Weitere ähnliche Inhalte
Ähnlich wie V mware v shield - 部署最安全云环境的基础 (20)
V mware v shield - 部署最安全云环境的基础
- 3. 3 Confidential
周边安全
内部安全
终端安全
隔离内部服务和应用
• 基于VLAN或者子网的策略
• 内部的或者Web应用防火墙
• DLP, 以应用标识为依据的策略
VLAN 1
VLANs
数据中心需要在不同层次上进行保护
Cost & Complexity
At the vDC Edge
• Sprawl: hardware, FW rules, VLANs
• Rigid FW rules
• Performance bottlenecks 将威胁隔绝在系统之外
• 周边安全设备
• 防火墙, VPN, 入侵检测系统
• 负载均衡
终端保护
• 桌面防病毒代理,
• 基于主机的入侵检测
• 针对隐私数据的DLP代理
- 5. 5 Confidential
周边安全
内部安全
终端安全
传统安全方案不再适应于 vDC
Cost & Complexity
At the vDC Edge
• Sprawl: hardware, FW rules, VLANs
• Rigid FW rules
• Performance bottlenecks
成本和复杂度
vDC 边缘
• 大量的硬件,防火墙规则以及VLAN
• 不灵活的防火墙规则
• 性能瓶颈
大量代理,性能
vDC终端
•在VM中安装大量的反病毒代理, 消耗大量资源
• 风险:VM中的反病毒软件没有经过安全加固
VLAN 1 VLAN 复杂度和配置盲区
vDC应用之间
• 大量VLAN和硬件
• 盲区:VM间数据传输
• 性能瓶颈VLAN 2
- 6. 6 Confidential
2010 – vShield 产品介绍
DMZ Application 1 Application 2
全方位保护私有云: 从周边到终端
Edge
vShield Edge
保护虚拟数据中心的
边缘
Security Zone
vShield App 和 Zones
为各种应用建立安全分割
Endpoint = VM
vShield Endpoint
分流式反病毒处理
Endpoint = VM
vShield Manager
集中式管理
- 7. 7 Confidential
周边安全存在的问题
保护私有云和公有云 - 迁移到私有云
或者公有云中的企业需要扩展与物理
数据中心相似的安全分层
使用VLAN实现隔离 - 使用交换机或
者防火墙建立虚拟系统周边环境十分
复杂和昂贵。混合信任主机会引起一
些依从性问题。
View 桌面用户 – 外部的负载均衡和防
火墙需要与View同时部署,极大提高
了解决方案的成本
传统的分层安全保护
空隙
- 8. 8 Confidential
一个应用包含多种边缘安全服务
• 有状态的防火墙
• NAT
• DHCP
• Site to site VPN (IPsec)
• Web 负载均衡
Edge提供的端口组隔离
详细的网络流统计
通过UI和REST API进行策略管理
基于业界标准syslog格式的日志记录和审计
vShield Edge
保护虚拟数据中心的边缘
租客 A 租客 X
功能
负载均衡
防火墙
VPN
- 10. 10 Confidential
vShield Edge 安装和配置
在网络配置页面上安装到每个DVS上的端口组上
基于端口组创建逻辑边界
• 创建一个安全的端口组,Edge相当于安装在这个端口组的边界上
• 此端口组应该由 VLAN 或者 vShield 端口组隔离来实现划分 (解决了大量VLAN
的问题)
• Edge 具有两个接口(内部和外部),内部接口与其保护的安全端口组相连,外
部则连接到与外部相连的Uplink
五元组方式设置策略(源目的端IP地址,源与目的端端口号以及服务)
• Edge 具有一个外部IP地址,将端口组置于内部实现保护
• 在VM连接到Internet的时候执行NAT
• 可以使用Cisco,Checkpoint或者其他VPN终端设置IPSec VPN实现与远端资源
的安全连接
• 为内部的主机提供负载均衡
- 14. 14 Confidential
vShield App 安装和配置
vShield App 安装在每个ESX 主机上
• 控制和监控主机上的所有网络数据,甚至包括没有通过物理网卡的数据包
vShield App 使用直观的策略管理
• vCenter 中的容器- 资源池,vApp,以及虚拟机可以直接用于创建基于业务的策
略
• 支持五元组规则
• 提供基于IP的带状态的防火墙和为包括Oracle,FTP,Sun/Linux/MS RPC等多
种协议提供的应用层网关
用以观察网络活动的网络数据流的监控
