1 Confidential
VMware vShield – 部署最安全云环境的基础
石磊 软件工程师
2 Confidential
Agenda
保护虚拟数据中心的传统方式
vShield 产品介绍
• vShield Edge
• vShield App
• vShield Endpoint
解决方案实例
• 云环境
• 外联网
• VMwa...
3 Confidential
周边安全
内部安全
终端安全
隔离内部服务和应用
• 基于VLAN或者子网的策略
• 内部的或者Web应用防火墙
• DLP, 以应用标识为依据的策略
VLAN 1
VLANs
数据中心需要在不同层次上进行保护
C...
4 Confidential
虚拟数据中心(vDC)的传统的安全解决方案
由于安全的限制,客户无法完全体验到虚拟化的优势
带防火墙的虚拟DMZ
APPLICATION ZONE DATABASE ZONEWEB ZONE
终端安全内部安全周边安...
5 Confidential
周边安全
内部安全
终端安全
传统安全方案不再适应于 vDC
Cost & Complexity
At the vDC Edge
• Sprawl: hardware, FW rules, VLANs
• Rigi...
6 Confidential
2010 – vShield 产品介绍
DMZ Application 1 Application 2
全方位保护私有云: 从周边到终端
Edge
vShield Edge
保护虚拟数据中心的
边缘
Securit...
7 Confidential
周边安全存在的问题
保护私有云和公有云 - 迁移到私有云
或者公有云中的企业需要扩展与物理
数据中心相似的安全分层
使用VLAN实现隔离 - 使用交换机或
者防火墙建立虚拟系统周边环境十分
复杂和昂贵。混合信任主机...
8 Confidential
 一个应用包含多种边缘安全服务
• 有状态的防火墙
• NAT
• DHCP
• Site to site VPN (IPsec)
• Web 负载均衡
 Edge提供的端口组隔离
 详细的网络流统计
 通...
9 Confidential
利用虚拟化技术提供比物理环境更好的安全性
主要优点
• 降低成本和复杂性
• 为多客户私有云环境快速部署提供安
全服务
优于物理环境
• 为一组虚拟机提供安全的自动连线网
络服务
• 基础设施内嵌安全
 VMwa...
10 Confidential
vShield Edge 安装和配置
在网络配置页面上安装到每个DVS上的端口组上
基于端口组创建逻辑边界
• 创建一个安全的端口组,Edge相当于安装在这个端口组的边界上
• 此端口组应该由 VLAN 或者 v...
11 Confidential
内部安全存在的问题
虚拟机之间的数据流缺乏可见性- 从系统安
全管理员角度看,ESX集群对于虚拟机之间
的流量只有很少的可见性和有限的控制
大量VLAN和网络复杂性- 客户需要分割集群
来创建不同的管辖范围或者应...
12 Confidential
vShield App
保护应用免遭基于网络的威胁
DMZ PCI HIPAA
功能
 Hypervisor级防火墙
• 部署在虚拟网卡级别上的进出连接安全控制
 弹性的安全组 - 当虚拟机迁移到新的主机上时...
13 Confidential
利用虚拟化技术提供比物理环境更好的安全性
主要优点
• 在同一个ESX集群中设置多个信任域实
现对虚拟机间通信的完全的可见性和控
制
• 利用vCenter的资源目录提供直观的基于
业务的策略
优于物理环境
• ...
14 Confidential
vShield App 安装和配置
vShield App 安装在每个ESX 主机上
• 控制和监控主机上的所有网络数据,甚至包括没有通过物理网卡的数据包
vShield App 使用直观的策略管理
• vCen...
15 Confidential
什么时候选择 vShield Edge 或者 vShield App 或者两者
vShield Edge
• 在每个安全域中都有IP地址重复,因此
需要NAT服务
• 需要安全连接到外部网络(VPN)
 比如 ...
16 Confidential
vShield Endpoint
为终端提供分流反病毒处理
优点
• 通过与反病毒厂商的合作分离杀毒功能提高了性能
• 通过去除反病毒代理提高了虚拟机的性能
• 通过去除敏感的代理和强制实施降低风险
• 通过详细...
