Enviar búsqueda
Cargar
V mware v shield - 部署最安全云环境的基础
•
1 recomendación
•
1,330 vistas
ITband
Seguir
vForum 2010 BJ Share
Leer menos
Leer más
Tecnología
Denunciar
Compartir
Denunciar
Compartir
1 de 31
Recomendados
深入浅出 V cloud director
深入浅出 V cloud director
ITband
中国海运集团的虚拟化数据中心的安全方案建议
中国海运集团的虚拟化数据中心的安全方案建议
Yunchao (Kevin) Wang
弹性计算云安全(Elastic Compute Cloud Security)
弹性计算云安全(Elastic Compute Cloud Security)
im_yunshu
分散It廠商系統依賴
分散It廠商系統依賴
Nick Lu
BAS011_VMware資料中心虛擬化-基礎_v190418
BAS011_VMware資料中心虛擬化-基礎_v190418
rwp99346
BAS010_虛擬化基礎_v190330
BAS010_虛擬化基礎_v190330
rwp99346
BAS010_虛擬化基礎_v190330 (View online)
BAS010_虛擬化基礎_v190330 (View online)
rwp99346
应用虚拟存储 缔造关键业务之路
应用虚拟存储 缔造关键业务之路
ITband
Recomendados
深入浅出 V cloud director
深入浅出 V cloud director
ITband
中国海运集团的虚拟化数据中心的安全方案建议
中国海运集团的虚拟化数据中心的安全方案建议
Yunchao (Kevin) Wang
弹性计算云安全(Elastic Compute Cloud Security)
弹性计算云安全(Elastic Compute Cloud Security)
im_yunshu
分散It廠商系統依賴
分散It廠商系統依賴
Nick Lu
BAS011_VMware資料中心虛擬化-基礎_v190418
BAS011_VMware資料中心虛擬化-基礎_v190418
rwp99346
BAS010_虛擬化基礎_v190330
BAS010_虛擬化基礎_v190330
rwp99346
BAS010_虛擬化基礎_v190330 (View online)
BAS010_虛擬化基礎_v190330 (View online)
rwp99346
应用虚拟存储 缔造关键业务之路
应用虚拟存储 缔造关键业务之路
ITband
BAS010_虛擬化基礎_v190325-Draft
BAS010_虛擬化基礎_v190325-Draft
rwp99346
运维安全 抵抗黑客攻击_云络安全沙龙4月上海站主题分享
运维安全 抵抗黑客攻击_云络安全沙龙4月上海站主题分享
ChinaNetCloud
Taobao casestudy-yufeng-qcon
Taobao casestudy-yufeng-qcon
Yiwei Ma
新浪微博平台与安全架构
新浪微博平台与安全架构
n716
Open cdn快速部署你的私有cdn集群
Open cdn快速部署你的私有cdn集群
挺
金融行业的存储备份解决方案
金融行业的存储备份解决方案
gb ku
V ds深入探究
V ds深入探究
ITband
分会场八和Net backup一起进入云备份时代
分会场八和Net backup一起进入云备份时代
ITband
阿里巴巴运维自动化的探索与规划
阿里巴巴运维自动化的探索与规划
mysqlops
02.wls概览
02.wls概览
Meng He
Kubernetes device plugins
Kubernetes device plugins
ssuser75c76a2
Hyper V Final
Hyper V Final
eRay Jiang
SWsoft_Prim@Telecom
SWsoft_Prim@Telecom
webhostingguy
Comboware ComboStack 202105
Comboware ComboStack 202105
Elroy Peng
低成本和高性能MySQL云架构探索
低成本和高性能MySQL云架构探索
Feng Yu
来自Pso的专业服务
来自Pso的专业服务
ITband
1116 Windows server 2008 - 使用 IIS 7.0 建置安全站台
1116 Windows server 2008 - 使用 IIS 7.0 建置安全站台
Timothy Chen
Windows Azure Virtual Machine Services for Developers
Windows Azure Virtual Machine Services for Developers
Jeff Chu
賽門鐵克 NetBackup 7.5 完整簡報
賽門鐵克 NetBackup 7.5 完整簡報
Wales Chen
分会场六数据中心使用Cfs & vcs 节省it成本
分会场六数据中心使用Cfs & vcs 节省it成本
ITband
Christian Resume
Christian Resume
christian chavez
ygomezresume
ygomezresume
Yajaira Gomez
Más contenido relacionado
La actualidad más candente
BAS010_虛擬化基礎_v190325-Draft
BAS010_虛擬化基礎_v190325-Draft
rwp99346
运维安全 抵抗黑客攻击_云络安全沙龙4月上海站主题分享
运维安全 抵抗黑客攻击_云络安全沙龙4月上海站主题分享
ChinaNetCloud
Taobao casestudy-yufeng-qcon
Taobao casestudy-yufeng-qcon
Yiwei Ma
新浪微博平台与安全架构
