您现在的位置:融合网首页 > 云计算 >

李勇卫:云计算网络安全的现状

来源:搜狐IT 作者:佚名 责任编辑:admin 发表时间:2012-07-05 18:23 
核心提示:从传统数据中心到语音化数据中心的严谨。传统的数据中心是什么样子,一个数据中心首先有数据中心外部,数据中心内部。进入到数据中心内部以后,我们这个数据中心的内部通常有一个交换的网络作为核心。

7月4日消息,2012年中国计算机网络安全年会今日在西安举行,

思科云计算架构安全高级顾问工程师李勇卫发表了题目为"云计算网络安全"的演讲。

以下为演讲实录:

大家好,我汇报的题目是“云计算网络安全”。

今天主要讲的内容有三个部分,一是云数据中心安全战略;二是云中心安全架构;三是云中心安全虚拟服务点。

首先给大家介绍一下云数据中心网络安全的概念。云数据中心第一个特点是资源集中,我们在云数据中心里面除了IT资源、网络资源。现在的数据中心,基本上一个地方几万台服务器,云数据中心交换量很大。当我们资源集中以后,我们使用资源,我们希望有一个统一的控制平台,用户可以通过这个控制平台,通过交互式工具来获取相应的资源。在我们资源集中以后,如果想使用这个数据的话,弹性的去获取,或者是撤销任务。

从传统数据中心到语音化数据中心的严谨。传统的数据中心是什么样子,一个数据中心首先有数据中心外部,数据中心内部。进入到数据中心内部以后,我们这个数据中心的内部通常有一个交换的网络作为核心。进到业务区域内部以后,业务区域内部分为核心汇聚,最后接入服务器,传统的服务器一台是一台,这是传统数据中心的一个架构。随着服务器虚拟化,我们说传统服务器为什么会变成虚拟化的服务中心?主要驱动力来自于服务器的虚拟化。这种情况下,我们为了资源合理去利用,假如我们把一个服务器固定在一个固定的位置上,我们希望虚拟机可以按照我们的需要,在资源普及的环境下,可以自由的去划分,这样的话原来那个模型就不太适合这个架构,从这个角度来说你的虚拟化的服务中心,不光是服务器的虚拟化,网络也需要虚拟化。我们把多个虚拟化进行集中,然后把业务分给不同的租户来使用,这样就提到了我们刚才说的语音化数据中心。我们思科针对云数据中心,我们提供了我们专有的产品,从交换机,我们提供了我们专门的数据中心7K、5K、3K、2K。我们在做云数据中心的时候,我们的资源集中化,按照传统网络,我怎么能让我这个服务器接一个平面化的网络,我需要资源的时候我可以动态的去划分。网络是一个大平面,在这个平面里面只有一个交换机,具体你要使用的话,任何一个服务器上的虚拟机,它和其他的是完全对等的,你所想要的业务会非常方便,这是网络对虚拟化的挑战,而思科是这么应对的。同时我们还做了1000K的网络交换机。另外,我们专门针对数据中心做了安全防火墙,这个防火墙可以做虚拟化,可以把多个防火墙做成一个防火墙,我们可以把我们的安全资源集中化以后,虚拟成一个资源。除了数据中心的防火墙,我们还有ASA的防火墙卡。

安全架构要求。我们有五个层面,逻辑隔离,这种情况下,我们在做云数据中心网络安全第一步就是安全隔离。第二是策略一致性,我们可以做到各个层面的安全防护。第三,在我使用语言数据中心的时候,我希望正确的人在正确的时间,从数据中心内部或者外部扫描资源,这是基本的要求,我们需要通过认证和授权。语言数据中心最大的优点就是扩展和性能,我们是不是能够满足性能的不断提升的要求。当我们加入这样一个网络安全服务的时候,是不是非常麻烦,还是我统一有一个平面,在这个平面上去做控制。虚拟化数据中心安全控制框架,我们把所有安全的服务放到一个服务池里面。在服务层面,一个数据中心内部到外部的一个保护,还有就是租户之间,业务之间的安全防护。

