SlideShare una empresa de Scribd logo

V mware v shield - 部署最安全云环境的基础

ITband
ITband

vForum 2010 BJ Share

Tecnología
1 de 31
1 Confidential VMware vShield – 部署最安全云环境的基础 石磊 软件工程师
2 Confidential Agenda 保护虚拟数据中心的传统方式 vShield 产品介绍 • vShield Edge • vShield App • vShield Endpoint 解决方案实例 • 云环境 • 外联网 • VMware View 桌面分域管理 • 使用View和vShield的PCI标准遵从(PCI Compliance) • 多信任域 – DMZ
3 Confidential 周边安全 内部安全 终端安全 隔离内部服务和应用 • 基于VLAN或者子网的策略 • 内部的或者Web应用防火墙 • DLP, 以应用标识为依据的策略 VLAN 1 VLANs 数据中心需要在不同层次上进行保护 Cost & Complexity At the vDC Edge • Sprawl: hardware, FW rules, VLANs • Rigid FW rules • Performance bottlenecks 将威胁隔绝在系统之外 • 周边安全设备 • 防火墙, VPN, 入侵检测系统 • 负载均衡 终端保护 • 桌面防病毒代理, • 基于主机的入侵检测 • 针对隐私数据的DLP代理
4 Confidential 虚拟数据中心(vDC)的传统的安全解决方案 由于安全的限制,客户无法完全体验到虚拟化的优势 带防火墙的虚拟DMZ APPLICATION ZONE DATABASE ZONEWEB ZONE 终端安全内部安全周边安全 Internet vSpherevSphere vSphere • 专用物理设备实现的物理 隔离 • 缺少内部安全隔离的混合 信任集群 • 配置复杂 – VLAN 大规模部署配置 – 大量的防火墙规则 – 资源无关的不灵活的IP规则 • 私有云(?)
5 Confidential 周边安全 内部安全 终端安全 传统安全方案不再适应于 vDC Cost & Complexity At the vDC Edge • Sprawl: hardware, FW rules, VLANs • Rigid FW rules • Performance bottlenecks 成本和复杂度 vDC 边缘 • 大量的硬件,防火墙规则以及VLAN • 不灵活的防火墙规则 • 性能瓶颈 大量代理,性能 vDC终端 •在VM中安装大量的反病毒代理, 消耗大量资源 • 风险:VM中的反病毒软件没有经过安全加固 VLAN 1 VLAN 复杂度和配置盲区 vDC应用之间 • 大量VLAN和硬件 • 盲区:VM间数据传输 • 性能瓶颈VLAN 2
6 Confidential 2010 – vShield 产品介绍 DMZ Application 1 Application 2 全方位保护私有云: 从周边到终端 Edge vShield Edge 保护虚拟数据中心的 边缘 Security Zone vShield App 和 Zones 为各种应用建立安全分割 Endpoint = VM vShield Endpoint 分流式反病毒处理 Endpoint = VM vShield Manager 集中式管理
7 Confidential 周边安全存在的问题 保护私有云和公有云 - 迁移到私有云 或者公有云中的企业需要扩展与物理 数据中心相似的安全分层 使用VLAN实现隔离 - 使用交换机或 者防火墙建立虚拟系统周边环境十分 复杂和昂贵。混合信任主机会引起一 些依从性问题。 View 桌面用户 – 外部的负载均衡和防 火墙需要与View同时部署,极大提高 了解决方案的成本 传统的分层安全保护 空隙
8 Confidential  一个应用包含多种边缘安全服务 • 有状态的防火墙 • NAT • DHCP • Site to site VPN (IPsec) • Web 负载均衡  Edge提供的端口组隔离  详细的网络流统计  通过UI和REST API进行策略管理  基于业界标准syslog格式的日志记录和审计 vShield Edge 保护虚拟数据中心的边缘 租客 A 租客 X 功能 负载均衡 防火墙 VPN
9 Confidential 利用虚拟化技术提供比物理环境更好的安全性 主要优点 • 降低成本和复杂性 • 为多客户私有云环境快速部署提供安 全服务 优于物理环境 • 为一组虚拟机提供安全的自动连线网 络服务 • 基础设施内嵌安全  VMware Cloud Director  为View提供端到端的安全解决方案 • 安全服务的按需快速提供 – NAT,防 火墙,VPN,负载均衡等 服务提供商 企业 A 企业 B企业 A vShield Edge
10 Confidential vShield Edge 安装和配置 在网络配置页面上安装到每个DVS上的端口组上 基于端口组创建逻辑边界 • 创建一个安全的端口组,Edge相当于安装在这个端口组的边界上 • 此端口组应该由 VLAN 或者 vShield 端口组隔离来实现划分 (解决了大量VLAN 的问题) • Edge 具有两个接口(内部和外部),内部接口与其保护的安全端口组相连,外 部则连接到与外部相连的Uplink 五元组方式设置策略(源目的端IP地址,源与目的端端口号以及服务) • Edge 具有一个外部IP地址,将端口组置于内部实现保护 • 在VM连接到Internet的时候执行NAT • 可以使用Cisco,Checkpoint或者其他VPN终端设置IPSec VPN实现与远端资源 的安全连接 • 为内部的主机提供负载均衡
11 Confidential 内部安全存在的问题 虚拟机之间的数据流缺乏可见性- 从系统安 全管理员角度看,ESX集群对于虚拟机之间 的流量只有很少的可见性和有限的控制 大量VLAN和网络复杂性- 客户需要分割集群 来创建不同的管辖范围或者应用集合。通过 创建VLAN来组织相似的应用非常复杂。大多 数客户都有混合信任的主机,可能存在依从 性问题。 VLAN 方案
