Upload
others
View
40
Download
0
Embed Size (px)
Citation preview
VMware NSX – обеспечение сетевой
безопасности в виртуальной среде
Лукьянов Сергей Аркадьевич
VMware
Программа
NSX – сетевой гипервизор для SDN
Компоненты безопасности виртуальных сетей
Распределенный Firewall
Аутентификация
VPN
Service Composer
Партнерская экосистема
Управление Облачная инфраструктура
Виртуализация
Глобально прогресс движется в сторону
программно-конфигурируемых ЦОД (SDDC)
Виртуальные вычислительные
ресурсы
Автоматизи-
рованное
разверты-
вание
приложений
Автоматизи-
рованный
мониторинг и
управление
Безопасное выделение ресурсов по
требованию
Програм-
мная СХД
Програм-
мная сеть
Катастро-
фоустой-
чивость
Масштабируемость
Безопас-
ность
Cloud APIs
Миграция
между
облаками
Автоматиза-
ция
Управление Облачная инфраструктура
Виртуализация
VMware: все необходимое для построения облака
vSphere Ent+ 5.5
IT Business
Management*
vCloud Automation
Center 5.5
vFabric Application
Director
vCenter Operations
Mgmt Suite 5.7.2
vCenter Log Insight
vCloud Director 5.5
vSAN 5.5*
(Public Beta)
vCNS 5.5 или
NSX* Site Recovery Manager 5.5
Масштабируемость
vCloud APIs
vCloud
Connector 2.5
vCenter
Orchestrator
* Новые продукты
Уровень абстракции для виртуализации вычислений
Физическая сеть – камень преткновения
для программного ЦОД
Физическая
Инфраструктура
• Медленная инициализация
• Ограниченные возможности размещения
• Ограниченная мобильность сотрудников
• Зависимость от оборудования
• Высокое потребление ресурсов
Виртуальный ЦОД
Виртуализация серверов – твердый орешек для сетевых администраторов
Сетевой
администратор
Решение — виртуализация сети
Физическая
Инфраструктура
Уровень абстракции для виртуализации вычислений
Уровень абстракции для виртуализации сети
Виртуальный ЦОД
• Медленная инициализация
• Ограниченные возможности размещения
• Ограниченная мобильность сотрудников
• Зависимость от оборудования
• Высокое потребление ресурсов
• Программируемая инициализация
• Свободное размещение рабочих нагрузок
• Свободное перемещение рабочих нагрузок
• Изоляция от оборудования
• Эксплуатационная эффективность
VMware NSX – сетевой гипервизор
Виртуализация сетей подобно виртуализации вычислений
Независимость от оборудования, полная функциональность,
автоматизация операций
Любая
IP-сеть
Разделение
VMware NSX
Виртуальные сети
Физические сети
IP-сеть, которая надежна, и обеспечивает
скорости и задержки, приемлемые для
приложений
Сетевые гипервизоры от VMware
2013
• vCNS v5.1
• vCloud Suite (Network & Security) v5.1
vCNS v5.5 в составе
vCloud Suite (Network & Security) v5.5
2014
NSX vCloud
NSX OpenCloud
vCloud Network & Security
2012
Архитектура VMware NSX
vCD / vCAC / OpenStack / OpenCloud
vCenter Server NSX Manager 1:1
Management Plane
Control Plane
NSX Edge
Distributed Router Controllers
Data Plane
NSX Edge
Services Gateway
VXLAN DR DFW Security VXLAN DR DFW Security
1:N
VXLAN DR DFW Security
vSphere API REST API vSphere API
SSL
REST API REST API
OVS DB SSL
Программа
NSX – сетевой гипервизор для SDN
Компоненты безопасности виртуальных сетей
Распределенный Firewall
Аутентификация
VPN
Service Composer
Партнерская экосистема
Наиболее востребованные сервисы сетей
и безопасности NSX предоставляет встроенные логические сети и сервисы
для типовых потребностей (и вызовов)
автоматизации облачных услуг
Распределенный
межсетевой экран
Виртуальные сети
(логические коммутаторы)
Балансировщик
нагрузки
Распределенный
маршрутизатор
VPN'ы межсайтовые &
удаленного доступа
антивирусная платформа
Endpoint и
партнерская экосистема
VXLAN-туннели
P2V и V2V мосты
Механизмы обеспечения сетевой
безопасности
Cредства управления ЦОД:
vCenter, vCD, vCAC, OpenStack, Cloudstack
Сторонние службы (AV, IDS, IPS, AAA, шифр-е)
vSphere
Интегрированные сторонние службы
Partner Ecosystem Framework
Изоляция и защита приложений
и виртуальных машин
Фаервол App
Защита периметра виртуального ЦОД
и предоставление служб шлюза
Шлюз Edge
Основа эластичных переносимых
виртуальных сетей
VXLAN
Прозрачная интеграция со
средствами управления ЦОД при
помощи подключаемых модулей
vCNS, NSX Manager
Защита от утечек данных
Data Security
Программа
NSX – сетевой гипервизор для SDN
Компоненты безопасности виртуальных сетей
Распределенный Firewall
Аутентификация
VPN
Service Composer
Партнерская экосистема
NSX Firewall
• Распределенный
• Identity-based
• Высокоскоростной и
линейно масштабируемый
• Мультиарендный
• C сохранением состояния (Stateful)
• Централизованно-администрируемый
VXLAN DR DFW Security
VM VM VM VM VM
Identity-based Firewall
VM VM VM VM VM VM VM VM VM VM VM VM
Уп
ра