新浪微博平台与安全架构
n716
Open cdn快速部署你的私有cdn集群
Open cdn快速部署你的私有cdn集群
挺
金融行业的存储备份解决方案
金融行业的存储备份解决方案
gb ku
V ds深入探究
V ds深入探究
ITband
分会场八和Net backup一起进入云备份时代
分会场八和Net backup一起进入云备份时代
ITband
阿里巴巴运维自动化的探索与规划
阿里巴巴运维自动化的探索与规划
mysqlops
02.wls概览
02.wls概览
Meng He
Kubernetes device plugins
Kubernetes device plugins
ssuser75c76a2
Hyper V Final
Hyper V Final
eRay Jiang
SWsoft_Prim@Telecom
SWsoft_Prim@Telecom
webhostingguy
Comboware ComboStack 202105
Comboware ComboStack 202105
Elroy Peng
低成本和高性能MySQL云架构探索
低成本和高性能MySQL云架构探索
Feng Yu
来自Pso的专业服务
来自Pso的专业服务
ITband
1116 Windows server 2008 - 使用 IIS 7.0 建置安全站台
1116 Windows server 2008 - 使用 IIS 7.0 建置安全站台
Timothy Chen
Windows Azure Virtual Machine Services for Developers
Windows Azure Virtual Machine Services for Developers
Jeff Chu
賽門鐵克 NetBackup 7.5 完整簡報
賽門鐵克 NetBackup 7.5 完整簡報
Wales Chen
分会场六数据中心使用Cfs & vcs 节省it成本
分会场六数据中心使用Cfs & vcs 节省it成本
ITband
La actualidad más candente
(20)
BAS010_虛擬化基礎_v190325-Draft
BAS010_虛擬化基礎_v190325-Draft
运维安全 抵抗黑客攻击_云络安全沙龙4月上海站主题分享
运维安全 抵抗黑客攻击_云络安全沙龙4月上海站主题分享
Taobao casestudy-yufeng-qcon
Taobao casestudy-yufeng-qcon
新浪微博平台与安全架构
新浪微博平台与安全架构
Open cdn快速部署你的私有cdn集群
Open cdn快速部署你的私有cdn集群
金融行业的存储备份解决方案
金融行业的存储备份解决方案
V ds深入探究
V ds深入探究
分会场八和Net backup一起进入云备份时代
分会场八和Net backup一起进入云备份时代
阿里巴巴运维自动化的探索与规划
阿里巴巴运维自动化的探索与规划
02.wls概览
02.wls概览
Kubernetes device plugins
Kubernetes device plugins
Hyper V Final
Hyper V Final
SWsoft_Prim@Telecom
SWsoft_Prim@Telecom
Comboware ComboStack 202105
Comboware ComboStack 202105
低成本和高性能MySQL云架构探索
低成本和高性能MySQL云架构探索
来自Pso的专业服务
来自Pso的专业服务
1116 Windows server 2008 - 使用 IIS 7.0 建置安全站台
1116 Windows server 2008 - 使用 IIS 7.0 建置安全站台
Windows Azure Virtual Machine Services for Developers
Windows Azure Virtual Machine Services for Developers
賽門鐵克 NetBackup 7.5 完整簡報
賽門鐵克 NetBackup 7.5 完整簡報
分会场六数据中心使用Cfs & vcs 节省it成本
分会场六数据中心使用Cfs & vcs 节省it成本
Destacado
Christian Resume
Christian Resume
christian chavez
ygomezresume
ygomezresume
Yajaira Gomez
jimmyresume
jimmyresume
jimmy alejo
Curtis baugh rm_16
Curtis baugh rm_16
Curtis Baugh
IngridZagzebski_MarketingPortfolio
IngridZagzebski_MarketingPortfolio
Ingrid Zagzebski
Tiffany Administrative Asst IV
Tiffany Administrative Asst IV
Tiffany Arango
与戴尔携手,实现虚拟时代的高效率
与戴尔携手,实现虚拟时代的高效率
ITband
NASSER INASS RESUME
NASSER INASS RESUME
inass nasser
虚拟化的下一波浪潮
虚拟化的下一波浪潮
ITband
VictoriaStoverResume(1)
VictoriaStoverResume(1)
Victoria Stover
HR Case Study-Constructive Relations at Top Trucking Company
HR Case Study-Constructive Relations at Top Trucking Company
David Thompson
Balanace of payment
Balanace of payment
Isaf Ali
Inscrutable layers of knowledge unveiled to optimize the results of your loya...