17 Confidential
Agenda
保护虚拟数据中心的传统方式
vShield 产品介绍
• vShield Edge
• vShield App
• vShield Endpoint
解决方案实例
• 云环境
• 外联网
• VMw...
18 Confidential
Global Ltd. – 当前的“Air Gapped” 架构
DMZ Extranet PCI
Internet
View
• 专属交换机和负载均衡设备
• 防火墙规则部署在上端分布式
的层面
• 各种应用混...
19 Confidential
Global Ltd 核心需求
保证安全的信任分域
• 外联网
 合作方对Global Ltd应用的访问
 限制合作方只能访问指定的应用
• PCI (Payment Card Industry)
 CDE...
20 Confidential
外联网 – vShield Edge 配置
vShield Edge
• 将所有的PCI服务器连接到外联网端口组
• 配置端口组网络隔离以提供二层的网络隔离
• 配置vShield Edge默认拒绝所有访问
• ...
21 Confidential
View
vShield 启用 – 保护View环境
ExtranetDMZ PCI
• 为了性能和存储优化,Global
Ltd为View创建一个集群
• 三种类型的资源池- 内部企业
用户,海外开发者,只提供...
22 Confidential
 终端保护
 vShield App:桌面安全域
 vShield Edge:
 负载均衡 View Manager服务
器
 整合VPN的数据流加密
保护 View 部署
解决方案 - vShield...
23 Confidential
建立桌面安全域的基本步骤
View Manager 配置
• 基于用户或功能创建桌面池
 比如- 工程师,销售人员,合同员工,
浏览,PCI Pos等
• 设置RBAC将不同资源池的访问限制
在指定的管理员
•...
24 Confidential
建立桌面安全域的基本步骤
vShield App 配置
• 基于桌面池决定用户需要的应用访问规则
• 将默认允许规则改成默认拒绝
• 在集群或者数据中心级别为每个桌面资源池创建规则以允许特定桌面访问必要
的资源
...
25 Confidential
使用View和vShield的PCI标准遵从(PCI Compliance)
Global Ltd决定将Pos从商店转移到数据中心,并通过Zero Client到View
环境的连接访问
• 创建新的View桌面...
26 Confidential
使用View和vShield的PCI标准遵从(PCI Compliance)
• 将PoS应用迁移到View环境中
• 因为性能原因,他们删除了
CDE Web服务器上的SSL并
使用vShield Edge设置...
27 Confidential
PCI CDE – vShield App 配置
PCI CDE
应用服务
器资源池
数据库服
务器资源
池
Web服务器
资源池
• vShield App规则
• 默认拒绝所有域间和来自外部
的流量
• 数据...
28 Confidential
vShield 启用 – 在DMZ中负载均衡的Web服务器
DMZ Extranet ViewPCI
• Edge 为DMZ中的Web服务器
提供负载均衡
• 为虚拟机提供DHCP服务
• 实施防火墙策略以打开对...
29 Confidential
Internet
vShield 启用– 混合信任环境
DMZ Extranet PCI View
• 为DMZ, Extranet和PCI提供一
个混合信任集
• 基于vShield Edge的信任域和
应用
...
30 Confidential
Global Ltd – 云计算安全之旅
DMZ Extranet Mixed
trust
VDI
Internet
DMZ
• Global Ltd IT部门收到来自不同
部门的越来越多的IT资源的按需
请求
...
