè)備 南北向流量數(shù)據(jù)中心網(wǎng)關(guān)位置 東西向流量單臂部署租戶VM流量轉(zhuǎn)發(fā)到設(shè)備 彈性受硬件設(shè)備限制 數(shù)據(jù)中心的網(wǎng)絡(luò)瓶頸，延時加大虛擬化軟件安全設(shè)備 同時服務(wù)于南北向和東西向流量 VM級設(shè)備服務(wù)于單用戶 計算資源浪費 動態(tài)流量處理性能低下 多設(shè)備管理復(fù)雜In-Hypervisor安全設(shè)備 虛擬操作系統(tǒng)廠商在Hypervisor層安全模塊因為Hypervisor穩(wěn)定性要求，功能簡單14山石分布式安全架構(gòu)硬件基于分布式、彈性安全服務(wù)(EFA)架構(gòu)HillStone X7180 360G

7、FW要點:建立在全分布式防火墻架構(gòu)的專利技術(shù)之上性能和容量能夠隨著CPU的數(shù)量增加而線性增長規(guī)模可以從數(shù)十到數(shù)百個CPU15虛擬分布式、彈性安全架構(gòu)(vEFA)擴(kuò)展已有的分布式架構(gòu)到云安全解決方案完全可擴(kuò)展的分布式體系架構(gòu)利用云中計算與網(wǎng)絡(luò)資源的全軟件解決方案，無任何專用硬件管理簡單，人機(jī)交互與單一設(shè)備管理完全相同基于 VSYS（虛擬安全系統(tǒng)）對每個租戶提供安全服務(wù)Cloud OrchestrationCloud O16vEFA 重朔數(shù)據(jù)中心的安全邊界 vEFA不但重朔數(shù)據(jù)中心安全邊界 而且將邊界推向服務(wù)器邊緣 數(shù)據(jù)中心安全邊界隨虛擬化而消失17vEFA的優(yōu)勢高度動態(tài)和靈活性 不需要硬件設(shè)備

8、天然適應(yīng)云化數(shù)據(jù)中心架構(gòu) 隨系統(tǒng)的規(guī)模擴(kuò)展而增加支付 為新的租戶增加虛擬系統(tǒng)擴(kuò)展安全管理簡單且靈活 單一的虛擬安全設(shè)備負(fù)責(zé)整個數(shù)據(jù)中心的安全服務(wù) 虛擬機(jī)遷移無需更改安全策略配置高性能和可伸縮性 按需彈性增加或減少 vIOM 和vSSM vIOM接近租戶的虛擬機(jī)節(jié)省帶寬 高可擴(kuò)展的吞吐量 ：容易擴(kuò)展到1Tbps 低延時：vIOM/vSSM獨占CPU，避免VM切換延時VMVMVMVEBVMVMVMVEBVMVMVMVEBVMVMVMVEBTORTOR18 智能化、下一代網(wǎng)絡(luò)安全解決方案FirewallUTMNGFWIntelligent NGFWFirewall山石網(wǎng)絡(luò)是iNGFW的原創(chuàng)者、領(lǐng)導(dǎo)者Gartner “Enterprise Network Firewalls Magic Quadrant”19山石全面網(wǎng)絡(luò)安全架構(gòu): 智能防火墻主