Inscrutable layers of knowledge unveiled to optimize the results of your loya...
Comarch
Presentation on warehousing and logistics hub mumbai
Presentation on warehousing and logistics hub mumbai
Tryambakesh Shukla
3 pl ppt
3 pl ppt
Prashant Verma
INDIA - economy analysis
INDIA - economy analysis
Pallav Tyagi
Omnichannel experience and typical customer journeys
Omnichannel experience and typical customer journeys
Comarch
Digital Customer Experience Strategy, DocuSign [FutureStack16]
Digital Customer Experience Strategy, DocuSign [FutureStack16]
New Relic
Normas de etiqueta en internet
Normas de etiqueta en internet
jalarcon572
Tosin Fasidi
Tosin Fasidi
Tosin Fasidi
Destacado
(20)
Christian Resume
Christian Resume
ygomezresume
ygomezresume
jimmyresume
jimmyresume
Curtis baugh rm_16
Curtis baugh rm_16
IngridZagzebski_MarketingPortfolio
IngridZagzebski_MarketingPortfolio
Tiffany Administrative Asst IV
Tiffany Administrative Asst IV
与戴尔携手,实现虚拟时代的高效率
与戴尔携手,实现虚拟时代的高效率
NASSER INASS RESUME
NASSER INASS RESUME
虚拟化的下一波浪潮
虚拟化的下一波浪潮
VictoriaStoverResume(1)
VictoriaStoverResume(1)
HR Case Study-Constructive Relations at Top Trucking Company
HR Case Study-Constructive Relations at Top Trucking Company
Balanace of payment
Balanace of payment
Inscrutable layers of knowledge unveiled to optimize the results of your loya...
Inscrutable layers of knowledge unveiled to optimize the results of your loya...
Presentation on warehousing and logistics hub mumbai
Presentation on warehousing and logistics hub mumbai
3 pl ppt
3 pl ppt
INDIA - economy analysis
INDIA - economy analysis
Omnichannel experience and typical customer journeys
Omnichannel experience and typical customer journeys
Digital Customer Experience Strategy, DocuSign [FutureStack16]
Digital Customer Experience Strategy, DocuSign [FutureStack16]
Normas de etiqueta en internet
Normas de etiqueta en internet
Tosin Fasidi
Tosin Fasidi
Similar a V mware v shield - 部署最安全云环境的基础
Accelerate Database as a Service(DBaaS) in Cloud era
Accelerate Database as a Service(DBaaS) in Cloud era
Junchi Zhang
有道云笔记架构简介
有道云笔记架构简介
drewz lin
腾讯 马志强 虚拟化环境下 网络 朋务器 平台的协作经验
腾讯 马志强 虚拟化环境下 网络 朋务器 平台的协作经验
colderboy17
腾讯 马志强 虚拟化环境下 网络 朋务器 平台的协作经验
腾讯 马志强 虚拟化环境下 网络 朋务器 平台的协作经验
guiyingshenxia
雲端環境的快取策略-Global Azure Bootcamp 2015 臺北場
雲端環境的快取策略-Global Azure Bootcamp 2015 臺北場
twMVC
Teched 2012 60分钟构建私有云
Teched 2012 60分钟构建私有云
Cheng Zhang
全新 Windows Server 2019 容器技術及邁向與 Kubernetes 整合之路 (Windows Server 高峰會)
全新 Windows Server 2019 容器技術及邁向與 Kubernetes 整合之路 (Windows Server 高峰會)
Will Huang
安全云平台的探索实践
安全云平台的探索实践
Hardway Hou
从Docker到容器服务
从Docker到容器服务
Li Yi
从林书豪到全明星 - 虎扑网技术架构如何化解流量高峰
从林书豪到全明星 - 虎扑网技术架构如何化解流量高峰
