SlideShare a Scribd company logo

infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeństwa wewnątrz Data Center dzięki sieci sterowanej programowo."

PROIDEA
PROIDEA

infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeństwa wewnątrz Data Center dzięki sieci sterowanej programowo."

Technology
1 of 41
Download to read offline
© 2014 VMware Inc. All rights reserved. SDN w Praktyce Znacząca poprawa bezpieczeństwa wewnątrz Data Center dzięki sieci sterowanej programowo Piotr Jabłoński NSX Senior System Engineer Network & Security Eastern Europe pjablonski@vmware.com
Kilka słów o prowadzącym sesję Piotr Jabłoński, pjablonski@vmware.com Inżynier systemowy w VMware • Wirtualizacja sieci, komunikacja aplikacji poprzez NSX. Wcześniej architect i konsultant w Cisco Systems • Projekty Data Center dla firm w kraju i zagranicą. Security: SP Sec, Ent Sec, DC Sec, FW, IPS Wirtualizacja: VLAN -> VRF -> VNF -> VMware Sieci nakładkowe: IPSec -> MPLS -> FabricPath -> OTV -> VXLAN Certyfikacje: CCDE 2012::7, CCIE#19476 SP/RS
What is a Software Defined Data Center (SDDC)?
Znacząca poprawa bezpieczeństwa wewnątrz Data Center dzięki sieci sterowanej programowo
Co oznacza znacząca poprawa bezpieczeństwa? App Usługi Współdzielone DB AD NTP DHCP DNS CERT Inspekcja Inter-VLAN App 1 App 2 § Automatyczna i selektywna separacja § Integracja reguł FW z AD § Właściwy monitoring sieci i przepływów § Narzędzia diagnostyczne HTTP SQL DNS DNS § Skalowalne i wydajne filtrowanie ruchu inter-VLAN oraz intra-VLAN LDAP
Podział na podsieci nie zawsze jest możliwy App1 App 2 Inspekcja Inter-VLAN na firewallu App 1 App 2 HTTP § Separacja w VRF lub translacja adresów konieczna w przypadku nakładania się adresów Routing do WAN lub Internetu Separacja w VRF lub translacja adresów jeżeli adresy App1 i App2 się nakładają HTTP
KNF Rekomendacja D • 9.9. […] – ustalając sposób konfiguracji komponentu, bank powinien kierować się zasadą minimalizacji udostępnianych przez dany komponent usług (w tym np. otwartych portów, obsługiwanych protokołów itp.), z jednoczesnym zapewnieniem planowanej funkcjonalności. • 9.15 Konfiguracja systemu zapór sieciowych powinna zapewniać rejestrowanie niestandardowych aktywności w celu umożliwienia dokonywania ich analizy pod kątem wykrywania ataków zewnętrznych i wewnętrznych. System zapór sieciowych powinien także zapewniać kontrolę ruchu wychodzącego w celu blokowania prób nawiązania sesji z wewnątrz sieci przez szkodliwe oprogramowanie. • 9.16. Bank wykorzystujący technologię wirtualizacji serwerów powinien przeprowadzać analizę ryzyka związanego z tą technologią w odniesieniu do własnych uwarunkowań. Na podstawie wyników powyższej analizy, bank powinien zapewnić poprawne funkcjonowanie odpowiednich mechanizmów kontrolnych.
Znacząca poprawa bezpieczeństwa wewnątrz Data Center dzięki sieci sterowanej programowo
"Nie miałem ataków. Mój kaskadowy NG-FW wszystko odfiltrowuje." "Nie można zapewnić separacji sieci, zawsze znajdzie się luka." "Ataki z Internetu? To ja muszę chronić Internet przed moimi użytkownikami." "Wnętrze DC powinno być rozpatrywane jako świat zewnętrzny."
Ustalmy nasze oczekiwania
Znacząca poprawa bezpieczeństwa wewnątrz Data Center dzięki sieci sterowanej programowo
Rozwiązanie NSX
Co wziąć pod uwagę przy wyborze rozwiązania? DC Fabric Front-end segment segment 2 segment 3 web app db IPA p p O S A p p O S WAN/DCI Branch/ Campus Front-end segment segment 2 segment 3 web app db IPA p p O S A p p O S • Stabilna sieć • Brak trwałych pętli • Szybsza konwergencja • Ograniczenie ruchu rozgłoszeniowego • Łatwiejszy upgrade oprogramowania • Większa skalowalność • Szybkość wprowadzanych zmian • Bezpieczeństwo • Prostota architektury • Łatwość diagnostyki • Wymagania aplikacji • Widoczność aplikacji • Cena • Sympatie i antypatie
DC Fabric Front-end segment segment 2 segment 3 web app db IPA p p O S A p p O S WAN/DCI DC 2 EVPN/VXLAN Front-end segment segment 2 segment 3 web app db IPA p p O S A p p O S L3 L2 VLAN L2 Logiczny przełącznik vSphere Haczyki na stykach sieci DC Fabric Front-end segment segment 2 segment 3 web app db IPA p p O S A p p O S WAN/DCI DC 2 Front-end segment segment 2 segment 3 web app db IPA p p O S A p p O S NSX VXLAN L3 L2 Logiczny przełącznik NSX L2 VLAN EVPN/VXLAN L3 L2 VLAN
DC Fabric Front-end segment segment 2 segment 3 web app db IPA p p O S A p p O S WAN/DCI DC 2 EVPN/VXLAN Front-end segment segment 2 segment 3 web app db IPA p p O S A p p O S L3 L2 VLAN L2 Logiczny przełącznik vSphere Haczyki na stykach sieci DC Fabric Front-end segment segment 2 segment 3 web app db IPA p p O S A p p O S WAN/DCI DC 2 Front-end segment segment 2 segment 3 web app db IPA p p O S A p p O S NSX VXLAN L3 L2 Logiczny przełącznik NSX
Mikrosegmentacja
App Shared Services DB Perimeter Firewall AD NTP DHCP DNS CERT Distributed Firewall DMZ App 1 App 2 Zabezpieczenie wewnątrz segmentu sieci – Firewall na VM § Nieefektywna zarządzalność § Operacyjnie kosztowne § Co w przypadku przejęcia maszyny?
App Shared Services DB Perimeter Firewall AD NTP DHCP DNS CERT Distributed Firewall DMZ App 1 App 2 Zabezpieczenie wewnątrz segmentu sieci – Firewall na vNIC § Firewall na poziomie vNIC § Każda maszyna ma swoją dedykowaną ochronę i reguły § Reguły mogą być uruchamiane dla grupy § Bezpieczeństwo oddzielone od OS
Mikrosegmentacja – większe bezpieczeństwo Każda maszyna wirtualna ma swój firewall. Pełna ochrona nawet w ramach jednego segmentu sieci. App Usługi Współdzielone DB Firewall brzegowy AD NTP DHCP DNS CERT Firewall Rozproszony DMZ App 1 App 2 § Każda maszyna VM może być osobnym obszarem § Polityki przypisane do grup maszyn VM § Włamanie do jednej z maszyn nie oznacza włamania do innych VM § Automatyczna kwarantanna VM § Reguły FW poruszają się za VM
Dystrybucyjny firewall
Zcentralizowane zarządzanie VC containers - Clusters - datacenters - Portgroups - VXLAN VM containers - VM names - VM tags - VM attributes Identity - User identity - Groups IPv6 compliant - IPv6 address - IPv6 sets Services - Protocol - Ports - Custom IPv6 Services Choice of PEP -Clusters - VXLAN - vNICs
Wgranie reguł bezpieczeństwa Compute Rack VXLAN DR DFWSecurity Compute Rack VXLAN DR DFWSecurity vDS vCenter server VM1 VM2 VM3 VM4 NSX manager NSX controllers Source Destination Service Action Applied To VM1 VM2, VM3 TCP port 123 Allow VM1,VM2,VM3 VM1 VM4 UDP port 321 Allow VM1, VM4 Source Destination Service Action VM1 VM2, VM3 TCP port 123 Allow VM1 VM4 UDP port 321 Allow Source Destination Service Action VM1 VM2, VM3 TCP port 123 Allow 1 2 3 33 3 Source Destination Service Action Applied To VM1 VM2, VM3 TCP port 123 Allow VM1,VM2,VM3 VM1 VM4 UDP port 321 Allow VM1, VM4 Source Destination Service Action VM1 VM2, VM3 TCP port 123 Allow Source Destination Service Action VM1 VM4 UDP port 321 Allow
Wgranie reguł bezpieczeństwa Compute Rack VXLAN DR DFWSecurity Compute Rack VXLAN DR DFWSecurity vDS vCenter server VM1 VM2 VM3 VM4 NSX manager NSX controllers Source Destination Service Action Applied To VM1 VM2, VM3 TCP port 123 Allow VM1,VM2,VM3 VM1 VM4 UDP port 321 Allow VM1, VM4 Source Destination Service Action VM1 VM2, VM3 TCP port 123 Allow VM1 VM4 UDP port 321 Allow Source Destination Service Action VM1 VM2, VM3 TCP port 123 Allow 1 2 3 33 3 Source Destination Service Action Applied To VM1 VM2, VM3 TCP port 123 Allow VM1,VM2,VM3 VM1 VM4 UDP port 321 Allow VM1, VM4 Source Destination Service Action VM1 VM2, VM3 TCP port 123 Allow Source Destination Service Action VM1 VM4 UDP port 321 Allow Source Destination Service Action Applied To VM1 VM2, VM3 TCP port 123 Allow VM1,VM2,VM3 VM1 VM4 UDP port 321 Allow VM1, VM4 Source Destination Service Action VM1 VM2, VM3 TCP port 123 Allow VM2 NSX
Skalowalne i wydajne bezpieczeństwo
Skalowalność zapór ogniowych http://www.networkworld.com/article/3016668/virtualization/tribune-media-rebuilds-it-from-the-ground-up-and-is-living-the-dream.html Having to put physical firewalls in between everything is just not scalable. I’ve got 1,200 virtual servers. If those were physical, I’d have another seven racks just for the firewalls. Dodanie fizycznych firewalli pomiędzy serwerami nie jest skalowalne. Mam 1200 serwerów wirtualnych. Jeśli byłyby fizyczne, musiałbym mieć jeszcze siedem szaf rackowych tylko pod firewalle. Tribune Media CIO David Giambruno
Wydajność firewalla w NSX Wydajność bliska 20Gbps z minimalnym wpływem na obciążenie CPU https://www.youtube.com/watch?v=cRp45dNaRCQ
Jak zoptymalizować sieć Data Center za pomocą wirtualizacji sieci
Przeniesienie funkcji sieciowych na serwery
NSX Dystrybucyjny firewall Przed NSX Bardziej wydajne filtrowanie z NSX 6 przeskoków Fabric A Fabric B Blade 1 Blade 2 vswitch vswitch Fabric A Fabric B Blade 1 Blade 2 Ochrona East-West 2 przeskoki NSX vSwitch Problem z wydajnością Mniej przeskoków, bardziej efektywne połączenia.
Automatyczna kwarantanna Security Group = Quarantine Zone Members = {Tag = ‘ANTI_VIRUS.VirusFound’, L2 Isolated Network} Security Group = Web Tier Definicja polityki Standardowa polityka þ Anti-Virus – Skanowanie Polityka kwarantanny þ Firewall – Blokada za wyjątkiem AV, TS þ Anti-Virus – Skanowanie i reagowanie
Rozproszony Firewall Identity-Based Firewall CzesławAgnieszka
NSX – SpoofGuard vSphere VXLAN DR DFWSecurity 1.1.1.1 1.1.1.2 1.1.1.3 vSphere VXLAN DR DFWSecurity 2.2.2.1 2.2.2.2 2.2.2.3 vSphere VXLAN DR DFWSecurity Nowy IP: 1.1.1.2 1.1.1.2 1.1.1.3 vSphere VXLAN DR DFWSecurity 2.2.2.1 2.2.2.2 2.2.2.3 Wszystkie przepływy są przepuszczone Przepływ z/do zmienionego adresu IP jest zablokowany Administrator sieci akceptuje ręcznie lub automatycznie zmiany adresów IP maszyn wirtualnych
Diagnostyka sieci Data Center
Zcentralizowane CLI Redukcja czasu na diagnostykę rozproszonych usług sieciowych 34 NSX Mgr. Data Plane … VXLAN 5000 VXLAN 5001
Do czego przydatna jest widoczność aplikacji?
Widoczność aplikacji w NSX
Traceflow • Traceroute między światem wirtualnym, a fizycznym • Wsparcie dla warstwy 2 i 3 • Może być zainicjalizowane na poziomie GUI lub API • Pakiety definiowane przez użytkownika • Rozszerzona diagnostyka VM VM App1Web1 Pakiet IP … … 1 3 4 5 2
Podsumowanie
Podsumowanie – Znacząca poprawa bezpieczeństwa 1. Separacja ruchu nawet w ramach tej samej podsieci. 2. Reguły bezpieczeństwa dla każdej maszyny wirtualnej. 3. Bardziej skalowalne bezpieczeństwo. 4. Bardziej wydajne bezpieczeństwo. 5. Automatyzacja konfiguracji i separacji. Łatwiejsze zarządzanie. 6. Spełnienie norm i rekomendacji. Internet Operacyjnie możliwe
Przyszłość NSX https://www.youtube.com/watch?v=bjodui_ZhM8
Try NSX, Run NSX! Laboratoria online: http://labs.hol.vmware.com Dokumentacja do labów: http://docs.hol.vmware.com