31 Confidential
Thank You
Question & Answer Session
Upcoming SlideShare
Loading in...5
×

V mware v shield - 部署最安全云环境的基础

1,837

Published on

vForum 2010 BJ Share

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,837
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
0
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

V mware v shield - 部署最安全云环境的基础

  1. 1. 1 Confidential VMware vShield – 部署最安全云环境的基础 石磊 软件工程师
  2. 2. 2 Confidential Agenda 保护虚拟数据中心的传统方式 vShield 产品介绍 • vShield Edge • vShield App • vShield Endpoint 解决方案实例 • 云环境 • 外联网 • VMware View 桌面分域管理 • 使用View和vShield的PCI标准遵从(PCI Compliance) • 多信任域 – DMZ
  3. 3. 3 Confidential 周边安全 内部安全 终端安全 隔离内部服务和应用 • 基于VLAN或者子网的策略 • 内部的或者Web应用防火墙 • DLP, 以应用标识为依据的策略 VLAN 1 VLANs 数据中心需要在不同层次上进行保护 Cost & Complexity At the vDC Edge • Sprawl: hardware, FW rules, VLANs • Rigid FW rules • Performance bottlenecks 将威胁隔绝在系统之外 • 周边安全设备 • 防火墙, VPN, 入侵检测系统 • 负载均衡 终端保护 • 桌面防病毒代理, • 基于主机的入侵检测 • 针对隐私数据的DLP代理
  4. 4. 4 Confidential 虚拟数据中心(vDC)的传统的安全解决方案 由于安全的限制,客户无法完全体验到虚拟化的优势 带防火墙的虚拟DMZ APPLICATION ZONE DATABASE ZONEWEB ZONE 终端安全内部安全周边安全 Internet vSpherevSphere vSphere • 专用物理设备实现的物理 隔离 • 缺少内部安全隔离的混合 信任集群 • 配置复杂 – VLAN 大规模部署配置 – 大量的防火墙规则 – 资源无关的不灵活的IP规则 • 私有云(?)
  5. 5. 5 Confidential 周边安全 内部安全 终端安全 传统安全方案不再适应于 vDC Cost & Complexity At the vDC Edge • Sprawl: hardware, FW rules, VLANs • Rigid FW rules • Performance bottlenecks 成本和复杂度 vDC 边缘 • 大量的硬件,防火墙规则以及VLAN • 不灵活的防火墙规则 • 性能瓶颈 大量代理,性能 vDC终端 •在VM中安装大量的反病毒代理, 消耗大量资源 • 风险:VM中的反病毒软件没有经过安全加固 VLAN 1 VLAN 复杂度和配置盲区 vDC应用之间 • 大量VLAN和硬件 • 盲区:VM间数据传输 • 性能瓶颈VLAN 2
  6. 6. 6 Confidential 2010 – vShield 产品介绍 DMZ Application 1 Application 2 全方位保护私有云: 从周边到终端 Edge vShield Edge 保护虚拟数据中心的 边缘 Security Zone vShield App 和 Zones 为各种应用建立安全分割 Endpoint = VM vShield Endpoint 分流式反病毒处理 Endpoint = VM vShield Manager 集中式管理
  7. 7. 7 Confidential 周边安全存在的问题 保护私有云和公有云 - 迁移到私有云 或者公有云中的企业需要扩展与物理 数据中心相似的安全分层 使用VLAN实现隔离 - 使用交换机或 者防火墙建立虚拟系统周边环境十分 复杂和昂贵。混合信任主机会引起一 些依从性问题。 View 桌面用户 – 外部的负载均衡和防 火墙需要与View同时部署,极大提高 了解决方案的成本 传统的分层安全保护 空隙