• 虚拟机帮助定义和提取虚拟机防火墙策略
• 通过详细的应用程序(应用,会话,字节)数据流报告识别僵尸网络和保护业
务流程
- 15. 15 Confidential
什么时候选择 vShield Edge 或者 vShield App 或者两者
vShield Edge
• 在每个安全域中都有IP地址重复,因此
需要NAT服务
• 需要安全连接到外部网络(VPN)
比如 合作公司的外联网,云用户的数据中
心网络等
• 需要Web负载均衡服务
• 虚拟机快速启动和关闭的DHCP服务支
持
vShield App
• 需要使用任意的逻辑分域或者基于
非网络元素的分组(例如资源池,
vApp等)
• 基于应用分域
• 需要信任域中的VM之间的防火墙功
能
• 没有重复IP地址的需求
两者
• 需要避免使用VLAN作为网络分割技术
• 需要vShield Edge功能(DHCP, NAT等) ,同时需要域内的防火墙
- 18. 18 Confidential
Global Ltd. – 当前的“Air Gapped” 架构
DMZ Extranet PCI
Internet
View
• 专属交换机和负载均衡设备
• 防火墙规则部署在上端分布式
的层面
• 各种应用混合在一起之间没有
安全管理
• 信任域由VLAN或子网进行划
分
• 成本: 大量硬件
• 复杂性: 大量VLAN
• 盲区: VM之间的网络数据
• 性能瓶颈
- 19. 19 Confidential
Global Ltd 核心需求
保证安全的信任分域
• 外联网
合作方对Global Ltd应用的访问
限制合作方只能访问指定的应用
• PCI (Payment Card Industry)
CDE(Cardholder Data Environment) 分割
零售PoS应用到数据中心的安全连接
• View 桌面
多用户多功能桌面
-内部用户标准的应用访问
-海外开发者开发环境的访问
-风险用户的桌面(网页浏览,FTP等)
• DMZ
从内部网络分割
Web负载均衡
• 使用VMware vCloud Director的内部云
- 20. 20 Confidential
外联网 – vShield Edge 配置
vShield Edge
• 将所有的PCI服务器连接到外联网端口组
• 配置端口组网络隔离以提供二层的网络隔离
• 配置vShield Edge默认拒绝所有访问
• 为到合作方的应用服务器的RDP访问和安全
Web服务访问(HTTPS)设置向内的静态
NAT
• 允许合作方IP范围对端口443和3389的访问
• 在合作方和外联网Edge间配置IPSec VPN
• 配置vShield App来分割不同合作方的虚拟机
并保持其处在同一个二层/三层广播域
Extranet Apps
Internet
合作方
- 21. 21 Confidential
View
vShield 启用 – 保护View环境
ExtranetDMZ PCI
• 为了性能和存储优化,Global
Ltd为View创建一个集群
• 三种类型的资源池- 内部企业
用户,海外开发者,只提供网
页访问的桌面资源池
• vShield App提供安全的View
环境
• View虚拟机间访问被拒绝
• View虚拟机向Internet访问只
开放80端口
• 基于容器的策略简化配置
Site 2 Site IPSec
VPNs
Internet
- 22. 22 Confidential
终端保护
vShield App:桌面安全域
vShield Edge:
负载均衡 View Manager服务
器
整合VPN的数据流加密
保护 View 部署
解决方案 - vShield Edge,
App, & Endpoint
- 23. 23 Confidential
建立桌面安全域的基本步骤
View Manager 配置
• 基于用户或功能创建桌面池
比如- 工程师,销售人员,合同员工,
浏览,PCI Pos等
• 设置RBAC将不同资源池的访问限制
在指定的管理员
• 在Active Directory中基于功能或者桌
面池创建的需求设置用户组
• 将Active Directory组分配给对应的不
同桌面池
vCenter 配置
• 为不同的桌面池创建作为容器的
资源池
• 在vCenter中设置 RBAC将不同
资源池的访问限制到指定的授权
vSphere管理员
- 24. 24 Confidential
建立桌面安全域的基本步骤
vShield App 配置
• 基于桌面池决定用户需要的应用访问规则
• 将默认允许规则改成默认拒绝
• 在集群或者数据中心级别为每个桌面资源池创建规则以允许特定桌面访问必要
的资源
例如 – Src: PCI Desktops, Src Port, Dst: PCI Server, Proto: HTTPS, Dst Port: 443,