Recommended

Prezentacja witruallizacja dc 1.3
Prezentacja witruallizacja dc 1.3Prezentacja witruallizacja dc 1.3
Prezentacja witruallizacja dc 1.3
Marta Pacyga
 
PLNOG16: Software Defined Networks w oparciu o rozwiązania VMware (Case study...
PLNOG16: Software Defined Networks w oparciu o rozwiązania VMware (Case study...PLNOG16: Software Defined Networks w oparciu o rozwiązania VMware (Case study...
PLNOG16: Software Defined Networks w oparciu o rozwiązania VMware (Case study...
PROIDEA
 
Dlaczego ataki DDoS są tak niebezpieczne
Dlaczego ataki DDoS są tak niebezpieczne Dlaczego ataki DDoS są tak niebezpieczne
Dlaczego ataki DDoS są tak niebezpieczne
Paweł Kowalski
 
PLNOG 13: Gaweł Mikołajczyk: Data Center Security in 2014
PLNOG 13: Gaweł Mikołajczyk: Data Center Security in 2014PLNOG 13: Gaweł Mikołajczyk: Data Center Security in 2014
PLNOG 13: Gaweł Mikołajczyk: Data Center Security in 2014
PROIDEA
 
PLNOg16: SDN dla entuzjastów i sceptyków. Co zaskoczyło mnie w rozwiązaniu wi...
PLNOg16: SDN dla entuzjastów i sceptyków. Co zaskoczyło mnie w rozwiązaniu wi...PLNOg16: SDN dla entuzjastów i sceptyków. Co zaskoczyło mnie w rozwiązaniu wi...
PLNOg16: SDN dla entuzjastów i sceptyków. Co zaskoczyło mnie w rozwiązaniu wi...
PROIDEA
 