12 Confidential vShield App 保护应用免遭基于网络的威胁 DMZ PCI HIPAA 功能  Hypervisor级防火墙 • 部署在虚拟网卡级别上的进出连接安全控制  弹性的安全组 - 当虚拟机迁移到新的主机上时的 自动扩展  强大的网络流监控  策略管理 • 简单的基于业务的策略 • 通过UI和REST API进行管理  基于业界标准syslog格式的日志记录和审计
13 Confidential 利用虚拟化技术提供比物理环境更好的安全性 主要优点 • 在同一个ESX集群中设置多个信任域实 现对虚拟机间通信的完全的可见性和控 制 • 利用vCenter的资源目录提供直观的基于 业务的策略 优于物理环境 • 具有无限端口密度的虚拟防火墙 • Hypervisor级别的控制提供对虚拟机间 网络数据流的访问 • 规则配置与拓扑无关并且不基于网络配 置与IP地址 • 内置防火墙以低于物理设备的成本提供 更好的安全性
14 Confidential vShield App 安装和配置 vShield App 安装在每个ESX 主机上 • 控制和监控主机上的所有网络数据,甚至包括没有通过物理网卡的数据包 vShield App 使用直观的策略管理 • vCenter 中的容器- 资源池,vApp,以及虚拟机可以直接用于创建基于业务的策 略 • 支持五元组规则 • 提供基于IP的带状态的防火墙和为包括Oracle,FTP,Sun/Linux/MS RPC等多 种协议提供的应用层网关 用以观察网络活动的网络数据流的监控 • 虚拟机帮助定义和提取虚拟机防火墙策略 • 通过详细的应用程序(应用,会话,字节)数据流报告识别僵尸网络和保护业 务流程
15 Confidential 什么时候选择 vShield Edge 或者 vShield App 或者两者 vShield Edge • 在每个安全域中都有IP地址重复,因此 需要NAT服务 • 需要安全连接到外部网络(VPN)  比如 合作公司的外联网,云用户的数据中 心网络等 • 需要Web负载均衡服务 • 虚拟机快速启动和关闭的DHCP服务支 持 vShield App • 需要使用任意的逻辑分域或者基于 非网络元素的分组(例如资源池, vApp等) • 基于应用分域 • 需要信任域中的VM之间的防火墙功 能 • 没有重复IP地址的需求  两者 • 需要避免使用VLAN作为网络分割技术 • 需要vShield Edge功能(DHCP, NAT等) ,同时需要域内的防火墙
16 Confidential vShield Endpoint 为终端提供分流反病毒处理 优点 • 通过与反病毒厂商的合作分离杀毒功能提高了性能 • 通过去除反病毒代理提高了虚拟机的性能 • 通过去除敏感的代理和强制实施降低风险 • 通过详细记录反病毒任务满足审计需求 功能 • 去除每个虚拟机中的反病毒代理,将反病毒的功能交给由 反病毒厂商提供的安全VM处理 • 使用虚拟机中的驱动强制实施 • 策略和配置管理:通过UI或者REST API • 日志记录和审计
17 Confidential Agenda 保护虚拟数据中心的传统方式 vShield 产品介绍 • vShield Edge • vShield App • vShield Endpoint 解决方案实例 • 云环境 • 外联网 • VMware View 桌面分域管理 • 使用View和vShield的PCI标准遵从(PCI Compliance) • 多信任域 – DMZ
18 Confidential Global Ltd. – 当前的“Air Gapped” 架构 DMZ Extranet PCI Internet View • 专属交换机和负载均衡设备 • 防火墙规则部署在上端分布式 的层面 • 各种应用混合在一起之间没有 安全管理 • 信任域由VLAN或子网进行划 分 • 成本: 大量硬件 • 复杂性: 大量VLAN • 盲区: VM之间的网络数据 • 性能瓶颈
19 Confidential Global Ltd 核心需求 保证安全的信任分域 • 外联网  合作方对Global Ltd应用的访问  限制合作方只能访问指定的应用 • PCI (Payment Card Industry)  CDE(Cardholder Data Environment) 分割  零售PoS应用到数据中心的安全连接 • View 桌面  多用户多功能桌面 -内部用户标准的应用访问 -海外开发者开发环境的访问 -风险用户的桌面(网页浏览,FTP等) • DMZ  从内部网络分割  Web负载均衡 • 使用VMware vCloud Director的内部云
20 Confidential 外联网 – vShield Edge 配置 vShield Edge • 将所有的PCI服务器连接到外联网端口组 • 配置端口组网络隔离以提供二层的网络隔离 • 配置vShield Edge默认拒绝所有访问 • 为到合作方的应用服务器的RDP访问和安全 Web服务访问(HTTPS)设置向内的静态 NAT • 允许合作方IP范围对端口443和3389的访问 • 在合作方和外联网Edge间配置IPSec VPN • 配置vShield App来分割不同合作方的虚拟机 并保持其处在同一个二层/三层广播域 Extranet Apps Internet 合作方
21 Confidential View vShield 启用 – 保护View环境 ExtranetDMZ PCI • 为了性能和存储优化,Global Ltd为View创建一个集群 • 三种类型的资源池- 内部企业 用户,海外开发者,只提供网 页访问的桌面资源池 • vShield App提供安全的View 环境 • View虚拟机间访问被拒绝 • View虚拟机向Internet访问只 开放80端口 • 基于容器的策略简化配置 Site 2 Site IPSec VPNs Internet