Scourgen Hong
今日如何建立一个安全的私有云
今日如何建立一个安全的私有云
ITband
分会场四服务器安全防护的意义与价值
分会场四服务器安全防护的意义与价值
ITband
阿里云CDN技术演进之路
阿里云CDN技术演进之路
Joshua Zhu
云计算与开源 刘黎明 世纪互联
云计算与开源 刘黎明 世纪互联
Liming Liu
Windows 與 Azure 的容器旅程 @ Ignite Mini 2016
Windows 與 Azure 的容器旅程 @ Ignite Mini 2016
Jeff Chu
以业务为中心的云自动化 V mware-v-realize-automation-7
以业务为中心的云自动化 V mware-v-realize-automation-7
Frank Chang
阿里巴巴 肖劲青 阿里巴巴运维自动化的探索与规划
阿里巴巴 肖劲青 阿里巴巴运维自动化的探索与规划
colderboy17
Bypat博客出品-服务器运维集群方法总结3
Bypat博客出品-服务器运维集群方法总结3
redhat9
Ovirt deep dive
Ovirt deep dive
Li Jiansheng
02.wls集群
02.wls集群
Meng He
Similar a V mware v shield - 部署最安全云环境的基础
(20)
Accelerate Database as a Service(DBaaS) in Cloud era
Accelerate Database as a Service(DBaaS) in Cloud era
有道云笔记架构简介
有道云笔记架构简介
腾讯 马志强 虚拟化环境下 网络 朋务器 平台的协作经验
腾讯 马志强 虚拟化环境下 网络 朋务器 平台的协作经验
腾讯 马志强 虚拟化环境下 网络 朋务器 平台的协作经验
腾讯 马志强 虚拟化环境下 网络 朋务器 平台的协作经验
雲端環境的快取策略-Global Azure Bootcamp 2015 臺北場
雲端環境的快取策略-Global Azure Bootcamp 2015 臺北場
Teched 2012 60分钟构建私有云
Teched 2012 60分钟构建私有云
全新 Windows Server 2019 容器技術及邁向與 Kubernetes 整合之路 (Windows Server 高峰會)
全新 Windows Server 2019 容器技術及邁向與 Kubernetes 整合之路 (Windows Server 高峰會)
安全云平台的探索实践
安全云平台的探索实践
从Docker到容器服务
从Docker到容器服务
从林书豪到全明星 - 虎扑网技术架构如何化解流量高峰
从林书豪到全明星 - 虎扑网技术架构如何化解流量高峰
今日如何建立一个安全的私有云
今日如何建立一个安全的私有云
分会场四服务器安全防护的意义与价值
分会场四服务器安全防护的意义与价值
阿里云CDN技术演进之路
阿里云CDN技术演进之路
云计算与开源 刘黎明 世纪互联
云计算与开源 刘黎明 世纪互联
Windows 與 Azure 的容器旅程 @ Ignite Mini 2016
Windows 與 Azure 的容器旅程 @ Ignite Mini 2016
以业务为中心的云自动化 V mware-v-realize-automation-7
以业务为中心的云自动化 V mware-v-realize-automation-7
阿里巴巴 肖劲青 阿里巴巴运维自动化的探索与规划
阿里巴巴 肖劲青 阿里巴巴运维自动化的探索与规划
Bypat博客出品-服务器运维集群方法总结3
Bypat博客出品-服务器运维集群方法总结3
Ovirt deep dive
Ovirt deep dive
02.wls集群
02.wls集群
Más de ITband
It运维管理10大痛点
It运维管理10大痛点
ITband
Citrix虚拟化方案
Citrix虚拟化方案
ITband
利用统一存储获得无与伦比的速度,简化系统,并节省更多
利用统一存储获得无与伦比的速度,简化系统,并节省更多
ITband
Oracle 存储释放数据库价值
Oracle 存储释放数据库价值
ITband
适应业务需求的甲骨文存储解决方案及产品演示
适应业务需求的甲骨文存储解决方案及产品演示
ITband
1 opening-jeff-storagesummit-347340-zhs
1 opening-jeff-storagesummit-347340-zhs
ITband
滕达斐
滕达斐
ITband
滕达斐
滕达斐
ITband
5 hanhui-e xperience show data final cv
5 hanhui-e xperience show data final cv
ITband
4 zhang jinghui-experience show contact center
4 zhang jinghui-experience show contact center
ITband
3 junhua-experience show unified communication
3 junhua-experience show unified communication
ITband
2 li nong-experience show keynote-li nong-v1
2 li nong-experience show keynote-li nong-v1
ITband
1 john wang-experience show exec intro
1 john wang-experience show exec intro
ITband
6 wang xiusheng - experience show ip office
6 wang xiusheng - experience show ip office
ITband
分会场九Altiris终端管理套件和服务器管理套件现在及远景
分会场九Altiris终端管理套件和服务器管理套件现在及远景
ITband
分会场九Windows 7迁移最佳实践