вл
яю
щи
й
кл
ас
те
р N
SX
Транспортная
IP-сеть
VM VM VM VM VM
Логическое
представление сетей
Программа
NSX – сетевой гипервизор для SDN
Компоненты безопасности виртуальных сетей
Распределенный Firewall
Аутентификация
VPN
Service Composer
Партнерская экосистема
Аутентификация и авторизация в NSX
Есть сейчас
• Аутентификация:
• Базовая аутентификация доступа
• Унифицированный API аутентификации, применяемый к UI, CLI и средствам
менеджмента/автоматизации
• Протокол LDAP
• Интеграция с SSO
• Авторизация:
• Авторизация локальных аккаунтов с привилегиями R / RW ко всей системе
• Унифицированный RBAC на всех NSX API объектах и методах
Планируется
• Авторизация:
• RBAC для локальных аккаунтов
Программа
NSX – сетевой гипервизор для SDN
Компоненты безопасности виртуальных сетей
Распределенный Firewall
Аутентификация
VPN
Service Composer
Партнерская экосистема
Типы логических VPN
Public
Cloud
Site to Site (IPsec) VPN
User (SSL) VPN
Cloud (L2) VPN
Реализация VPN в NSX
Site to Site (IPSEC) VPN
IPsec, совместимый и
протестированный с
ведущими вендорами
IKEv1
Шифрация – 3DES, AES128,
AES256
Аппаратная разгрузка
AESNI
NAT & Perimeter Firewall
Traversal
User (SSL) VPN
Клиенты для всех основных
OS:
Windows, Mac OS, Linux
Удаленная аутентификация
через Active Directory, RSA
Secure ID, LDAP, Radius
TCP Acceleration
Поддержка AESNI
Операционная панель
управления
Cloud (L2) VPN
Основаны на SSL
Поддержка Web-proxy
L2-мост в Облако
Поддержка
широковещания
Программа
NSX – сетевой гипервизор для SDN
Компоненты безопасности виртуальных сетей
Распределенный Firewall
Аутентификация
VPN
Service Composer
Партнерская экосистема
#1 – Упрощение предоставления сервисов
Partner Management Console
vCenter/vCloud/vCAC
vCNS Manager
Предоставление сервисов
Сервисы безопасности VMware
Сервисы третьих сторон
• Все категории безопасности
• Многочисленные форм-факторы
• Мультивендорная поддержка
Мониторинг здоровья
Обеспечение доступности сервиса
Разделение обязанностей
Роль предоставителя сервиса отделена от
администратора vCenter
Роли для Security Admin, Audit
SLAs на уровне кластера
Политика и согласованность
#2 – Потребление сервисов: составление
сервисов для многоуровневых приложений
“Web-tier” “App-tier” “Database-tier”
wire LB FW IDS wire FW IDS wire FW
NSX Service Composer “сочетает” контейнеры и сервисные профили в шаблоны политик и
конфигурируемые рабочие экземпляры
Policy = Container(s) + Service(s)
• Типичное 3-уровневое приложение
• Контейнеры
• “Web-tier”
• “App-tier”
• “Database-tier”
• Сервисы
• Firewall rules
• Network isolation (overlay)
• Load Balancer
• Intrusion Detection
“Web-tier” “App-tier” “Database-tier”
FW wire LB IDS
Экспорт в файл
ШАБЛОН РАБОЧИЕ ЭКЗЕМПЛЯРЫ
container FW wire
#3 – Автоматизация сервисов: включение
мультивендорных, разнородных рабочих
процессов
2. Партнеры: Снижают время выхода на рынок, предоставляя рабочие процессы,
интегрированные с сервисами других вендоров. Расширяют область применения за счет
интеграции с решениями других вендоров.
1. Заказчики: Получают лучшие в своем роде решения. Увеличивают эффективность
путем автоматизации рабочих процессов между ЛЮБЫМИ интегрированными сервисами.
Программа
NSX – сетевой гипервизор для SDN
Компоненты безопасности виртуальных сетей
Распределенный Firewall
Аутентификация
VPN
Service Composer
Партнерская экосистема
Что еще могут добавить наши партнеры Программно-конфигурируемые сети Партнеры разрабатывают лучшие образцы
наложенных сетевых сервисов:
• Anti-Virus (AV), Anti-Malware
• Application Delivery Controller (ADC)
• Application Whitelisting
• Application Firewall
• Data Loss Prevention (DLP)
• Encryption
• File Integrity Monitoring (FIM)
• Firewall (Host/Network)
• Identity and Access Management
• Intrusion Detection/Prevention System (IDS/IPS)
• Load Balancer
• Network Forensics
• Network Gateway (VXLAN)
• Network Port Profile
• Network Switch
• Policy and Compliance Solution
• Security Intelligence and Event Management (SIEM)
• User Access Control (closest to our SAM)
• Vulnerability Management
• WAN Optimizer
• Web Filter
Свойства виртуальных сервисов:
• Программное развертывание
• Размещение любой рабочей
нагрузки где угодноe
• Свободное перемещение рабочей
нагрузки
• Отделение от оборудования
• Операционная эффективность
Партнерская экосистема VMware NSX
VMware NSX: что запомнить?
2 Трансформирует операционную модель сети и сетевой безопасности
3 Открывает широкое поле деятельности для партнеров
1 Удаляет последний барьер на пути к SDDC
4 Можно протестировать работу NSX на http://labs.hol.vmware.com HOL-SDC-1303, HOL-SDC-1319