22 Confidential  终端保护  vShield App:桌面安全域  vShield Edge:  负载均衡 View Manager服务 器  整合VPN的数据流加密 保护 View 部署 解决方案 - vShield Edge, App, & Endpoint
23 Confidential 建立桌面安全域的基本步骤 View Manager 配置 • 基于用户或功能创建桌面池  比如- 工程师,销售人员,合同员工, 浏览,PCI Pos等 • 设置RBAC将不同资源池的访问限制 在指定的管理员 • 在Active Directory中基于功能或者桌 面池创建的需求设置用户组 • 将Active Directory组分配给对应的不 同桌面池 vCenter 配置 • 为不同的桌面池创建作为容器的 资源池 • 在vCenter中设置 RBAC将不同 资源池的访问限制到指定的授权 vSphere管理员
24 Confidential 建立桌面安全域的基本步骤 vShield App 配置 • 基于桌面池决定用户需要的应用访问规则 • 将默认允许规则改成默认拒绝 • 在集群或者数据中心级别为每个桌面资源池创建规则以允许特定桌面访问必要 的资源  例如 – Src: PCI Desktops, Src Port, Dst: PCI Server, Proto: HTTPS, Dst Port: 443, Action: ALLOW • 在桌面安全域中创建一个规则拒绝所有桌面之间的访问  例如 – Src: Contractors, Src Port: ANY, Dst: Contractor Zone: ANY, Proto: ANY, Port: ANY, Action: DENY
25 Confidential 使用View和vShield的PCI标准遵从(PCI Compliance) Global Ltd决定将Pos从商店转移到数据中心,并通过Zero Client到View 环境的连接访问 • 创建新的View桌面池来存放PCI的应用  所有的桌面连接到指定的端口组  vShield Edge 提供: -商店到View Manager PCI桌面之间的Site to Site VPN -View Managers的Web负载均衡 -PCI桌面到PCI CDE服务器间的有状态的防火墙 -View环境中的DHCP服务 -端口组网络隔离  vShield App 提供: -PCI桌面池中的PCI桌面间的隔离 -PCI桌面与View环境其他部分的隔离 -CDE服务器间的隔离
26 Confidential 使用View和vShield的PCI标准遵从(PCI Compliance) • 将PoS应用迁移到View环境中 • 因为性能原因,他们删除了 CDE Web服务器上的SSL并 使用vShield Edge设置PCI桌 面和PCI Web服务器间的 IPSec VPN 以满足PCI DSS网 络数据加密的需求 • vShield Edge 从View桌面中 为PCI Web服务器配置负载均 衡 • 为PCI View 域配置vShield App 规则以拒绝View桌面间的 所有通信 • 配置vShield App 规则允许对 PCI Web服务器的80端口的访 问 ViewPCI CDE Internet Site 2 Site IPSec VPN PCI vShield Edge的配置: •Web负载均衡 •NAT •Site to Site VPN •网络隔离 View vShield Edge的配 置: •View Manager 的Web 负载均衡 •NAT •Site to Site VPN •网络隔离 View vShield App配置: •PCI桌面资源域与View 其他部分隔离,并禁止 内部桌面间通信
27 Confidential PCI CDE – vShield App 配置 PCI CDE 应用服务 器资源池 数据库服 务器资源 池 Web服务器 资源池 • vShield App规则 • 默认拒绝所有域间和来自外部 的流量 • 数据库服务器资源池 • 允许应用服务器对TCP/1433 的访问 • 应用服务器资源池 • 允许Web服务器对5000的访 问 • 拒绝所有应用服务器之间的访 问 • Web服务器资源池 • 允许任何地址对80和443端口 访问 • 拒绝域内的所有访问
28 Confidential vShield 启用 – 在DMZ中负载均衡的Web服务器 DMZ Extranet ViewPCI • Edge 为DMZ中的Web服务器 提供负载均衡 • 为虚拟机提供DHCP服务 • 实施防火墙策略以打开对内的 80端口并关闭所有对外的访问 • 多对一的NAT • vShield为新虚拟机创建时实现 “自动连线”网络提供DHCP 等服务 • 内置针对Web服务器的防火墙 和负载均衡 Internet
29 Confidential Internet vShield 启用– 混合信任环境 DMZ Extranet PCI View • 为DMZ, Extranet和PCI提供一 个混合信任集 • 基于vShield Edge的信任域和 应用 • 使用vShield App的PCI敏感数 据保护 • 使用vShield App将防火墙规则 部署到每个虚拟机层面 • 以低于物理设备的成本提供更 好的安全性 • IT依从性 – 详细日志记录和报 告,流量统计
30 Confidential Global Ltd – 云计算安全之旅 DMZ Extranet Mixed trust VDI Internet DMZ • Global Ltd IT部门收到来自不同 部门的越来越多的IT资源的按需 请求 • 为了在不影响企业安全策略的前 提下实现快速的业务增长, Global Ltd IT开始使用VCD • VMware vCloud Director 横跨多 个VC并且使IT部门能够快速提供 安全的私有云 • vShield Edge策略可以通过 REST API实现脚本化并且可以与 VCD的模板一起使用 东海岸数据中 心 西海岸数据中 心
31 Confidential Thank You Question & Answer Session