分会场九Windows 7迁移最佳实践
ITband
分会场八Application ha和virtualstore推动关键业务虚拟化
分会场八Application ha和virtualstore推动关键业务虚拟化
ITband
分会场八云及虚拟环境安全防护
分会场八云及虚拟环境安全防护
ITband
分会场六用Storage foundation简化操作系统和存储系统的迁移
分会场六用Storage foundation简化操作系统和存储系统的迁移
ITband
分会场五Enterprise vault新特性
分会场五Enterprise vault新特性
ITband
Más de ITband
(20)
It运维管理10大痛点
It运维管理10大痛点
Citrix虚拟化方案
Citrix虚拟化方案
利用统一存储获得无与伦比的速度,简化系统,并节省更多
利用统一存储获得无与伦比的速度,简化系统,并节省更多
Oracle 存储释放数据库价值
Oracle 存储释放数据库价值
适应业务需求的甲骨文存储解决方案及产品演示
适应业务需求的甲骨文存储解决方案及产品演示
1 opening-jeff-storagesummit-347340-zhs
1 opening-jeff-storagesummit-347340-zhs
滕达斐
滕达斐
滕达斐
滕达斐
5 hanhui-e xperience show data final cv
5 hanhui-e xperience show data final cv
4 zhang jinghui-experience show contact center
4 zhang jinghui-experience show contact center
3 junhua-experience show unified communication
3 junhua-experience show unified communication
2 li nong-experience show keynote-li nong-v1
2 li nong-experience show keynote-li nong-v1
1 john wang-experience show exec intro
1 john wang-experience show exec intro
6 wang xiusheng - experience show ip office
6 wang xiusheng - experience show ip office
分会场九Altiris终端管理套件和服务器管理套件现在及远景
分会场九Altiris终端管理套件和服务器管理套件现在及远景
分会场九Windows 7迁移最佳实践
分会场九Windows 7迁移最佳实践
分会场八Application ha和virtualstore推动关键业务虚拟化
分会场八Application ha和virtualstore推动关键业务虚拟化
分会场八云及虚拟环境安全防护
分会场八云及虚拟环境安全防护
分会场六用Storage foundation简化操作系统和存储系统的迁移
分会场六用Storage foundation简化操作系统和存储系统的迁移
分会场五Enterprise vault新特性
分会场五Enterprise vault新特性
V mware v shield - 部署最安全云环境的基础
1.
1 Confidential VMware vShield
– 部署最安全云环境的基础 石磊 软件工程师
2.
2 Confidential Agenda 保护虚拟数据中心的传统方式 vShield 产品介绍 •
vShield Edge • vShield App • vShield Endpoint 解决方案实例 • 云环境 • 外联网 • VMware View 桌面分域管理 • 使用View和vShield的PCI标准遵从(PCI Compliance) • 多信任域 – DMZ
3.
3 Confidential 周边安全 内部安全 终端安全 隔离内部服务和应用 • 基于VLAN或者子网的策略 •
内部的或者Web应用防火墙 • DLP, 以应用标识为依据的策略 VLAN 1 VLANs 数据中心需要在不同层次上进行保护 Cost & Complexity At the vDC Edge • Sprawl: hardware, FW rules, VLANs • Rigid FW rules • Performance bottlenecks 将威胁隔绝在系统之外 • 周边安全设备 • 防火墙, VPN, 入侵检测系统 • 负载均衡 终端保护 • 桌面防病毒代理, • 基于主机的入侵检测 • 针对隐私数据的DLP代理
4.
4 Confidential 虚拟数据中心(vDC)的传统的安全解决方案 由于安全的限制,客户无法完全体验到虚拟化的优势 带防火墙的虚拟DMZ APPLICATION ZONE
DATABASE ZONEWEB ZONE 终端安全内部安全周边安全 Internet vSpherevSphere vSphere • 专用物理设备实现的物理 隔离 • 缺少内部安全隔离的混合 信任集群 • 配置复杂 – VLAN 大规模部署配置 – 大量的防火墙规则 – 资源无关的不灵活的IP规则 • 私有云(?)
5.
5 Confidential 周边安全 内部安全 终端安全 传统安全方案不再适应于 vDC Cost
& Complexity At the vDC Edge • Sprawl: hardware, FW rules, VLANs • Rigid FW rules • Performance bottlenecks 成本和复杂度 vDC 边缘 • 大量的硬件,防火墙规则以及VLAN • 不灵活的防火墙规则 • 性能瓶颈 大量代理,性能 vDC终端 •在VM中安装大量的反病毒代理, 消耗大量资源 • 风险:VM中的反病毒软件没有经过安全加固 VLAN 1 VLAN 复杂度和配置盲区 vDC应用之间 • 大量VLAN和硬件 • 盲区:VM间数据传输 • 性能瓶颈VLAN 2
6.