PLNOG 17 - Sławomir Janukowicz - NFV – using Juniper vMX, vSRX and NFX
PLNOG 17 - Sławomir Janukowicz - NFV – using Juniper vMX, vSRX and NFXPLNOG 17 - Sławomir Janukowicz - NFV – using Juniper vMX, vSRX and NFX
PLNOG 17 - Sławomir Janukowicz - NFV – using Juniper vMX, vSRX and NFX
PROIDEA
 
PLNOG 17 - Piotr Jabłoński - Jak zwiększyć bezpieczeństwo w Data Center? Demo...
PLNOG 17 - Piotr Jabłoński - Jak zwiększyć bezpieczeństwo w Data Center? Demo...PLNOG 17 - Piotr Jabłoński - Jak zwiększyć bezpieczeństwo w Data Center? Demo...
PLNOG 17 - Piotr Jabłoński - Jak zwiększyć bezpieczeństwo w Data Center? Demo...
PROIDEA
 
PLNOG 17 - Robert Ślaski - Jak nie zostać bezrobotnym sieciowcem?
PLNOG 17 - Robert Ślaski - Jak nie zostać bezrobotnym sieciowcem?PLNOG 17 - Robert Ślaski - Jak nie zostać bezrobotnym sieciowcem?
PLNOG 17 - Robert Ślaski - Jak nie zostać bezrobotnym sieciowcem?
PROIDEA
 

Recommended

Prezentacja witruallizacja dc 1.3
Prezentacja witruallizacja dc 1.3Prezentacja witruallizacja dc 1.3
Prezentacja witruallizacja dc 1.3
Marta Pacyga
 
PLNOG16: Software Defined Networks w oparciu o rozwiązania VMware (Case study...
PLNOG16: Software Defined Networks w oparciu o rozwiązania VMware (Case study...PLNOG16: Software Defined Networks w oparciu o rozwiązania VMware (Case study...
PLNOG16: Software Defined Networks w oparciu o rozwiązania VMware (Case study...
PROIDEA
 
Dlaczego ataki DDoS są tak niebezpieczne
Dlaczego ataki DDoS są tak niebezpieczne Dlaczego ataki DDoS są tak niebezpieczne
Dlaczego ataki DDoS są tak niebezpieczne
Paweł Kowalski
 
PLNOG 13: Gaweł Mikołajczyk: Data Center Security in 2014
PLNOG 13: Gaweł Mikołajczyk: Data Center Security in 2014PLNOG 13: Gaweł Mikołajczyk: Data Center Security in 2014
PLNOG 13: Gaweł Mikołajczyk: Data Center Security in 2014
PROIDEA
 
PLNOg16: SDN dla entuzjastów i sceptyków. Co zaskoczyło mnie w rozwiązaniu wi...
PLNOg16: SDN dla entuzjastów i sceptyków. Co zaskoczyło mnie w rozwiązaniu wi...PLNOg16: SDN dla entuzjastów i sceptyków. Co zaskoczyło mnie w rozwiązaniu wi...
PLNOg16: SDN dla entuzjastów i sceptyków. Co zaskoczyło mnie w rozwiązaniu wi...
PROIDEA
 
PLNOG 17 - Sławomir Janukowicz - NFV – using Juniper vMX, vSRX and NFX
PLNOG 17 - Sławomir Janukowicz - NFV – using Juniper vMX, vSRX and NFXPLNOG 17 - Sławomir Janukowicz - NFV – using Juniper vMX, vSRX and NFX
PLNOG 17 - Sławomir Janukowicz - NFV – using Juniper vMX, vSRX and NFX
PROIDEA
 
PLNOG 17 - Piotr Jabłoński - Jak zwiększyć bezpieczeństwo w Data Center? Demo...
PLNOG 17 - Piotr Jabłoński - Jak zwiększyć bezpieczeństwo w Data Center? Demo...PLNOG 17 - Piotr Jabłoński - Jak zwiększyć bezpieczeństwo w Data Center? Demo...
PLNOG 17 - Piotr Jabłoński - Jak zwiększyć bezpieczeństwo w Data Center? Demo...
PROIDEA
 
PLNOG 17 - Robert Ślaski - Jak nie zostać bezrobotnym sieciowcem?
PLNOG 17 - Robert Ślaski - Jak nie zostać bezrobotnym sieciowcem?PLNOG 17 - Robert Ślaski - Jak nie zostać bezrobotnym sieciowcem?
PLNOG 17 - Robert Ślaski - Jak nie zostać bezrobotnym sieciowcem?
PROIDEA
 
PLNOG 8: Przemysław Grygiel - Data Center Allegro wyboista droga L2 do autost...
PLNOG 8: Przemysław Grygiel - Data Center Allegro wyboista droga L2 do autost...PLNOG 8: Przemysław Grygiel - Data Center Allegro wyboista droga L2 do autost...
PLNOG 8: Przemysław Grygiel - Data Center Allegro wyboista droga L2 do autost...
PROIDEA
 
PLNOG 9: Gaweł Mikołajczyk - Bezpieczne Data Center i Bezpieczna Chmura
PLNOG 9: Gaweł Mikołajczyk - Bezpieczne Data Center i Bezpieczna Chmura PLNOG 9: Gaweł Mikołajczyk - Bezpieczne Data Center i Bezpieczna Chmura
PLNOG 9: Gaweł Mikołajczyk - Bezpieczne Data Center i Bezpieczna Chmura
PROIDEA
 
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel Mikolajczyk
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel MikolajczykSecurity B-Sides Warsaw 2014 - Network Security Treasures - Gawel Mikolajczyk
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel Mikolajczyk
Gawel Mikolajczyk
 
Security B-Sides Warsaw 2012 - Bezpieczenstwo IPv6 - Gawel Mikolajczyk
Security B-Sides Warsaw 2012 - Bezpieczenstwo IPv6 - Gawel MikolajczykSecurity B-Sides Warsaw 2012 - Bezpieczenstwo IPv6 - Gawel Mikolajczyk
Security B-Sides Warsaw 2012 - Bezpieczenstwo IPv6 - Gawel Mikolajczyk
Gawel Mikolajczyk
 
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
Gawel Mikolajczyk
 
PLNOG 17 - Emil Gągała - DMZ po nowemu - krok po kroku - jak uruchomić SDN w ...
PLNOG 17 - Emil Gągała - DMZ po nowemu - krok po kroku - jak uruchomić SDN w ...PLNOG 17 - Emil Gągała - DMZ po nowemu - krok po kroku - jak uruchomić SDN w ...
PLNOG 17 - Emil Gągała - DMZ po nowemu - krok po kroku - jak uruchomić SDN w ...
PROIDEA
 
PLNOG 7: Bartosz Kiziukiewicz - Jak wykorzystać nowe rozwiązania firmy D-link...
PLNOG 7: Bartosz Kiziukiewicz - Jak wykorzystać nowe rozwiązania firmy D-link...PLNOG 7: Bartosz Kiziukiewicz - Jak wykorzystać nowe rozwiązania firmy D-link...
PLNOG 7: Bartosz Kiziukiewicz - Jak wykorzystać nowe rozwiązania firmy D-link...
PROIDEA
 
PLNOG 9: Daniel Fenert - nazwa.pl - nieustanny rozwój
PLNOG 9: Daniel Fenert - nazwa.pl - nieustanny rozwój PLNOG 9: Daniel Fenert - nazwa.pl - nieustanny rozwój
PLNOG 9: Daniel Fenert - nazwa.pl - nieustanny rozwój
PROIDEA
 
infraxstructure: Rafał Stańczak "Postępujący rozwój infrastruktury na potrze...
infraxstructure: Rafał Stańczak "Postępujący rozwój infrastruktury na potrze...infraxstructure: Rafał Stańczak "Postępujący rozwój infrastruktury na potrze...
infraxstructure: Rafał Stańczak "Postępujący rozwój infrastruktury na potrze...
PROIDEA
 