  8. 8. 8 Confidential  一个应用包含多种边缘安全服务 • 有状态的防火墙 • NAT • DHCP • Site to site VPN (IPsec) • Web 负载均衡  Edge提供的端口组隔离  详细的网络流统计  通过UI和REST API进行策略管理  基于业界标准syslog格式的日志记录和审计 vShield Edge 保护虚拟数据中心的边缘 租客 A 租客 X 功能 负载均衡 防火墙 VPN
  9. 9. 9 Confidential 利用虚拟化技术提供比物理环境更好的安全性 主要优点 • 降低成本和复杂性 • 为多客户私有云环境快速部署提供安 全服务 优于物理环境 • 为一组虚拟机提供安全的自动连线网 络服务 • 基础设施内嵌安全  VMware Cloud Director  为View提供端到端的安全解决方案 • 安全服务的按需快速提供 – NAT,防 火墙,VPN,负载均衡等 服务提供商 企业 A 企业 B企业 A vShield Edge
  10. 10. 10 Confidential vShield Edge 安装和配置 在网络配置页面上安装到每个DVS上的端口组上 基于端口组创建逻辑边界 • 创建一个安全的端口组,Edge相当于安装在这个端口组的边界上 • 此端口组应该由 VLAN 或者 vShield 端口组隔离来实现划分 (解决了大量VLAN 的问题) • Edge 具有两个接口(内部和外部),内部接口与其保护的安全端口组相连,外 部则连接到与外部相连的Uplink 五元组方式设置策略(源目的端IP地址,源与目的端端口号以及服务) • Edge 具有一个外部IP地址,将端口组置于内部实现保护 • 在VM连接到Internet的时候执行NAT • 可以使用Cisco,Checkpoint或者其他VPN终端设置IPSec VPN实现与远端资源 的安全连接 • 为内部的主机提供负载均衡
  11. 11. 11 Confidential 内部安全存在的问题 虚拟机之间的数据流缺乏可见性- 从系统安 全管理员角度看,ESX集群对于虚拟机之间 的流量只有很少的可见性和有限的控制 大量VLAN和网络复杂性- 客户需要分割集群 来创建不同的管辖范围或者应用集合。通过 创建VLAN来组织相似的应用非常复杂。大多 数客户都有混合信任的主机,可能存在依从 性问题。 VLAN 方案
  12. 12. 12 Confidential vShield App 保护应用免遭基于网络的威胁 DMZ PCI HIPAA 功能  Hypervisor级防火墙 • 部署在虚拟网卡级别上的进出连接安全控制  弹性的安全组 - 当虚拟机迁移到新的主机上时的 自动扩展  强大的网络流监控  策略管理 • 简单的基于业务的策略 • 通过UI和REST API进行管理  基于业界标准syslog格式的日志记录和审计
  13. 13. 13 Confidential 利用虚拟化技术提供比物理环境更好的安全性 主要优点 • 在同一个ESX集群中设置多个信任域实 现对虚拟机间通信的完全的可见性和控 制 • 利用vCenter的资源目录提供直观的基于 业务的策略 优于物理环境 • 具有无限端口密度的虚拟防火墙 • Hypervisor级别的控制提供对虚拟机间 网络数据流的访问 • 规则配置与拓扑无关并且不基于网络配 置与IP地址 • 内置防火墙以低于物理设备的成本提供 更好的安全性
  14. 14. 14 Confidential vShield App 安装和配置 vShield App 安装在每个ESX 主机上 • 控制和监控主机上的所有网络数据,甚至包括没有通过物理网卡的数据包 vShield App 使用直观的策略管理 • vCenter 中的容器- 资源池,vApp,以及虚拟机可以直接用于创建基于业务的策 略 • 支持五元组规则 • 提供基于IP的带状态的防火墙和为包括Oracle,FTP,Sun/Linux/MS RPC等多 种协议提供的应用层网关 用以观察网络活动的网络数据流的监控 • 虚拟机帮助定义和提取虚拟机防火墙策略 • 通过详细的应用程序(应用,会话,字节)数据流报告识别僵尸网络和保护业 务流程
  15. 15. 15 Confidential 什么时候选择 vShield Edge 或者 vShield App 或者两者 vShield Edge • 在每个安全域中都有IP地址重复,因此 需要NAT服务 • 需要安全连接到外部网络(VPN)  比如 合作公司的外联网,云用户的数据中 心网络等 • 需要Web负载均衡服务 • 虚拟机快速启动和关闭的DHCP服务支 持 vShield App • 需要使用任意的逻辑分域或者基于 非网络元素的分组(例如资源池, vApp等) • 基于应用分域 • 需要信任域中的VM之间的防火墙功 能 • 没有重复IP地址的需求  两者 • 需要避免使用VLAN作为网络分割技术 • 需要vShield Edge功能(DHCP, NAT等) ,同时需要域内的防火墙