6 Confidential 2010 –
vShield 产品介绍 DMZ Application 1 Application 2 全方位保护私有云: 从周边到终端 Edge vShield Edge 保护虚拟数据中心的 边缘 Security Zone vShield App 和 Zones 为各种应用建立安全分割 Endpoint = VM vShield Endpoint 分流式反病毒处理 Endpoint = VM vShield Manager 集中式管理
7.
7 Confidential 周边安全存在的问题 保护私有云和公有云 -
迁移到私有云 或者公有云中的企业需要扩展与物理 数据中心相似的安全分层 使用VLAN实现隔离 - 使用交换机或 者防火墙建立虚拟系统周边环境十分 复杂和昂贵。混合信任主机会引起一 些依从性问题。 View 桌面用户 – 外部的负载均衡和防 火墙需要与View同时部署,极大提高 了解决方案的成本 传统的分层安全保护 空隙
8.
8 Confidential 一个应用包含多种边缘安全服务 •
有状态的防火墙 • NAT • DHCP • Site to site VPN (IPsec) • Web 负载均衡 Edge提供的端口组隔离 详细的网络流统计 通过UI和REST API进行策略管理 基于业界标准syslog格式的日志记录和审计 vShield Edge 保护虚拟数据中心的边缘 租客 A 租客 X 功能 负载均衡 防火墙 VPN
9.
9 Confidential 利用虚拟化技术提供比物理环境更好的安全性 主要优点 • 降低成本和复杂性 •
为多客户私有云环境快速部署提供安 全服务 优于物理环境 • 为一组虚拟机提供安全的自动连线网 络服务 • 基础设施内嵌安全 VMware Cloud Director 为View提供端到端的安全解决方案 • 安全服务的按需快速提供 – NAT,防 火墙,VPN,负载均衡等 服务提供商 企业 A 企业 B企业 A vShield Edge
10.
10 Confidential vShield Edge
安装和配置 在网络配置页面上安装到每个DVS上的端口组上 基于端口组创建逻辑边界 • 创建一个安全的端口组,Edge相当于安装在这个端口组的边界上 • 此端口组应该由 VLAN 或者 vShield 端口组隔离来实现划分 (解决了大量VLAN 的问题) • Edge 具有两个接口(内部和外部),内部接口与其保护的安全端口组相连,外 部则连接到与外部相连的Uplink 五元组方式设置策略(源目的端IP地址,源与目的端端口号以及服务) • Edge 具有一个外部IP地址,将端口组置于内部实现保护 • 在VM连接到Internet的时候执行NAT • 可以使用Cisco,Checkpoint或者其他VPN终端设置IPSec VPN实现与远端资源 的安全连接 • 为内部的主机提供负载均衡
11.
11 Confidential 内部安全存在的问题 虚拟机之间的数据流缺乏可见性- 从系统安 全管理员角度看,ESX集群对于虚拟机之间 的流量只有很少的可见性和有限的控制 大量VLAN和网络复杂性-
客户需要分割集群 来创建不同的管辖范围或者应用集合。通过 创建VLAN来组织相似的应用非常复杂。大多 数客户都有混合信任的主机,可能存在依从 性问题。 VLAN 方案
12.
12 Confidential vShield App 保护应用免遭基于网络的威胁 DMZ
PCI HIPAA 功能 Hypervisor级防火墙 • 部署在虚拟网卡级别上的进出连接安全控制 弹性的安全组 - 当虚拟机迁移到新的主机上时的 自动扩展 强大的网络流监控 策略管理 • 简单的基于业务的策略 • 通过UI和REST API进行管理 基于业界标准syslog格式的日志记录和审计
13.
13 Confidential 利用虚拟化技术提供比物理环境更好的安全性 主要优点 • 在同一个ESX集群中设置多个信任域实 现对虚拟机间通信的完全的可见性和控 制 •
利用vCenter的资源目录提供直观的基于 业务的策略 优于物理环境 • 具有无限端口密度的虚拟防火墙 • Hypervisor级别的控制提供对虚拟机间 网络数据流的访问 • 规则配置与拓扑无关并且不基于网络配 置与IP地址 • 内置防火墙以低于物理设备的成本提供 更好的安全性
14.
14 Confidential vShield App
安装和配置 vShield App 安装在每个ESX 主机上 • 控制和监控主机上的所有网络数据,甚至包括没有通过物理网卡的数据包 vShield App 使用直观的策略管理 • vCenter 中的容器- 资源池,vApp,以及虚拟机可以直接用于创建基于业务的策 略 • 支持五元组规则 • 提供基于IP的带状态的防火墙和为包括Oracle,FTP,Sun/Linux/MS RPC等多 种协议提供的应用层网关 用以观察网络活动的网络数据流的监控 • 虚拟机帮助定义和提取虚拟机防火墙策略 • 通过详细的应用程序(应用,会话,字节)数据流报告识别僵尸网络和保护业 务流程
15.