Citrix AppDisks
Citrix AppDisksCitrix AppDisks
Citrix AppDisks
Jaroslaw Sobel
 
Citrix provisioning services
Citrix provisioning servicesCitrix provisioning services
Citrix provisioning services
Pawel Serwan
 
[CareerCon] Wirtualizacja (PL)
[CareerCon] Wirtualizacja (PL)[CareerCon] Wirtualizacja (PL)
[CareerCon] Wirtualizacja (PL)
Jaroslaw Sobel
 
Wirtualizacji ciąg dalszy czyli po co karta v gpu w xenapp xendesktop
Wirtualizacji ciąg dalszy czyli po co karta v gpu w xenapp xendesktopWirtualizacji ciąg dalszy czyli po co karta v gpu w xenapp xendesktop
Wirtualizacji ciąg dalszy czyli po co karta v gpu w xenapp xendesktop
Pawel Serwan
 
PLNOG 18 - Jarosław Ulczok - Podsłuchać światłowód? Przezentacja LIVE + zasto...
PLNOG 18 - Jarosław Ulczok - Podsłuchać światłowód? Przezentacja LIVE + zasto...PLNOG 18 - Jarosław Ulczok - Podsłuchać światłowód? Przezentacja LIVE + zasto...
PLNOG 18 - Jarosław Ulczok - Podsłuchać światłowód? Przezentacja LIVE + zasto...
PROIDEA
 
Windows Serwer 2012 R2 licencjonowanie
Windows Serwer 2012 R2 licencjonowanieWindows Serwer 2012 R2 licencjonowanie
Windows Serwer 2012 R2 licencjonowanie
HIPERSYSTEM LTD ™
 
Windows Serwer 2012 R2 licencjonowanie w srodowiskach wirtualnych
Windows Serwer 2012 R2 licencjonowanie w srodowiskach wirtualnychWindows Serwer 2012 R2 licencjonowanie w srodowiskach wirtualnych
Windows Serwer 2012 R2 licencjonowanie w srodowiskach wirtualnych
HIPERSYSTEM LTD ™
 
PLNOG16: Budowa DC Świadczenie usług dla klientów, Łukasz Bromirski, Piotr ...
PLNOG16: Budowa DC Świadczenie usług dla klientów, Łukasz Bromirski, Piotr ...PLNOG16: Budowa DC Świadczenie usług dla klientów, Łukasz Bromirski, Piotr ...
PLNOG16: Budowa DC Świadczenie usług dla klientów, Łukasz Bromirski, Piotr ...
PROIDEA
 
Xen desktop na platformie nutanix
Xen desktop na platformie nutanixXen desktop na platformie nutanix
Xen desktop na platformie nutanix
Pawel Serwan
 
Migracja xa 6.5 7.6
Migracja xa 6.5 7.6Migracja xa 6.5 7.6
Migracja xa 6.5 7.6
Pawel Serwan
 
PLNOG 9: Robert Ślaski - SKALOWALNE SZYFROWANIE USŁUG W SIECI OPERATORA - prz...
PLNOG 9: Robert Ślaski - SKALOWALNE SZYFROWANIE USŁUG W SIECI OPERATORA - prz...PLNOG 9: Robert Ślaski - SKALOWALNE SZYFROWANIE USŁUG W SIECI OPERATORA - prz...
PLNOG 9: Robert Ślaski - SKALOWALNE SZYFROWANIE USŁUG W SIECI OPERATORA - prz...
PROIDEA
 
infraxstructure: Mariusz Rybusiński, Veeam "Keep Calm and Backup to the Cloud"
infraxstructure: Mariusz Rybusiński, Veeam "Keep Calm and Backup to the Cloud"infraxstructure: Mariusz Rybusiński, Veeam "Keep Calm and Backup to the Cloud"
infraxstructure: Mariusz Rybusiński, Veeam "Keep Calm and Backup to the Cloud"
PROIDEA
 
infraxstructure: Robert Mroczkowski "Maszyny się uczą - admińskie rozmówki p...
infraxstructure: Robert Mroczkowski "Maszyny się uczą - admińskie rozmówki p...infraxstructure: Robert Mroczkowski "Maszyny się uczą - admińskie rozmówki p...
infraxstructure: Robert Mroczkowski "Maszyny się uczą - admińskie rozmówki p...
PROIDEA
 

More Related Content

What's hot

Security B-Sides Warsaw 2012 - Bezpieczenstwo IPv6 - Gawel Mikolajczyk
Security B-Sides Warsaw 2012 - Bezpieczenstwo IPv6 - Gawel MikolajczykSecurity B-Sides Warsaw 2012 - Bezpieczenstwo IPv6 - Gawel Mikolajczyk
Security B-Sides Warsaw 2012 - Bezpieczenstwo IPv6 - Gawel Mikolajczyk
Gawel Mikolajczyk
 
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
Gawel Mikolajczyk
 
Xen desktop na platformie nutanix
Xen desktop na platformie nutanixXen desktop na platformie nutanix
Xen desktop na platformie nutanix
Pawel Serwan
 

What's hot (20)

PLNOG 8: Przemysław Grygiel - Data Center Allegro wyboista droga L2 do autost...
PLNOG 8: Przemysław Grygiel - Data Center Allegro wyboista droga L2 do autost...PLNOG 8: Przemysław Grygiel - Data Center Allegro wyboista droga L2 do autost...
PLNOG 8: Przemysław Grygiel - Data Center Allegro wyboista droga L2 do autost...
 
PLNOG 9: Gaweł Mikołajczyk - Bezpieczne Data Center i Bezpieczna Chmura
PLNOG 9: Gaweł Mikołajczyk - Bezpieczne Data Center i Bezpieczna Chmura PLNOG 9: Gaweł Mikołajczyk - Bezpieczne Data Center i Bezpieczna Chmura
PLNOG 9: Gaweł Mikołajczyk - Bezpieczne Data Center i Bezpieczna Chmura
 
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel Mikolajczyk
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel MikolajczykSecurity B-Sides Warsaw 2014 - Network Security Treasures - Gawel Mikolajczyk
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel Mikolajczyk
 
Security B-Sides Warsaw 2012 - Bezpieczenstwo IPv6 - Gawel Mikolajczyk
Security B-Sides Warsaw 2012 - Bezpieczenstwo IPv6 - Gawel MikolajczykSecurity B-Sides Warsaw 2012 - Bezpieczenstwo IPv6 - Gawel Mikolajczyk
Security B-Sides Warsaw 2012 - Bezpieczenstwo IPv6 - Gawel Mikolajczyk
 
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
 
PLNOG 17 - Emil Gągała - DMZ po nowemu - krok po kroku - jak uruchomić SDN w ...
PLNOG 17 - Emil Gągała - DMZ po nowemu - krok po kroku - jak uruchomić SDN w ...PLNOG 17 - Emil Gągała - DMZ po nowemu - krok po kroku - jak uruchomić SDN w ...
PLNOG 17 - Emil Gągała - DMZ po nowemu - krok po kroku - jak uruchomić SDN w ...
 
PLNOG 7: Bartosz Kiziukiewicz - Jak wykorzystać nowe rozwiązania firmy D-link...
PLNOG 7: Bartosz Kiziukiewicz - Jak wykorzystać nowe rozwiązania firmy D-link...PLNOG 7: Bartosz Kiziukiewicz - Jak wykorzystać nowe rozwiązania firmy D-link...
PLNOG 7: Bartosz Kiziukiewicz - Jak wykorzystać nowe rozwiązania firmy D-link...
 