Recomendados

深入浅出 V cloud director
深入浅出 V cloud director深入浅出 V cloud director
深入浅出 V cloud directorITband
 
中国海运集团的虚拟化数据中心的安全方案建议
中国海运集团的虚拟化数据中心的安全方案建议中国海运集团的虚拟化数据中心的安全方案建议
中国海运集团的虚拟化数据中心的安全方案建议Yunchao (Kevin) Wang
 
弹性计算云安全(Elastic Compute Cloud Security)
弹性计算云安全(Elastic Compute Cloud Security)弹性计算云安全(Elastic Compute Cloud Security)
弹性计算云安全(Elastic Compute Cloud Security)im_yunshu
 
分散It廠商系統依賴
分散It廠商系統依賴分散It廠商系統依賴
分散It廠商系統依賴Nick Lu
 
BAS011_VMware資料中心虛擬化-基礎_v190418
BAS011_VMware資料中心虛擬化-基礎_v190418BAS011_VMware資料中心虛擬化-基礎_v190418
BAS011_VMware資料中心虛擬化-基礎_v190418rwp99346
 
BAS010_虛擬化基礎_v190330
BAS010_虛擬化基礎_v190330BAS010_虛擬化基礎_v190330
BAS010_虛擬化基礎_v190330rwp99346
 
BAS010_虛擬化基礎_v190330 (View online)
BAS010_虛擬化基礎_v190330 (View online)BAS010_虛擬化基礎_v190330 (View online)
BAS010_虛擬化基礎_v190330 (View online)rwp99346
 