15 Confidential 什么时候选择 vShield
Edge 或者 vShield App 或者两者 vShield Edge • 在每个安全域中都有IP地址重复,因此 需要NAT服务 • 需要安全连接到外部网络(VPN) 比如 合作公司的外联网,云用户的数据中 心网络等 • 需要Web负载均衡服务 • 虚拟机快速启动和关闭的DHCP服务支 持 vShield App • 需要使用任意的逻辑分域或者基于 非网络元素的分组(例如资源池, vApp等) • 基于应用分域 • 需要信任域中的VM之间的防火墙功 能 • 没有重复IP地址的需求 两者 • 需要避免使用VLAN作为网络分割技术 • 需要vShield Edge功能(DHCP, NAT等) ,同时需要域内的防火墙
16.
16 Confidential vShield Endpoint 为终端提供分流反病毒处理 优点 •
通过与反病毒厂商的合作分离杀毒功能提高了性能 • 通过去除反病毒代理提高了虚拟机的性能 • 通过去除敏感的代理和强制实施降低风险 • 通过详细记录反病毒任务满足审计需求 功能 • 去除每个虚拟机中的反病毒代理,将反病毒的功能交给由 反病毒厂商提供的安全VM处理 • 使用虚拟机中的驱动强制实施 • 策略和配置管理:通过UI或者REST API • 日志记录和审计
17.
17 Confidential Agenda 保护虚拟数据中心的传统方式 vShield 产品介绍 •
vShield Edge • vShield App • vShield Endpoint 解决方案实例 • 云环境 • 外联网 • VMware View 桌面分域管理 • 使用View和vShield的PCI标准遵从(PCI Compliance) • 多信任域 – DMZ
18.
18 Confidential Global Ltd.
– 当前的“Air Gapped” 架构 DMZ Extranet PCI Internet View • 专属交换机和负载均衡设备 • 防火墙规则部署在上端分布式 的层面 • 各种应用混合在一起之间没有 安全管理 • 信任域由VLAN或子网进行划 分 • 成本: 大量硬件 • 复杂性: 大量VLAN • 盲区: VM之间的网络数据 • 性能瓶颈
19.
19 Confidential Global Ltd
核心需求 保证安全的信任分域 • 外联网 合作方对Global Ltd应用的访问 限制合作方只能访问指定的应用 • PCI (Payment Card Industry) CDE(Cardholder Data Environment) 分割 零售PoS应用到数据中心的安全连接 • View 桌面 多用户多功能桌面 -内部用户标准的应用访问 -海外开发者开发环境的访问 -风险用户的桌面(网页浏览,FTP等) • DMZ 从内部网络分割 Web负载均衡 • 使用VMware vCloud Director的内部云
20.
20 Confidential 外联网 –
vShield Edge 配置 vShield Edge • 将所有的PCI服务器连接到外联网端口组 • 配置端口组网络隔离以提供二层的网络隔离 • 配置vShield Edge默认拒绝所有访问 • 为到合作方的应用服务器的RDP访问和安全 Web服务访问(HTTPS)设置向内的静态 NAT • 允许合作方IP范围对端口443和3389的访问 • 在合作方和外联网Edge间配置IPSec VPN • 配置vShield App来分割不同合作方的虚拟机 并保持其处在同一个二层/三层广播域 Extranet Apps Internet 合作方
21.
21 Confidential View vShield 启用
– 保护View环境 ExtranetDMZ PCI • 为了性能和存储优化,Global Ltd为View创建一个集群 • 三种类型的资源池- 内部企业 用户,海外开发者,只提供网 页访问的桌面资源池 • vShield App提供安全的View 环境 • View虚拟机间访问被拒绝 • View虚拟机向Internet访问只 开放80端口 • 基于容器的策略简化配置 Site 2 Site IPSec VPNs Internet
22.
22 Confidential 终端保护
vShield App:桌面安全域 vShield Edge: 负载均衡 View Manager服务 器 整合VPN的数据流加密 保护 View 部署 解决方案 - vShield Edge, App, & Endpoint
23.
23 Confidential 建立桌面安全域的基本步骤 View Manager
配置 • 基于用户或功能创建桌面池 比如- 工程师,销售人员,合同员工, 浏览,PCI Pos等 • 设置RBAC将不同资源池的访问限制 在指定的管理员 • 在Active Directory中基于功能或者桌 面池创建的需求设置用户组 • 将Active Directory组分配给对应的不 同桌面池 vCenter 配置 • 为不同的桌面池创建作为容器的 资源池 • 在vCenter中设置 RBAC将不同 资源池的访问限制到指定的授权 vSphere管理员
24.