PLNOG 9: Daniel Fenert - nazwa.pl - nieustanny rozwój
PLNOG 9: Daniel Fenert - nazwa.pl - nieustanny rozwój PLNOG 9: Daniel Fenert - nazwa.pl - nieustanny rozwój
PLNOG 9: Daniel Fenert - nazwa.pl - nieustanny rozwój
 
infraxstructure: Rafał Stańczak "Postępujący rozwój infrastruktury na potrze...
infraxstructure: Rafał Stańczak "Postępujący rozwój infrastruktury na potrze...infraxstructure: Rafał Stańczak "Postępujący rozwój infrastruktury na potrze...
infraxstructure: Rafał Stańczak "Postępujący rozwój infrastruktury na potrze...
 
Citrix AppDisks
Citrix AppDisksCitrix AppDisks
Citrix AppDisks
 
Citrix provisioning services
Citrix provisioning servicesCitrix provisioning services
Citrix provisioning services
 
[CareerCon] Wirtualizacja (PL)
[CareerCon] Wirtualizacja (PL)[CareerCon] Wirtualizacja (PL)
[CareerCon] Wirtualizacja (PL)
 
Wirtualizacji ciąg dalszy czyli po co karta v gpu w xenapp xendesktop
Wirtualizacji ciąg dalszy czyli po co karta v gpu w xenapp xendesktopWirtualizacji ciąg dalszy czyli po co karta v gpu w xenapp xendesktop
Wirtualizacji ciąg dalszy czyli po co karta v gpu w xenapp xendesktop
 
PLNOG 18 - Jarosław Ulczok - Podsłuchać światłowód? Przezentacja LIVE + zasto...
PLNOG 18 - Jarosław Ulczok - Podsłuchać światłowód? Przezentacja LIVE + zasto...PLNOG 18 - Jarosław Ulczok - Podsłuchać światłowód? Przezentacja LIVE + zasto...
PLNOG 18 - Jarosław Ulczok - Podsłuchać światłowód? Przezentacja LIVE + zasto...
 
Windows Serwer 2012 R2 licencjonowanie
Windows Serwer 2012 R2 licencjonowanieWindows Serwer 2012 R2 licencjonowanie
Windows Serwer 2012 R2 licencjonowanie
 
Windows Serwer 2012 R2 licencjonowanie w srodowiskach wirtualnych
Windows Serwer 2012 R2 licencjonowanie w srodowiskach wirtualnychWindows Serwer 2012 R2 licencjonowanie w srodowiskach wirtualnych
Windows Serwer 2012 R2 licencjonowanie w srodowiskach wirtualnych
 
PLNOG16: Budowa DC Świadczenie usług dla klientów, Łukasz Bromirski, Piotr ...
PLNOG16: Budowa DC Świadczenie usług dla klientów, Łukasz Bromirski, Piotr ...PLNOG16: Budowa DC Świadczenie usług dla klientów, Łukasz Bromirski, Piotr ...
PLNOG16: Budowa DC Świadczenie usług dla klientów, Łukasz Bromirski, Piotr ...
 
Xen desktop na platformie nutanix
Xen desktop na platformie nutanixXen desktop na platformie nutanix
Xen desktop na platformie nutanix
 
Migracja xa 6.5 7.6
Migracja xa 6.5 7.6Migracja xa 6.5 7.6
Migracja xa 6.5 7.6
 
PLNOG 9: Robert Ślaski - SKALOWALNE SZYFROWANIE USŁUG W SIECI OPERATORA - prz...
PLNOG 9: Robert Ślaski - SKALOWALNE SZYFROWANIE USŁUG W SIECI OPERATORA - prz...PLNOG 9: Robert Ślaski - SKALOWALNE SZYFROWANIE USŁUG W SIECI OPERATORA - prz...
PLNOG 9: Robert Ślaski - SKALOWALNE SZYFROWANIE USŁUG W SIECI OPERATORA - prz...
 

Viewers also liked

Viewers also liked (15)

infraxstructure: Mariusz Rybusiński, Veeam "Keep Calm and Backup to the Cloud"
infraxstructure: Mariusz Rybusiński, Veeam "Keep Calm and Backup to the Cloud"infraxstructure: Mariusz Rybusiński, Veeam "Keep Calm and Backup to the Cloud"
infraxstructure: Mariusz Rybusiński, Veeam "Keep Calm and Backup to the Cloud"
 
infraxstructure: Robert Mroczkowski "Maszyny się uczą - admińskie rozmówki p...
infraxstructure: Robert Mroczkowski "Maszyny się uczą - admińskie rozmówki p...infraxstructure: Robert Mroczkowski "Maszyny się uczą - admińskie rozmówki p...
infraxstructure: Robert Mroczkowski "Maszyny się uczą - admińskie rozmówki p...
 
infraXstructure Alexis Dacquay, "How to win back visibility into your network...
infraXstructure Alexis Dacquay, "How to win back visibility into your network...infraXstructure Alexis Dacquay, "How to win back visibility into your network...
infraXstructure Alexis Dacquay, "How to win back visibility into your network...
 
infraxstructure: Mirosław Burnejko "Cloud Migration Checklist – Czyli jakie ...
infraxstructure: Mirosław Burnejko "Cloud Migration Checklist – Czyli jakie ...infraxstructure: Mirosław Burnejko "Cloud Migration Checklist – Czyli jakie ...
infraxstructure: Mirosław Burnejko "Cloud Migration Checklist – Czyli jakie ...
 
infraxstructure: Robert Zdunek, "Jak zbudować innowacyjne i efektywne energet...
infraxstructure: Robert Zdunek, "Jak zbudować innowacyjne i efektywne energet...infraxstructure: Robert Zdunek, "Jak zbudować innowacyjne i efektywne energet...
infraxstructure: Robert Zdunek, "Jak zbudować innowacyjne i efektywne energet...
 
infraxstructure: Mateusz Chrobok "Opowieść o ucieczce przed błędami typu 0da...
infraxstructure: Mateusz Chrobok "Opowieść o ucieczce przed błędami typu 0da...infraxstructure: Mateusz Chrobok "Opowieść o ucieczce przed błędami typu 0da...
infraxstructure: Mateusz Chrobok "Opowieść o ucieczce przed błędami typu 0da...
 
infraxstructure: Marcin Kaczmarek "SDS - Storage jako aplikacja."
infraxstructure: Marcin Kaczmarek "SDS - Storage jako aplikacja."infraxstructure: Marcin Kaczmarek "SDS - Storage jako aplikacja."
infraxstructure: Marcin Kaczmarek "SDS - Storage jako aplikacja."
 
infraxstructure: Krzysztof Waszkiewicz "Usługi chmurowe dla biznesu wolne od...
infraxstructure: Krzysztof Waszkiewicz "Usługi chmurowe dla biznesu wolne od...infraxstructure: Krzysztof Waszkiewicz "Usługi chmurowe dla biznesu wolne od...
infraxstructure: Krzysztof Waszkiewicz "Usługi chmurowe dla biznesu wolne od...
 