应用虚拟存储 缔造关键业务之路
应用虚拟存储 缔造关键业务之路应用虚拟存储 缔造关键业务之路
应用虚拟存储 缔造关键业务之路ITband
 

Recomendados

深入浅出 V cloud director
深入浅出 V cloud director深入浅出 V cloud director
深入浅出 V cloud directorITband
 
中国海运集团的虚拟化数据中心的安全方案建议
中国海运集团的虚拟化数据中心的安全方案建议中国海运集团的虚拟化数据中心的安全方案建议
中国海运集团的虚拟化数据中心的安全方案建议Yunchao (Kevin) Wang
 
弹性计算云安全(Elastic Compute Cloud Security)
弹性计算云安全(Elastic Compute Cloud Security)弹性计算云安全(Elastic Compute Cloud Security)
弹性计算云安全(Elastic Compute Cloud Security)im_yunshu
 
分散It廠商系統依賴
分散It廠商系統依賴分散It廠商系統依賴
分散It廠商系統依賴Nick Lu
 
BAS011_VMware資料中心虛擬化-基礎_v190418
BAS011_VMware資料中心虛擬化-基礎_v190418BAS011_VMware資料中心虛擬化-基礎_v190418
BAS011_VMware資料中心虛擬化-基礎_v190418rwp99346
 
BAS010_虛擬化基礎_v190330
BAS010_虛擬化基礎_v190330BAS010_虛擬化基礎_v190330
BAS010_虛擬化基礎_v190330rwp99346
 
BAS010_虛擬化基礎_v190330 (View online)
BAS010_虛擬化基礎_v190330 (View online)BAS010_虛擬化基礎_v190330 (View online)
BAS010_虛擬化基礎_v190330 (View online)rwp99346
 
应用虚拟存储 缔造关键业务之路
应用虚拟存储 缔造关键业务之路应用虚拟存储 缔造关键业务之路
应用虚拟存储 缔造关键业务之路ITband
 
BAS010_虛擬化基礎_v190325-Draft
BAS010_虛擬化基礎_v190325-DraftBAS010_虛擬化基礎_v190325-Draft
BAS010_虛擬化基礎_v190325-Draftrwp99346
 
运维安全 抵抗黑客攻击_云络安全沙龙4月上海站主题分享
运维安全 抵抗黑客攻击_云络安全沙龙4月上海站主题分享运维安全 抵抗黑客攻击_云络安全沙龙4月上海站主题分享
运维安全 抵抗黑客攻击_云络安全沙龙4月上海站主题分享ChinaNetCloud
 
Taobao casestudy-yufeng-qcon
Taobao casestudy-yufeng-qconTaobao casestudy-yufeng-qcon
Taobao casestudy-yufeng-qconYiwei Ma
 
新浪微博平台与安全架构
新浪微博平台与安全架构新浪微博平台与安全架构
新浪微博平台与安全架构n716
 
Open cdn快速部署你的私有cdn集群
Open cdn快速部署你的私有cdn集群Open cdn快速部署你的私有cdn集群
Open cdn快速部署你的私有cdn集群
 
金融行业的存储备份解决方案
金融行业的存储备份解决方案金融行业的存储备份解决方案
金融行业的存储备份解决方案gb ku
 
V ds深入探究
V ds深入探究V ds深入探究
V ds深入探究ITband
 
分会场八和Net backup一起进入云备份时代
分会场八和Net backup一起进入云备份时代分会场八和Net backup一起进入云备份时代
分会场八和Net backup一起进入云备份时代ITband
 
阿里巴巴运维自动化的探索与规划
阿里巴巴运维自动化的探索与规划阿里巴巴运维自动化的探索与规划
阿里巴巴运维自动化的探索与规划mysqlops
 
02.wls概览
02.wls概览02.wls概览
02.wls概览Meng He
 
Kubernetes device plugins
Kubernetes device pluginsKubernetes device plugins
Kubernetes device pluginsssuser75c76a2
 
Hyper V Final
Hyper V FinalHyper V Final
Hyper V FinaleRay Jiang
 
SWsoft_Prim@Telecom
SWsoft_Prim@TelecomSWsoft_Prim@Telecom
SWsoft_Prim@Telecomwebhostingguy
 
Comboware ComboStack 202105
Comboware ComboStack 202105Comboware ComboStack 202105
Comboware ComboStack 202105Elroy Peng
 
