动态和灵活性

Report
数据中心的演化和安全挑战
蒋东毅
研发副总裁,山石网络
2014/5/16
1
www.hillstonenet.com.cn
www.hillstonenet.com.cn
议程
1
2
3
4
5
6
2
数据中心的演化
当前数据中心网络的局限性
灵活弹性的云化数据中心设计
云化数据中心带来的安全挑战
山石vEFA全并行架构的解决方案
山石下一代智能防火墙
www.hillstonenet.com.cn
数据中心的演进
应用系统架构的演进





大型主机
C/S架构
多层分布式架构
SOA架构
大数据的应用
服务器平台的演进
 CPU性能越来越
高,体积越来越
小,密集度增高
 虚拟化技术的引
入,逻辑和物理
机的分离
基础网络架构的演进
 服务器虚拟化
 存储虚拟化
 网络虚拟化
运营模式的演进
 复杂性增加
 共享、按需、动
态的模式
 自动化部署,敏
捷性
 一体化运营
Portal
ESB
ISB
DW
3
www.hillstonenet.com.cn
目前数据中心网络
三层架构:接入、汇聚、核心
4
www.hillstonenet.com.cn
当前数据中心的流量
5
东西向流量是南北向流量的数十倍以上
南北向流量: 数据中心内部的流量
东西向流量:
进出数据中心的流量
www.hillstonenet.com.cn
网络隔离和安全
•
•
•
6
二层使用VLAN实现隔离
三层使用VRF实现隔离
三层到三层的安全由部署在汇聚和核心的防火墙提供
www.hillstonenet.com.cn
当前数据中心网络设计的局限性
这种设计不能满足基于资源池的云化数据中心的需求,实现动态、灵活
的资源池配置,满足业务敏捷性要求:
• 性能的扩展能力有限
– 三层网络架构设计更利于南北向流量,但并不适用于越来越占据主导地位的东西向流量
– 数量巨大的虚拟机(VM)网络端口(vNIC),导致网络设备MAC激增引起网络风暴
• 效率低下
– 物理链路使用生成树协议 (STP)转发数据,导致链路利用率低下
• 虚拟机迁移受限
– 网络扁平化受限于4K VLAN数量,无法实现规模化
– 大量独立的交换和路由设备,增加了操作和维护的复杂性.
7
www.hillstonenet.com.cn
云化数据中心设计
CISCO FabricPath and DFA
•
•
•
•
8
L2、L3 (二、三层网)的边界消失, 网络扁平化
L2 、L3 的标记都将终结(terminate)在接入层边界,基于MAC/IP的寻址变为基于
交换机ID的传输
数据包在接入交换机内封装了新的包头,植入目的交换机的ID并转发
目的交换机收到报文后,基于目的MAC/IP完成最后一跳
www.hillstonenet.com.cn
云化数据中心设计
Juniper QFabric
•
•
•
•
•
9
数据中心大量的交换/路由等物理设备收敛到一个单一的巨型逻辑设备
控制平面: Qfabric控制器
数据平面交换矩阵: Qfabric内部互联
数据平面接口模块: Qfabric 接入节点
支持1600万 L2 network
www.hillstonenet.com.cn
云化数据中心设计
VMware NSX
•
•
•
•
10
构建在叠加网络(Overlay Network)技术之上, 如VxLAN, NVGRE等.
数据中心交换矩阵静态配置,通过IP单播和多播提供物理机IP到IP的链接
在Hypervisor内部的Edge决定下一跳并且将数据包被封装在VxLAN隧道里转发
VxLAN 隧道最终节点 (VTEP)网关桥接叠加网络和物理网络
www.hillstonenet.com.cn
三家供应商方案的利与弊
CISCO FabricPath/DFA
•
•
保护现有的客户投资, 但是
破坏了分层网络结构所带来的优势
Juniper QFabric
•
•
保留了分层网络设计的优势
需要建设全新的数据
Mware NSX
•
•
11
静态的数据中心交换矩阵配置, 当网络中的
一个子网拓扑结构变化时,基本不需对交换
矩阵重新配置
从管理的角度看,由于VTEP(s)数量巨大,
管理的可扩展性存在问题
www.hillstonenet.com.cn
云化数据中心的安全挑战