InfraXstructure: Mirosław Dąbrowski "Zmiany w organizacji a gotowość na meto...
InfraXstructure: Mirosław Dąbrowski "Zmiany w organizacji a gotowość na meto...InfraXstructure: Mirosław Dąbrowski "Zmiany w organizacji a gotowość na meto...
InfraXstructure: Mirosław Dąbrowski "Zmiany w organizacji a gotowość na meto...
 
infraXstructure: Adam Sznajder, Optymalizacja kosztów w Amazon Web Services -...
infraXstructure: Adam Sznajder, Optymalizacja kosztów w Amazon Web Services -...infraXstructure: Adam Sznajder, Optymalizacja kosztów w Amazon Web Services -...
infraXstructure: Adam Sznajder, Optymalizacja kosztów w Amazon Web Services -...
 
infraxstructure: Jarosław Zieliński i Sławomir Stanek "Wojna o Wirtualizację...
infraxstructure: Jarosław Zieliński i Sławomir Stanek "Wojna o Wirtualizację...infraxstructure: Jarosław Zieliński i Sławomir Stanek "Wojna o Wirtualizację...
infraxstructure: Jarosław Zieliński i Sławomir Stanek "Wojna o Wirtualizację...
 
infraxstructure: Emil Gągała "Ludzie, procesy, technika – czy wirtualizacja ...
infraxstructure: Emil Gągała "Ludzie, procesy, technika – czy wirtualizacja ...infraxstructure: Emil Gągała "Ludzie, procesy, technika – czy wirtualizacja ...
infraxstructure: Emil Gągała "Ludzie, procesy, technika – czy wirtualizacja ...
 
infraxstructure: Krzysztof Szczygieł "Infrastruktura i wyposażenie Data Cent...
infraxstructure: Krzysztof Szczygieł "Infrastruktura i wyposażenie Data Cent...infraxstructure: Krzysztof Szczygieł "Infrastruktura i wyposażenie Data Cent...
infraxstructure: Krzysztof Szczygieł "Infrastruktura i wyposażenie Data Cent...
 
infraxstructure: Stas Levitan, "Always On" business in cloud - 2016"
infraxstructure: Stas Levitan, "Always On" business in cloud - 2016"infraxstructure: Stas Levitan, "Always On" business in cloud - 2016"
infraxstructure: Stas Levitan, "Always On" business in cloud - 2016"
 
infraxstructure: Piotr Wojciechowski "Secure Data Center"
infraxstructure: Piotr Wojciechowski "Secure Data Center"infraxstructure: Piotr Wojciechowski "Secure Data Center"
infraxstructure: Piotr Wojciechowski "Secure Data Center"
 

Similar to infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeństwa wewnątrz Data Center dzięki sieci sterowanej programowo."

Noc informatyka
Noc informatykaNoc informatyka
Noc informatyka
OnetIT
 
PLNOG14: Vectra i Infoblox Advanced DNS Protection , historia sukcesu pewnego...
PLNOG14: Vectra i Infoblox Advanced DNS Protection , historia sukcesu pewnego...PLNOG14: Vectra i Infoblox Advanced DNS Protection , historia sukcesu pewnego...
PLNOG14: Vectra i Infoblox Advanced DNS Protection , historia sukcesu pewnego...
PROIDEA
 

Similar to infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeństwa wewnątrz Data Center dzięki sieci sterowanej programowo." (20)

PLNOG15: Virtualization and automation of network and security services in Da...
PLNOG15: Virtualization and automation of network and security services in Da...PLNOG15: Virtualization and automation of network and security services in Da...
PLNOG15: Virtualization and automation of network and security services in Da...
 
PLNOG15: Security and applications control in Next-Gen Data Center - Seweryn ...
PLNOG15: Security and applications control in Next-Gen Data Center - Seweryn ...PLNOG15: Security and applications control in Next-Gen Data Center - Seweryn ...
PLNOG15: Security and applications control in Next-Gen Data Center - Seweryn ...
 
PLNOG19 - Krzysztof Banel - Nowe modele bezpieczeństwa w sieciach SDN
PLNOG19 - Krzysztof Banel - Nowe modele bezpieczeństwa w sieciach SDNPLNOG19 - Krzysztof Banel - Nowe modele bezpieczeństwa w sieciach SDN
PLNOG19 - Krzysztof Banel - Nowe modele bezpieczeństwa w sieciach SDN
 
PLNOG 22 - Marcel Guzenda - Pierwsze w Polsce wdrożenie Cisco SDA u klienta z...
PLNOG 22 - Marcel Guzenda - Pierwsze w Polsce wdrożenie Cisco SDA u klienta z...PLNOG 22 - Marcel Guzenda - Pierwsze w Polsce wdrożenie Cisco SDA u klienta z...
PLNOG 22 - Marcel Guzenda - Pierwsze w Polsce wdrożenie Cisco SDA u klienta z...
 
PLNOG15: End of theoretical talks on SDN! Time for real solutions - Cisco SP ...
PLNOG15: End of theoretical talks on SDN! Time for real solutions - Cisco SP ...PLNOG15: End of theoretical talks on SDN! Time for real solutions - Cisco SP ...
PLNOG15: End of theoretical talks on SDN! Time for real solutions - Cisco SP ...
 
Marcin Motylski - Globalna Chmura Obliczeniowa
Marcin Motylski - Globalna Chmura ObliczeniowaMarcin Motylski - Globalna Chmura Obliczeniowa
Marcin Motylski - Globalna Chmura Obliczeniowa
 
PLNOG 21: Marcin Motylski - Bezpieczeństwo_i_Firewalle_w_Multi_Cloud / Data _...
PLNOG 21: Marcin Motylski - Bezpieczeństwo_i_Firewalle_w_Multi_Cloud / Data _...PLNOG 21: Marcin Motylski - Bezpieczeństwo_i_Firewalle_w_Multi_Cloud / Data _...
PLNOG 21: Marcin Motylski - Bezpieczeństwo_i_Firewalle_w_Multi_Cloud / Data _...
 
PLNOG 13: Artur Gmaj: Architecture of Modern Data Center
PLNOG 13: Artur Gmaj: Architecture of Modern Data CenterPLNOG 13: Artur Gmaj: Architecture of Modern Data Center
PLNOG 13: Artur Gmaj: Architecture of Modern Data Center
 
PLNOG15 :Three faces of SDN - ACI vs NSX vs Nuage, Maciej Lelusz,Jarosław Zie...
PLNOG15 :Three faces of SDN - ACI vs NSX vs Nuage, Maciej Lelusz,Jarosław Zie...PLNOG15 :Three faces of SDN - ACI vs NSX vs Nuage, Maciej Lelusz,Jarosław Zie...
PLNOG15 :Three faces of SDN - ACI vs NSX vs Nuage, Maciej Lelusz,Jarosław Zie...
 
WiNG express - sieci WLAN klasy korporacyjnej
WiNG express - sieci WLAN klasy korporacyjnejWiNG express - sieci WLAN klasy korporacyjnej
WiNG express - sieci WLAN klasy korporacyjnej
 
Noc informatyka
Noc informatykaNoc informatyka
Noc informatyka
 
Budowanie sieci Grid
Budowanie sieci GridBudowanie sieci Grid
Budowanie sieci Grid
 
Wdrozenie Chmury W Oparciu O VMware vCloud Suite W Polsce Nie Jest Trudne
Wdrozenie Chmury W Oparciu O VMware vCloud Suite W Polsce Nie Jest TrudneWdrozenie Chmury W Oparciu O VMware vCloud Suite W Polsce Nie Jest Trudne
Wdrozenie Chmury W Oparciu O VMware vCloud Suite W Polsce Nie Jest Trudne
 
PLNOG 18 - Marcin Motylski - Budowa wirtualnego Data Center
PLNOG 18 - Marcin Motylski - Budowa wirtualnego Data CenterPLNOG 18 - Marcin Motylski - Budowa wirtualnego Data Center
PLNOG 18 - Marcin Motylski - Budowa wirtualnego Data Center
 
Wirtualizacja
WirtualizacjaWirtualizacja
Wirtualizacja
 
PLNOG 22 - Jakub Leszewski - Citrix SD-WAN - niezawodny, efektywny i bezpiecz...
PLNOG 22 - Jakub Leszewski - Citrix SD-WAN - niezawodny, efektywny i bezpiecz...PLNOG 22 - Jakub Leszewski - Citrix SD-WAN - niezawodny, efektywny i bezpiecz...
PLNOG 22 - Jakub Leszewski - Citrix SD-WAN - niezawodny, efektywny i bezpiecz...
 