Action: ALLOW
• 在桌面安全域中创建一个规则拒绝所有桌面之间的访问
例如 – Src: Contractors, Src Port: ANY, Dst: Contractor Zone: ANY, Proto: ANY, Port:
ANY, Action: DENY
- 25. 25 Confidential
使用View和vShield的PCI标准遵从(PCI Compliance)
Global Ltd决定将Pos从商店转移到数据中心,并通过Zero Client到View
环境的连接访问
• 创建新的View桌面池来存放PCI的应用
所有的桌面连接到指定的端口组
vShield Edge 提供:
-商店到View Manager PCI桌面之间的Site to Site VPN
-View Managers的Web负载均衡
-PCI桌面到PCI CDE服务器间的有状态的防火墙
-View环境中的DHCP服务
-端口组网络隔离
vShield App 提供:
-PCI桌面池中的PCI桌面间的隔离
-PCI桌面与View环境其他部分的隔离
-CDE服务器间的隔离
- 26. 26 Confidential
使用View和vShield的PCI标准遵从(PCI Compliance)
• 将PoS应用迁移到View环境中
• 因为性能原因,他们删除了
CDE Web服务器上的SSL并
使用vShield Edge设置PCI桌
面和PCI Web服务器间的
IPSec VPN 以满足PCI DSS网
络数据加密的需求
• vShield Edge 从View桌面中
为PCI Web服务器配置负载均
衡
• 为PCI View 域配置vShield
App 规则以拒绝View桌面间的
所有通信
• 配置vShield App 规则允许对
PCI Web服务器的80端口的访
问
ViewPCI CDE
Internet
Site 2 Site IPSec
VPN
PCI vShield Edge的配置:
•Web负载均衡
•NAT
•Site to Site VPN
•网络隔离
View vShield Edge的配
置:
•View Manager 的Web
负载均衡
•NAT
•Site to Site VPN
•网络隔离
View vShield App配置:
•PCI桌面资源域与View
其他部分隔离,并禁止
内部桌面间通信
- 27. 27 Confidential
PCI CDE – vShield App 配置
PCI CDE
应用服务
器资源池
数据库服
务器资源
池
Web服务器
资源池
• vShield App规则
• 默认拒绝所有域间和来自外部
的流量
• 数据库服务器资源池
• 允许应用服务器对TCP/1433
的访问
• 应用服务器资源池
• 允许Web服务器对5000的访
问
• 拒绝所有应用服务器之间的访
问
• Web服务器资源池
• 允许任何地址对80和443端口
访问
• 拒绝域内的所有访问
- 28. 28 Confidential
vShield 启用 – 在DMZ中负载均衡的Web服务器
DMZ Extranet ViewPCI
• Edge 为DMZ中的Web服务器
提供负载均衡
• 为虚拟机提供DHCP服务
• 实施防火墙策略以打开对内的
80端口并关闭所有对外的访问
• 多对一的NAT
• vShield为新虚拟机创建时实现
“自动连线”网络提供DHCP
等服务
• 内置针对Web服务器的防火墙
和负载均衡
Internet
- 29. 29 Confidential
Internet
vShield 启用– 混合信任环境
DMZ Extranet PCI View
• 为DMZ, Extranet和PCI提供一
个混合信任集
• 基于vShield Edge的信任域和
应用
• 使用vShield App的PCI敏感数
据保护
• 使用vShield App将防火墙规则
部署到每个虚拟机层面
• 以低于物理设备的成本提供更
好的安全性
• IT依从性 – 详细日志记录和报
告,流量统计
- 30. 30 Confidential
Global Ltd – 云计算安全之旅
DMZ Extranet Mixed
trust
VDI
Internet
DMZ
• Global Ltd IT部门收到来自不同
部门的越来越多的IT资源的按需
请求
• 为了在不影响企业安全策略的前
提下实现快速的业务增长,
Global Ltd IT开始使用VCD
• VMware vCloud Director 横跨多
个VC并且使IT部门能够快速提供
安全的私有云
• vShield Edge策略可以通过
REST API实现脚本化并且可以与
VCD的模板一起使用
东海岸数据中
心
西海岸数据中
心