云中心隔离模型。中小型租户:1、每个租户一个VLAN/一个VRF。2、VLAN映射到VRF。3、不进行业务/服务层区分。4、独立VDC专供此用户类型接入。大企业租户/私有业务:1、租户利用Global VRF区分。2、每个租户多个Intemal VRF。3、Intemal VRF区分不同部门或者应用。云中心业务保护模式。如果受到保护,流量经过防火墙否则直接流向无保护的区域Zone。业务末新按照应用特点来考虑服务集成,安全要求应用—FW Only/FW+IPS—保护模式,性能要求应用—高吞吐。这是混合云安全架构模型,我们坚持两层安全架构,这里面的安全服务就是虚拟数据中心的安全架构中心里的服务层面概念。如果仅仅是防火墙,对于中小租户的话,可能作为共享。云中心防火墙的特点,多虚,技术。需求特点:多虚一,动态扩展防火墙处理能力,性能按需扩展。保护投资。防火墙集群:高扩展性,单点管理,群内所有防火墙全部Aclive,有群内负责均衡能力,群内防火墙失败,全群火墙帮助恢复绘画,保证防火墙群内无单点失败。云中心防火墙的特点,虚多技术。需求特点:一虚多,虚拟出多个防火墙,租户逻辑隔离,资源限定防治租户串扰,减少投资。防火墙虚拟化,虚墙独立管理/独立日志,虚墙独立路由层面,虚墙独立安全策略/NAT策略/应用层策略。防火墙资源限定,彻底保护租户不互相串扰。在云数据中心当我们把网络隔离好的话,在云数据中心安全接入。一虚多技术,VLAN镜像技术特点:1、租户内内部地址规划独立。2、租户VPN会话与VLAN绑定。3、所有租户单公网IP接入。4、每租户有独立的定制界面。5、每租户有独立的认证服务器组。

云中心安全虚拟服务电。服务器虚拟化潜在问题,1、vMotion在不物理端口迁移虚拟机一网络策略必须跟随vMotion。2、必须察看和应用本地交换的网络和安全策略。虚拟化和云需求推动数据中心需求,传统数据中心:服务于特有应用。组成:专用设备,交换模块。虚拟数据中心:虚拟设备,动态实施配置,服务队VM移动透明,可扩展,适合大规模多租户操作。设备虚拟化,资源限定,可扩展,性能可靠,适合特定租户操作。这是我们思科的Nexus1000V软件交换机,每个VEM支持200+vEth ports(虚拟网口)。

我就介绍这么多,谢谢大家。

(责任编辑:admin)
    • “扫一扫”关注融合网微信号

    免责声明:我方仅为合法的第三方企业注册用户所发布的内容提供存储空间,融合网不对其发布的内容提供任何形式的保证:不保证内容满足您的要求,不保证融合网的服务不会中断。因网络状况、通讯线路、第三方网站或管理部门的要求等任何原因而导致您不能正常使用融合网,融合网不承担任何法律责任。

    第三方企业注册用户在融合网发布的内容(包含但不限于融合网目前各产品功能里的内容)仅表明其第三方企业注册用户的立场和观点,并不代表融合网的立场或观点。相关各方及作者发布此信息的目的在于传播、分享更多信息,并不代表本网站的观点和立场,更与本站立场无关。相关各方及作者在我方平台上发表、发布的所有资料、言论等仅代表其作者个人观点,与本网站立场无关,不对您构成任何投资、交易等方面的建议。用户应基于自己的独立判断,自行决定并承担相应风险。

    根据相关协议内容,第三方企业注册用户已知悉自身作为内容的发布者,需自行对所发表内容(如,字体、图片、文章内容等)负责,因所发表内容(如,字体、图片、文章内容等)等所引发的一切纠纷均由该内容的发布者(即,第三方企业注册用户)承担全部法律及连带责任。融合网不承担任何法律及连带责任。

    第三方企业注册用户在融合网相关栏目上所发布的涉嫌侵犯他人知识产权或其他合法权益的内容(如,字体、图片、文章内容等),经相关版权方、权利方等提供初步证据,融合网有权先行予以删除,并保留移交司法机关查处的权利。参照相应司法机关的查处结果,融合网对于第三方企业用户所发布内容的处置具有最终决定权。

    个人或单位如认为第三方企业注册用户在融合网上发布的内容(如,字体、图片、文章内容等)存在侵犯自身合法权益的,应准备好具有法律效应的证明材料,及时与融合网取得联系,以便融合网及时协调第三方企业注册用户并迅速做出相应处理工作。

    融合网联系方式:(一)、电话:(010)57722280;(二)、电子邮箱:2029555353@qq.com dwrh@dwrh.net

    对免责声明的解释、修改及更新权均属于融合网所有。

    今日头条

    更多>>
    关于我们 - 融合文化 - 媒体报道 - 在线咨询 - 网站地图 - TAG标签 - 联系我们
    Copyright © 2010-2020 融合网|DWRH.net 版权所有 联系邮箱:dwrh@dwrh.net 京公网安备 11011202002094号 京ICP备11014553号