网络的物理边界消失
•
由于网络和资源全虚拟化和分布化,网络与资源的物理边界消失,使安全和服务部
署十分困难
效率和性能
•
如果设计不合理,网络的流量可能在实际网络上多次往返,造成倍增的延时和流量
浪费
动态和灵活性
•
•
虚拟机迁移要求动态感知的安全服务
持续不断的据中心变化要求安全服务动态调整,以提供对用户SLA的保证
管理复杂
•
12
随着租户的增长和资源的增加,数据中心管理本身就是复杂的事情,安全更加增加
了这个复杂性
www.hillstonenet.com.cn
当前的方案和局限性
高性能硬件安全设备
虚拟化软件安全设备
In-Hypervisor安全设备
 南北向流量
• 数据中心网关位
置
 东西向流量
• 单臂部署
• 租户VM流量转
发到设备
 同时服务于南北向和
东西向流量
 VM级设备服务于单用
户
 虚拟操作系统厂商在
Hypervisor层安全模
块
 弹性受硬件设备限制
 数据中心的网络瓶颈,
延时加大
13
 计算资源浪费
 动态流量处理性能低
下
 多设备管理复杂
 因为Hypervisor稳定
性要求,功能简单
www.hillstonenet.com.cn
山石分布式安全架构
硬件基于分布式、弹性安全服务(EFA)架构
SCM
Interface
Interface
Interface
IOM
IOM
IOM
SSM
SSM
HillStone X7180 360G FW
Switch Fabric
SCM
SSM
要点:
•
•
•
14
建立在全分布式防火墙架构的专利技术之上
性能和容量能够随着CPU的数量增加而线性增长
规模可以从数十到数百个CPU
www.hillstonenet.com.cn
虚拟分布式、弹性安全架构(vEFA)
Cloud
Orchestration
Cloud
Orchestration
•
•
•
•
•
15
扩展已有的分布式架构到云安全解决方案
完全可扩展的分布式体系架构
利用云中计算与网络资源的全软件解决方案,无任何专用硬件
管理简单,人机交互与单一设备管理完全相同
基于 VSYS(虚拟安全系统)对每个租户提供安全服务
www.hillstonenet.com.cn
vEFA 重朔数据中心的安全边界
• 数据中心安全边界随
虚拟化而消失
16
• vEFA不但重朔数据
中心安全边界
• 而且将边界推向服
务器边缘
www.hillstonenet.com.cn
vEFA的优势
高度动态和灵活性
管理简单且灵活
 不需要硬件设备
 天然适应云化数据中
心架构
 随系统的规模扩展而
增加支付
 为新的租户增加虚拟
系统扩展安全
V
M
V
M
V
M
V
M
VEB
TOR
17
 单一的虚拟安全设备
负责整个数据中心的
安全服务
 虚拟机迁移无需更改
安全策略配置
V
M
VEB
高性能和可伸缩性
V
M
V
M
V
M
 按需弹性增加或减少
vIOM 和vSSM
 vIOM接近租户的虚拟
机节省带宽
 高可扩展的吞吐量 :
容易扩展到1Tbps
 低延时:vIOM/vSSM
独占CPU,避免VM切
换延时
V
M
V
M
VEB
V
M
V
M
VEB
TOR
www.hillstonenet.com.cn
智能化、下一代网络安全解决方案
Firewall
Firewall
UTM
NGFW
Intelligent
NGFW
Gartner “Enterprise
Network Firewalls
Magic Quadrant”
18
山石网络是iNGFW的原创者、领导者
www.hillstonenet.com.cn
山石全面网络安全架构: 智能防火墙
主机服务器网
知识库
络行为建模,预
NGFW/WA
测和异常分析
F/AD 检测,
阻挡
全周期检测: 大
大数据分析, 云
计算, 云沙箱
数据Malware检
管理员智能
样本上传学习,
测
证据收集
动态策略加载
异常及威胁
确认
19
www.hillstonenet.com.cn
非常感谢!
www.hillstonenet.com.cn
如有问题,请联系我们
服务热线: 400-828-6655
www.hillstonenet.com.cn
20
www.hillstonenet.com.cn

similar documents