PLONG 21: Marcel Guzenda - Chmura_prywatna_w_wydaniu_Hiperkonwergentnym
PLONG 21: Marcel Guzenda - Chmura_prywatna_w_wydaniu_HiperkonwergentnymPLONG 21: Marcel Guzenda - Chmura_prywatna_w_wydaniu_Hiperkonwergentnym
PLONG 21: Marcel Guzenda - Chmura_prywatna_w_wydaniu_Hiperkonwergentnym
 
Wirtualizacja systemów operacyjnych oraz aplikacji w środowisku Microsoft - N...
Wirtualizacja systemów operacyjnych oraz aplikacji w środowisku Microsoft - N...Wirtualizacja systemów operacyjnych oraz aplikacji w środowisku Microsoft - N...
Wirtualizacja systemów operacyjnych oraz aplikacji w środowisku Microsoft - N...
 
GET.NET - Osiołkowi w żłobie dano, czyli o tym jak hostować aplikacje na Mic...
GET.NET - Osiołkowi w żłobie dano, czyli o tym jak hostować aplikacje na Mic...GET.NET - Osiołkowi w żłobie dano, czyli o tym jak hostować aplikacje na Mic...
GET.NET - Osiołkowi w żłobie dano, czyli o tym jak hostować aplikacje na Mic...
 
PLNOG14: Vectra i Infoblox Advanced DNS Protection , historia sukcesu pewnego...
PLNOG14: Vectra i Infoblox Advanced DNS Protection , historia sukcesu pewnego...PLNOG14: Vectra i Infoblox Advanced DNS Protection , historia sukcesu pewnego...
PLNOG14: Vectra i Infoblox Advanced DNS Protection , historia sukcesu pewnego...
 

infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeństwa wewnątrz Data Center dzięki sieci sterowanej programowo."