24 Confidential 建立桌面安全域的基本步骤 vShield App
配置 • 基于桌面池决定用户需要的应用访问规则 • 将默认允许规则改成默认拒绝 • 在集群或者数据中心级别为每个桌面资源池创建规则以允许特定桌面访问必要 的资源 例如 – Src: PCI Desktops, Src Port, Dst: PCI Server, Proto: HTTPS, Dst Port: 443, Action: ALLOW • 在桌面安全域中创建一个规则拒绝所有桌面之间的访问 例如 – Src: Contractors, Src Port: ANY, Dst: Contractor Zone: ANY, Proto: ANY, Port: ANY, Action: DENY
25.
25 Confidential 使用View和vShield的PCI标准遵从(PCI Compliance) Global
Ltd决定将Pos从商店转移到数据中心,并通过Zero Client到View 环境的连接访问 • 创建新的View桌面池来存放PCI的应用 所有的桌面连接到指定的端口组 vShield Edge 提供: -商店到View Manager PCI桌面之间的Site to Site VPN -View Managers的Web负载均衡 -PCI桌面到PCI CDE服务器间的有状态的防火墙 -View环境中的DHCP服务 -端口组网络隔离 vShield App 提供: -PCI桌面池中的PCI桌面间的隔离 -PCI桌面与View环境其他部分的隔离 -CDE服务器间的隔离
26.
26 Confidential 使用View和vShield的PCI标准遵从(PCI Compliance) •
将PoS应用迁移到View环境中 • 因为性能原因,他们删除了 CDE Web服务器上的SSL并 使用vShield Edge设置PCI桌 面和PCI Web服务器间的 IPSec VPN 以满足PCI DSS网 络数据加密的需求 • vShield Edge 从View桌面中 为PCI Web服务器配置负载均 衡 • 为PCI View 域配置vShield App 规则以拒绝View桌面间的 所有通信 • 配置vShield App 规则允许对 PCI Web服务器的80端口的访 问 ViewPCI CDE Internet Site 2 Site IPSec VPN PCI vShield Edge的配置: •Web负载均衡 •NAT •Site to Site VPN •网络隔离 View vShield Edge的配 置: •View Manager 的Web 负载均衡 •NAT •Site to Site VPN •网络隔离 View vShield App配置: •PCI桌面资源域与View 其他部分隔离,并禁止 内部桌面间通信
27.
27 Confidential PCI CDE
– vShield App 配置 PCI CDE 应用服务 器资源池 数据库服 务器资源 池 Web服务器 资源池 • vShield App规则 • 默认拒绝所有域间和来自外部 的流量 • 数据库服务器资源池 • 允许应用服务器对TCP/1433 的访问 • 应用服务器资源池 • 允许Web服务器对5000的访 问 • 拒绝所有应用服务器之间的访 问 • Web服务器资源池 • 允许任何地址对80和443端口 访问 • 拒绝域内的所有访问
28.
28 Confidential vShield 启用
– 在DMZ中负载均衡的Web服务器 DMZ Extranet ViewPCI • Edge 为DMZ中的Web服务器 提供负载均衡 • 为虚拟机提供DHCP服务 • 实施防火墙策略以打开对内的 80端口并关闭所有对外的访问 • 多对一的NAT • vShield为新虚拟机创建时实现 “自动连线”网络提供DHCP 等服务 • 内置针对Web服务器的防火墙 和负载均衡 Internet
29.
29 Confidential Internet vShield 启用–
混合信任环境 DMZ Extranet PCI View • 为DMZ, Extranet和PCI提供一 个混合信任集 • 基于vShield Edge的信任域和 应用 • 使用vShield App的PCI敏感数 据保护 • 使用vShield App将防火墙规则 部署到每个虚拟机层面 • 以低于物理设备的成本提供更 好的安全性 • IT依从性 – 详细日志记录和报 告,流量统计
30.
30 Confidential Global Ltd
– 云计算安全之旅 DMZ Extranet Mixed trust VDI Internet DMZ • Global Ltd IT部门收到来自不同 部门的越来越多的IT资源的按需 请求 • 为了在不影响企业安全策略的前 提下实现快速的业务增长, Global Ltd IT开始使用VCD • VMware vCloud Director 横跨多 个VC并且使IT部门能够快速提供 安全的私有云 • vShield Edge策略可以通过 REST API实现脚本化并且可以与 VCD的模板一起使用 东海岸数据中 心 西海岸数据中 心
31.
31 Confidential Thank You Question
& Answer Session