  16. 16. 16 Confidential vShield Endpoint 为终端提供分流反病毒处理 优点 • 通过与反病毒厂商的合作分离杀毒功能提高了性能 • 通过去除反病毒代理提高了虚拟机的性能 • 通过去除敏感的代理和强制实施降低风险 • 通过详细记录反病毒任务满足审计需求 功能 • 去除每个虚拟机中的反病毒代理,将反病毒的功能交给由 反病毒厂商提供的安全VM处理 • 使用虚拟机中的驱动强制实施 • 策略和配置管理:通过UI或者REST API • 日志记录和审计
  17. 17. 17 Confidential Agenda 保护虚拟数据中心的传统方式 vShield 产品介绍 • vShield Edge • vShield App • vShield Endpoint 解决方案实例 • 云环境 • 外联网 • VMware View 桌面分域管理 • 使用View和vShield的PCI标准遵从(PCI Compliance) • 多信任域 – DMZ
  18. 18. 18 Confidential Global Ltd. – 当前的“Air Gapped” 架构 DMZ Extranet PCI Internet View • 专属交换机和负载均衡设备 • 防火墙规则部署在上端分布式 的层面 • 各种应用混合在一起之间没有 安全管理 • 信任域由VLAN或子网进行划 分 • 成本: 大量硬件 • 复杂性: 大量VLAN • 盲区: VM之间的网络数据 • 性能瓶颈
  19. 19. 19 Confidential Global Ltd 核心需求 保证安全的信任分域 • 外联网  合作方对Global Ltd应用的访问  限制合作方只能访问指定的应用 • PCI (Payment Card Industry)  CDE(Cardholder Data Environment) 分割  零售PoS应用到数据中心的安全连接 • View 桌面  多用户多功能桌面 -内部用户标准的应用访问 -海外开发者开发环境的访问 -风险用户的桌面(网页浏览,FTP等) • DMZ  从内部网络分割  Web负载均衡 • 使用VMware vCloud Director的内部云
  20. 20. 20 Confidential 外联网 – vShield Edge 配置 vShield Edge • 将所有的PCI服务器连接到外联网端口组 • 配置端口组网络隔离以提供二层的网络隔离 • 配置vShield Edge默认拒绝所有访问 • 为到合作方的应用服务器的RDP访问和安全 Web服务访问(HTTPS)设置向内的静态 NAT • 允许合作方IP范围对端口443和3389的访问 • 在合作方和外联网Edge间配置IPSec VPN • 配置vShield App来分割不同合作方的虚拟机 并保持其处在同一个二层/三层广播域 Extranet Apps Internet 合作方
  21. 21. 21 Confidential View vShield 启用 – 保护View环境 ExtranetDMZ PCI • 为了性能和存储优化,Global Ltd为View创建一个集群 • 三种类型的资源池- 内部企业 用户,海外开发者,只提供网 页访问的桌面资源池 • vShield App提供安全的View 环境 • View虚拟机间访问被拒绝 • View虚拟机向Internet访问只 开放80端口 • 基于容器的策略简化配置 Site 2 Site IPSec VPNs Internet
  22. 22. 22 Confidential  终端保护  vShield App:桌面安全域  vShield Edge:  负载均衡 View Manager服务 器  整合VPN的数据流加密 保护 View 部署 解决方案 - vShield Edge, App, & Endpoint
  23. 23. 23 Confidential 建立桌面安全域的基本步骤 View Manager 配置 • 基于用户或功能创建桌面池  比如- 工程师,销售人员,合同员工, 浏览,PCI Pos等 • 设置RBAC将不同资源池的访问限制 在指定的管理员 • 在Active Directory中基于功能或者桌 面池创建的需求设置用户组 • 将Active Directory组分配给对应的不 同桌面池 vCenter 配置 • 为不同的桌面池创建作为容器的 资源池 • 在vCenter中设置 RBAC将不同 资源池的访问限制到指定的授权 vSphere管理员
  24. 24. 24 Confidential 建立桌面安全域的基本步骤 vShield App 配置 • 基于桌面池决定用户需要的应用访问规则 • 将默认允许规则改成默认拒绝 • 在集群或者数据中心级别为每个桌面资源池创建规则以允许特定桌面访问必要 的资源  例如 – Src: PCI Desktops, Src Port, Dst: PCI Server, Proto: HTTPS, Dst Port: 443, Action: ALLOW • 在桌面安全域中创建一个规则拒绝所有桌面之间的访问  例如 – Src: Contractors, Src Port: ANY, Dst: Contractor Zone: ANY, Proto: ANY, Port: ANY, Action: DENY