  • 1. © 2014 VMware Inc. All rights reserved. SDN w Praktyce Znacząca poprawa bezpieczeństwa wewnątrz Data Center dzięki sieci sterowanej programowo Piotr Jabłoński NSX Senior System Engineer Network & Security Eastern Europe pjablonski@vmware.com
  • 2. Kilka słów o prowadzącym sesję Piotr Jabłoński, pjablonski@vmware.com Inżynier systemowy w VMware • Wirtualizacja sieci, komunikacja aplikacji poprzez NSX. Wcześniej architect i konsultant w Cisco Systems • Projekty Data Center dla firm w kraju i zagranicą. Security: SP Sec, Ent Sec, DC Sec, FW, IPS Wirtualizacja: VLAN -> VRF -> VNF -> VMware Sieci nakładkowe: IPSec -> MPLS -> FabricPath -> OTV -> VXLAN Certyfikacje: CCDE 2012::7, CCIE#19476 SP/RS
  • 3. What is a Software Defined Data Center (SDDC)?
  • 4. Znacząca poprawa bezpieczeństwa wewnątrz Data Center dzięki sieci sterowanej programowo
  • 5. Co oznacza znacząca poprawa bezpieczeństwa? App Usługi Współdzielone DB AD NTP DHCP DNS CERT Inspekcja Inter-VLAN App 1 App 2 § Automatyczna i selektywna separacja § Integracja reguł FW z AD § Właściwy monitoring sieci i przepływów § Narzędzia diagnostyczne HTTP SQL DNS DNS § Skalowalne i wydajne filtrowanie ruchu inter-VLAN oraz intra-VLAN LDAP
  • 6. Podział na podsieci nie zawsze jest możliwy App1 App 2 Inspekcja Inter-VLAN na firewallu App 1 App 2 HTTP § Separacja w VRF lub translacja adresów konieczna w przypadku nakładania się adresów Routing do WAN lub Internetu Separacja w VRF lub translacja adresów jeżeli adresy App1 i App2 się nakładają HTTP
  • 7. KNF Rekomendacja D • 9.9. […] – ustalając sposób konfiguracji komponentu, bank powinien kierować się zasadą minimalizacji udostępnianych przez dany komponent usług (w tym np. otwartych portów, obsługiwanych protokołów itp.), z jednoczesnym zapewnieniem planowanej funkcjonalności. • 9.15 Konfiguracja systemu zapór sieciowych powinna zapewniać rejestrowanie niestandardowych aktywności w celu umożliwienia dokonywania ich analizy pod kątem wykrywania ataków zewnętrznych i wewnętrznych. System zapór sieciowych powinien także zapewniać kontrolę ruchu wychodzącego w celu blokowania prób nawiązania sesji z wewnątrz sieci przez szkodliwe oprogramowanie. • 9.16. Bank wykorzystujący technologię wirtualizacji serwerów powinien przeprowadzać analizę ryzyka związanego z tą technologią w odniesieniu do własnych uwarunkowań. Na podstawie wyników powyższej analizy, bank powinien zapewnić poprawne funkcjonowanie odpowiednich mechanizmów kontrolnych.
  • 8. Znacząca poprawa bezpieczeństwa wewnątrz Data Center dzięki sieci sterowanej programowo
  • 9. "Nie miałem ataków. Mój kaskadowy NG-FW wszystko odfiltrowuje." "Nie można zapewnić separacji sieci, zawsze znajdzie się luka." "Ataki z Internetu? To ja muszę chronić Internet przed moimi użytkownikami." "Wnętrze DC powinno być rozpatrywane jako świat zewnętrzny."
  • 11. Znacząca poprawa bezpieczeństwa wewnątrz Data Center dzięki sieci sterowanej programowo
  • 13. Co wziąć pod uwagę przy wyborze rozwiązania? DC Fabric Front-end segment segment 2 segment 3 web app db IPA p p O S A p p O S WAN/DCI Branch/ Campus Front-end segment segment 2 segment 3 web app db IPA p p O S A p p O S • Stabilna sieć • Brak trwałych pętli • Szybsza konwergencja • Ograniczenie ruchu rozgłoszeniowego • Łatwiejszy upgrade oprogramowania • Większa skalowalność • Szybkość wprowadzanych zmian • Bezpieczeństwo • Prostota architektury • Łatwość diagnostyki • Wymagania aplikacji • Widoczność aplikacji • Cena • Sympatie i antypatie
  • 14. DC Fabric Front-end segment segment 2 segment 3 web app db IPA p p O S A p p O S WAN/DCI DC 2 EVPN/VXLAN Front-end segment segment 2 segment 3 web app db IPA p p O S A p p O S L3 L2 VLAN L2 Logiczny przełącznik vSphere Haczyki na stykach sieci DC Fabric Front-end segment segment 2 segment 3 web app db IPA p p O S A p p O S WAN/DCI DC 2 Front-end segment segment 2 segment 3 web app db IPA p p O S A p p O S NSX VXLAN L3 L2 Logiczny przełącznik NSX L2 VLAN EVPN/VXLAN L3 L2 VLAN
  • 15. DC Fabric Front-end segment segment 2 segment 3 web app db IPA p p O S A p p O S WAN/DCI DC 2 EVPN/VXLAN Front-end segment segment 2 segment 3 web app db IPA p p O S A p p O S L3 L2 VLAN L2 Logiczny przełącznik vSphere Haczyki na stykach sieci DC Fabric Front-end segment segment 2 segment 3 web app db IPA p p O S A p p O S WAN/DCI DC 2 Front-end segment segment 2 segment 3 web app db IPA p p O S A p p O S NSX VXLAN L3 L2 Logiczny przełącznik NSX
  • 17. App Shared Services DB Perimeter Firewall AD NTP DHCP DNS CERT Distributed Firewall DMZ App 1 App 2 Zabezpieczenie wewnątrz segmentu sieci – Firewall na VM § Nieefektywna zarządzalność § Operacyjnie kosztowne § Co w przypadku przejęcia maszyny?
  • 18. App Shared Services DB Perimeter Firewall AD NTP DHCP DNS CERT Distributed Firewall DMZ App 1 App 2 Zabezpieczenie wewnątrz segmentu sieci – Firewall na vNIC § Firewall na poziomie vNIC § Każda maszyna ma swoją dedykowaną ochronę i reguły § Reguły mogą być uruchamiane dla grupy § Bezpieczeństwo oddzielone od OS
  • 19. Mikrosegmentacja – większe bezpieczeństwo Każda maszyna wirtualna ma swój firewall. Pełna ochrona nawet w ramach jednego segmentu sieci. App Usługi Współdzielone DB Firewall brzegowy AD NTP DHCP DNS CERT Firewall Rozproszony DMZ App 1 App 2 § Każda maszyna VM może być osobnym obszarem § Polityki przypisane do grup maszyn VM § Włamanie do jednej z maszyn nie oznacza włamania do innych VM § Automatyczna kwarantanna VM § Reguły FW poruszają się za VM
  • 21. Zcentralizowane zarządzanie VC containers - Clusters - datacenters - Portgroups - VXLAN VM containers - VM names - VM tags - VM attributes Identity - User identity - Groups IPv6 compliant - IPv6 address - IPv6 sets Services - Protocol - Ports - Custom IPv6 Services Choice of PEP -Clusters - VXLAN - vNICs
  • 22. Wgranie reguł bezpieczeństwa Compute Rack VXLAN DR DFWSecurity Compute Rack VXLAN DR DFWSecurity vDS vCenter server VM1 VM2 VM3 VM4 NSX manager NSX controllers Source Destination Service Action Applied To VM1 VM2, VM3 TCP port 123 Allow VM1,VM2,VM3 VM1 VM4 UDP port 321 Allow VM1, VM4 Source Destination Service Action VM1 VM2, VM3 TCP port 123 Allow VM1 VM4 UDP port 321 Allow Source Destination Service Action VM1 VM2, VM3 TCP port 123 Allow 1 2 3 33 3 Source Destination Service Action Applied To VM1 VM2, VM3 TCP port 123 Allow VM1,VM2,VM3 VM1 VM4 UDP port 321 Allow VM1, VM4 Source Destination Service Action VM1 VM2, VM3 TCP port 123 Allow Source Destination Service Action VM1 VM4 UDP port 321 Allow
  • 23. Wgranie reguł bezpieczeństwa Compute Rack VXLAN DR DFWSecurity Compute Rack VXLAN DR DFWSecurity vDS vCenter server VM1 VM2 VM3 VM4 NSX manager NSX controllers Source Destination Service Action Applied To VM1 VM2, VM3 TCP port 123 Allow VM1,VM2,VM3 VM1 VM4 UDP port 321 Allow VM1, VM4 Source Destination Service Action VM1 VM2, VM3 TCP port 123 Allow VM1 VM4 UDP port 321 Allow Source Destination Service Action VM1 VM2, VM3 TCP port 123 Allow 1 2 3 33 3 Source Destination Service Action Applied To VM1 VM2, VM3 TCP port 123 Allow VM1,VM2,VM3 VM1 VM4 UDP port 321 Allow VM1, VM4 Source Destination Service Action VM1 VM2, VM3 TCP port 123 Allow Source Destination Service Action VM1 VM4 UDP port 321 Allow Source Destination Service Action Applied To VM1 VM2, VM3 TCP port 123 Allow VM1,VM2,VM3 VM1 VM4 UDP port 321 Allow VM1, VM4 Source Destination Service Action VM1 VM2, VM3 TCP port 123 Allow VM2 NSX
  • 24. Skalowalne i wydajne bezpieczeństwo
  • 25. Skalowalność zapór ogniowych http://www.networkworld.com/article/3016668/virtualization/tribune-media-rebuilds-it-from-the-ground-up-and-is-living-the-dream.html Having to put physical firewalls in between everything is just not scalable. I’ve got 1,200 virtual servers. If those were physical, I’d have another seven racks just for the firewalls. Dodanie fizycznych firewalli pomiędzy serwerami nie jest skalowalne. Mam 1200 serwerów wirtualnych. Jeśli byłyby fizyczne, musiałbym mieć jeszcze siedem szaf rackowych tylko pod firewalle. Tribune Media CIO David Giambruno
  • 26. Wydajność firewalla w NSX Wydajność bliska 20Gbps z minimalnym wpływem na obciążenie CPU https://www.youtube.com/watch?v=cRp45dNaRCQ
  • 27. Jak zoptymalizować sieć Data Center za pomocą wirtualizacji sieci
  • 29. NSX Dystrybucyjny firewall Przed NSX Bardziej wydajne filtrowanie z NSX 6 przeskoków Fabric A Fabric B Blade 1 Blade 2 vswitch vswitch Fabric A Fabric B Blade 1 Blade 2 Ochrona East-West 2 przeskoki NSX vSwitch Problem z wydajnością Mniej przeskoków, bardziej efektywne połączenia.
  • 30. Automatyczna kwarantanna Security Group = Quarantine Zone Members = {Tag = ‘ANTI_VIRUS.VirusFound’, L2 Isolated Network} Security Group = Web Tier Definicja polityki Standardowa polityka þ Anti-Virus – Skanowanie Polityka kwarantanny þ Firewall – Blokada za wyjątkiem AV, TS þ Anti-Virus – Skanowanie i reagowanie
  • 32. NSX – SpoofGuard vSphere VXLAN DR DFWSecurity 1.1.1.1 1.1.1.2 1.1.1.3 vSphere VXLAN DR DFWSecurity 2.2.2.1 2.2.2.2 2.2.2.3 vSphere VXLAN DR DFWSecurity Nowy IP: 1.1.1.2 1.1.1.2 1.1.1.3 vSphere VXLAN DR DFWSecurity 2.2.2.1 2.2.2.2 2.2.2.3 Wszystkie przepływy są przepuszczone Przepływ z/do zmienionego adresu IP jest zablokowany Administrator sieci akceptuje ręcznie lub automatycznie zmiany adresów IP maszyn wirtualnych
  • 34. Zcentralizowane CLI Redukcja czasu na diagnostykę rozproszonych usług sieciowych 34 NSX Mgr. Data Plane … VXLAN 5000 VXLAN 5001
  • 35. Do czego przydatna jest widoczność aplikacji?
  • 37. Traceflow • Traceroute między światem wirtualnym, a fizycznym • Wsparcie dla warstwy 2 i 3 • Może być zainicjalizowane na poziomie GUI lub API • Pakiety definiowane przez użytkownika • Rozszerzona diagnostyka VM VM App1Web1 Pakiet IP … … 1 3 4 5 2
  • 39. Podsumowanie – Znacząca poprawa bezpieczeństwa 1. Separacja ruchu nawet w ramach tej samej podsieci. 2. Reguły bezpieczeństwa dla każdej maszyny wirtualnej. 3. Bardziej skalowalne bezpieczeństwo. 4. Bardziej wydajne bezpieczeństwo. 5. Automatyzacja konfiguracji i separacji. Łatwiejsze zarządzanie. 6. Spełnienie norm i rekomendacji. Internet Operacyjnie możliwe
  • 41. Try NSX, Run NSX! Laboratoria online: http://labs.hol.vmware.com Dokumentacja do labów: http://docs.hol.vmware.com