低成本和高性能MySQL云架构探索
低成本和高性能MySQL云架构探索低成本和高性能MySQL云架构探索
低成本和高性能MySQL云架构探索Feng Yu
 
来自Pso的专业服务
来自Pso的专业服务来自Pso的专业服务
来自Pso的专业服务ITband
 
1116 Windows server 2008 - 使用 IIS 7.0 建置安全站台
1116 Windows server 2008 - 使用 IIS 7.0 建置安全站台1116 Windows server 2008 - 使用 IIS 7.0 建置安全站台
1116 Windows server 2008 - 使用 IIS 7.0 建置安全站台Timothy Chen
 
Windows Azure Virtual Machine Services for Developers
Windows Azure Virtual Machine Services for DevelopersWindows Azure Virtual Machine Services for Developers
Windows Azure Virtual Machine Services for DevelopersJeff Chu
 
賽門鐵克 NetBackup 7.5 完整簡報
賽門鐵克 NetBackup 7.5 完整簡報賽門鐵克 NetBackup 7.5 完整簡報
賽門鐵克 NetBackup 7.5 完整簡報Wales Chen
 
分会场六数据中心使用Cfs & vcs 节省it成本
分会场六数据中心使用Cfs & vcs 节省it成本分会场六数据中心使用Cfs & vcs 节省it成本
分会场六数据中心使用Cfs & vcs 节省it成本ITband
 
Christian Resume
Christian ResumeChristian Resume
Christian Resumechristian chavez
 
ygomezresume
ygomezresumeygomezresume
ygomezresumeYajaira Gomez
 

Más contenido relacionado

La actualidad más candente

BAS010_虛擬化基礎_v190325-Draft
BAS010_虛擬化基礎_v190325-DraftBAS010_虛擬化基礎_v190325-Draft
BAS010_虛擬化基礎_v190325-Draftrwp99346
 
运维安全 抵抗黑客攻击_云络安全沙龙4月上海站主题分享
运维安全 抵抗黑客攻击_云络安全沙龙4月上海站主题分享运维安全 抵抗黑客攻击_云络安全沙龙4月上海站主题分享
运维安全 抵抗黑客攻击_云络安全沙龙4月上海站主题分享ChinaNetCloud
 
Taobao casestudy-yufeng-qcon
Taobao casestudy-yufeng-qconTaobao casestudy-yufeng-qcon
Taobao casestudy-yufeng-qconYiwei Ma
 
新浪微博平台与安全架构
新浪微博平台与安全架构新浪微博平台与安全架构
新浪微博平台与安全架构n716
 
Open cdn快速部署你的私有cdn集群
Open cdn快速部署你的私有cdn集群Open cdn快速部署你的私有cdn集群
Open cdn快速部署你的私有cdn集群
 
金融行业的存储备份解决方案
金融行业的存储备份解决方案金融行业的存储备份解决方案
金融行业的存储备份解决方案gb ku
 
V ds深入探究
V ds深入探究V ds深入探究
V ds深入探究ITband
 
分会场八和Net backup一起进入云备份时代
分会场八和Net backup一起进入云备份时代分会场八和Net backup一起进入云备份时代
分会场八和Net backup一起进入云备份时代ITband
 
阿里巴巴运维自动化的探索与规划
阿里巴巴运维自动化的探索与规划阿里巴巴运维自动化的探索与规划
阿里巴巴运维自动化的探索与规划mysqlops
 
02.wls概览
02.wls概览02.wls概览
02.wls概览Meng He
 
Kubernetes device plugins
Kubernetes device pluginsKubernetes device plugins
Kubernetes device pluginsssuser75c76a2
 
Comboware ComboStack 202105
Comboware ComboStack 202105Comboware ComboStack 202105
Comboware ComboStack 202105Elroy Peng
 
低成本和高性能MySQL云架构探索
低成本和高性能MySQL云架构探索低成本和高性能MySQL云架构探索
低成本和高性能MySQL云架构探索Feng Yu
 
来自Pso的专业服务
来自Pso的专业服务来自Pso的专业服务
来自Pso的专业服务ITband
 
1116 Windows server 2008 - 使用 IIS 7.0 建置安全站台
1116 Windows server 2008 - 使用 IIS 7.0 建置安全站台1116 Windows server 2008 - 使用 IIS 7.0 建置安全站台
1116 Windows server 2008 - 使用 IIS 7.0 建置安全站台Timothy Chen
 