  25. 25. 25 Confidential 使用View和vShield的PCI标准遵从(PCI Compliance) Global Ltd决定将Pos从商店转移到数据中心,并通过Zero Client到View 环境的连接访问 • 创建新的View桌面池来存放PCI的应用  所有的桌面连接到指定的端口组  vShield Edge 提供: -商店到View Manager PCI桌面之间的Site to Site VPN -View Managers的Web负载均衡 -PCI桌面到PCI CDE服务器间的有状态的防火墙 -View环境中的DHCP服务 -端口组网络隔离  vShield App 提供: -PCI桌面池中的PCI桌面间的隔离 -PCI桌面与View环境其他部分的隔离 -CDE服务器间的隔离
  26. 26. 26 Confidential 使用View和vShield的PCI标准遵从(PCI Compliance) • 将PoS应用迁移到View环境中 • 因为性能原因,他们删除了 CDE Web服务器上的SSL并 使用vShield Edge设置PCI桌 面和PCI Web服务器间的 IPSec VPN 以满足PCI DSS网 络数据加密的需求 • vShield Edge 从View桌面中 为PCI Web服务器配置负载均 衡 • 为PCI View 域配置vShield App 规则以拒绝View桌面间的 所有通信 • 配置vShield App 规则允许对 PCI Web服务器的80端口的访 问 ViewPCI CDE Internet Site 2 Site IPSec VPN PCI vShield Edge的配置: •Web负载均衡 •NAT •Site to Site VPN •网络隔离 View vShield Edge的配 置: •View Manager 的Web 负载均衡 •NAT •Site to Site VPN •网络隔离 View vShield App配置: •PCI桌面资源域与View 其他部分隔离,并禁止 内部桌面间通信
  27. 27. 27 Confidential PCI CDE – vShield App 配置 PCI CDE 应用服务 器资源池 数据库服 务器资源 池 Web服务器 资源池 • vShield App规则 • 默认拒绝所有域间和来自外部 的流量 • 数据库服务器资源池 • 允许应用服务器对TCP/1433 的访问 • 应用服务器资源池 • 允许Web服务器对5000的访 问 • 拒绝所有应用服务器之间的访 问 • Web服务器资源池 • 允许任何地址对80和443端口 访问 • 拒绝域内的所有访问
  28. 28. 28 Confidential vShield 启用 – 在DMZ中负载均衡的Web服务器 DMZ Extranet ViewPCI • Edge 为DMZ中的Web服务器 提供负载均衡 • 为虚拟机提供DHCP服务 • 实施防火墙策略以打开对内的 80端口并关闭所有对外的访问 • 多对一的NAT • vShield为新虚拟机创建时实现 “自动连线”网络提供DHCP 等服务 • 内置针对Web服务器的防火墙 和负载均衡 Internet
  29. 29. 29 Confidential Internet vShield 启用– 混合信任环境 DMZ Extranet PCI View • 为DMZ, Extranet和PCI提供一 个混合信任集 • 基于vShield Edge的信任域和 应用 • 使用vShield App的PCI敏感数 据保护 • 使用vShield App将防火墙规则 部署到每个虚拟机层面 • 以低于物理设备的成本提供更 好的安全性 • IT依从性 – 详细日志记录和报 告,流量统计
  30. 30. 30 Confidential Global Ltd – 云计算安全之旅 DMZ Extranet Mixed trust VDI Internet DMZ • Global Ltd IT部门收到来自不同 部门的越来越多的IT资源的按需 请求 • 为了在不影响企业安全策略的前 提下实现快速的业务增长, Global Ltd IT开始使用VCD • VMware vCloud Director 横跨多 个VC并且使IT部门能够快速提供 安全的私有云 • vShield Edge策略可以通过 REST API实现脚本化并且可以与 VCD的模板一起使用 东海岸数据中 心 西海岸数据中 心
  31. 31. 31 Confidential Thank You Question & Answer Session

×