Windows Azure Virtual Machine Services for Developers
Windows Azure Virtual Machine Services for DevelopersWindows Azure Virtual Machine Services for Developers
Windows Azure Virtual Machine Services for DevelopersJeff Chu
 
賽門鐵克 NetBackup 7.5 完整簡報
賽門鐵克 NetBackup 7.5 完整簡報賽門鐵克 NetBackup 7.5 完整簡報
賽門鐵克 NetBackup 7.5 完整簡報Wales Chen
 
分会场六数据中心使用Cfs & vcs 节省it成本
分会场六数据中心使用Cfs & vcs 节省it成本分会场六数据中心使用Cfs & vcs 节省it成本
分会场六数据中心使用Cfs & vcs 节省it成本ITband
 

La actualidad más candente (20)

BAS010_虛擬化基礎_v190325-Draft
BAS010_虛擬化基礎_v190325-DraftBAS010_虛擬化基礎_v190325-Draft
BAS010_虛擬化基礎_v190325-Draft
 
运维安全 抵抗黑客攻击_云络安全沙龙4月上海站主题分享
运维安全 抵抗黑客攻击_云络安全沙龙4月上海站主题分享运维安全 抵抗黑客攻击_云络安全沙龙4月上海站主题分享
运维安全 抵抗黑客攻击_云络安全沙龙4月上海站主题分享
 
Taobao casestudy-yufeng-qcon
Taobao casestudy-yufeng-qconTaobao casestudy-yufeng-qcon
Taobao casestudy-yufeng-qcon
 
新浪微博平台与安全架构
新浪微博平台与安全架构新浪微博平台与安全架构
新浪微博平台与安全架构
 
Open cdn快速部署你的私有cdn集群
Open cdn快速部署你的私有cdn集群Open cdn快速部署你的私有cdn集群
Open cdn快速部署你的私有cdn集群
 
金融行业的存储备份解决方案
金融行业的存储备份解决方案金融行业的存储备份解决方案
金融行业的存储备份解决方案
 
V ds深入探究
V ds深入探究V ds深入探究
V ds深入探究
 
分会场八和Net backup一起进入云备份时代
分会场八和Net backup一起进入云备份时代分会场八和Net backup一起进入云备份时代
分会场八和Net backup一起进入云备份时代
 
阿里巴巴运维自动化的探索与规划
阿里巴巴运维自动化的探索与规划阿里巴巴运维自动化的探索与规划
阿里巴巴运维自动化的探索与规划
 
02.wls概览
02.wls概览02.wls概览
02.wls概览
 
Kubernetes device plugins
Kubernetes device pluginsKubernetes device plugins
Kubernetes device plugins
 
Hyper V Final
Hyper V FinalHyper V Final
Hyper V Final
 
SWsoft_Prim@Telecom
SWsoft_Prim@TelecomSWsoft_Prim@Telecom
SWsoft_Prim@Telecom
 
Comboware ComboStack 202105
Comboware ComboStack 202105Comboware ComboStack 202105
Comboware ComboStack 202105
 
低成本和高性能MySQL云架构探索
低成本和高性能MySQL云架构探索低成本和高性能MySQL云架构探索
低成本和高性能MySQL云架构探索
 
来自Pso的专业服务
来自Pso的专业服务来自Pso的专业服务
来自Pso的专业服务
 
1116 Windows server 2008 - 使用 IIS 7.0 建置安全站台
1116 Windows server 2008 - 使用 IIS 7.0 建置安全站台1116 Windows server 2008 - 使用 IIS 7.0 建置安全站台
1116 Windows server 2008 - 使用 IIS 7.0 建置安全站台
 
Windows Azure Virtual Machine Services for Developers
Windows Azure Virtual Machine Services for DevelopersWindows Azure Virtual Machine Services for Developers
Windows Azure Virtual Machine Services for Developers
 
賽門鐵克 NetBackup 7.5 完整簡報
賽門鐵克 NetBackup 7.5 完整簡報賽門鐵克 NetBackup 7.5 完整簡報
賽門鐵克 NetBackup 7.5 完整簡報
 
分会场六数据中心使用Cfs & vcs 节省it成本
分会场六数据中心使用Cfs & vcs 节省it成本分会场六数据中心使用Cfs & vcs 节省it成本
分会场六数据中心使用Cfs & vcs 节省it成本
 

Destacado

Curtis baugh rm_16
Curtis baugh rm_16Curtis baugh rm_16
Curtis baugh rm_16Curtis Baugh
 
IngridZagzebski_MarketingPortfolio
IngridZagzebski_MarketingPortfolioIngridZagzebski_MarketingPortfolio
IngridZagzebski_MarketingPortfolioIngrid Zagzebski
 
Tiffany Administrative Asst IV
Tiffany Administrative Asst IVTiffany Administrative Asst IV
Tiffany Administrative Asst IVTiffany Arango
 
与戴尔携手,实现虚拟时代的高效率
与戴尔携手,实现虚拟时代的高效率与戴尔携手,实现虚拟时代的高效率
与戴尔携手,实现虚拟时代的高效率ITband
 
NASSER INASS RESUME
NASSER INASS RESUMENASSER INASS RESUME
NASSER INASS RESUMEinass nasser
 
虚拟化的下一波浪潮
虚拟化的下一波浪潮虚拟化的下一波浪潮
虚拟化的下一波浪潮ITband
 
HR Case Study-Constructive Relations at Top Trucking Company
HR Case Study-Constructive Relations at Top Trucking CompanyHR Case Study-Constructive Relations at Top Trucking Company
HR Case Study-Constructive Relations at Top Trucking CompanyDavid Thompson
 
Balanace of payment
Balanace of paymentBalanace of payment
Balanace of paymentIsaf Ali
 
Inscrutable layers of knowledge unveiled to optimize the results of your loya...
Inscrutable layers of knowledge unveiled to optimize the results of your loya...Inscrutable layers of knowledge unveiled to optimize the results of your loya...
Inscrutable layers of knowledge unveiled to optimize the results of your loya...Comarch
 
Presentation on warehousing and logistics hub mumbai
Presentation on warehousing and logistics hub mumbaiPresentation on warehousing and logistics hub mumbai
Presentation on warehousing and logistics hub mumbaiTryambakesh Shukla
 
INDIA - economy analysis
INDIA - economy analysisINDIA - economy analysis
INDIA - economy analysisPallav Tyagi
 
Omnichannel experience and typical customer journeys
Omnichannel experience and typical customer journeysOmnichannel experience and typical customer journeys
Omnichannel experience and typical customer journeysComarch
 
Digital Customer Experience Strategy, DocuSign [FutureStack16]
Digital Customer Experience Strategy, DocuSign [FutureStack16]Digital Customer Experience Strategy, DocuSign [FutureStack16]
Digital Customer Experience Strategy, DocuSign [FutureStack16]New Relic
 
Normas de etiqueta en internet
Normas de etiqueta en internetNormas de etiqueta en internet
Normas de etiqueta en internetjalarcon572
 

Destacado (20)

Christian Resume
Christian ResumeChristian Resume
Christian Resume
 
ygomezresume
ygomezresumeygomezresume
ygomezresume
 
jimmyresume
jimmyresumejimmyresume
jimmyresume
 
Curtis baugh rm_16
Curtis baugh rm_16Curtis baugh rm_16
Curtis baugh rm_16
 
IngridZagzebski_MarketingPortfolio
IngridZagzebski_MarketingPortfolioIngridZagzebski_MarketingPortfolio
IngridZagzebski_MarketingPortfolio
 
Tiffany Administrative Asst IV
Tiffany Administrative Asst IVTiffany Administrative Asst IV
Tiffany Administrative Asst IV
 
与戴尔携手,实现虚拟时代的高效率
与戴尔携手,实现虚拟时代的高效率与戴尔携手,实现虚拟时代的高效率
与戴尔携手,实现虚拟时代的高效率
 
NASSER INASS RESUME
NASSER INASS RESUMENASSER INASS RESUME
NASSER INASS RESUME
 
虚拟化的下一波浪潮
虚拟化的下一波浪潮虚拟化的下一波浪潮
虚拟化的下一波浪潮
 
VictoriaStoverResume(1)
VictoriaStoverResume(1)VictoriaStoverResume(1)
VictoriaStoverResume(1)
 
HR Case Study-Constructive Relations at Top Trucking Company
HR Case Study-Constructive Relations at Top Trucking CompanyHR Case Study-Constructive Relations at Top Trucking Company
HR Case Study-Constructive Relations at Top Trucking Company
 
Balanace of payment
Balanace of paymentBalanace of payment
Balanace of payment
 
Inscrutable layers of knowledge unveiled to optimize the results of your loya...
Inscrutable layers of knowledge unveiled to optimize the results of your loya...Inscrutable layers of knowledge unveiled to optimize the results of your loya...
Inscrutable layers of knowledge unveiled to optimize the results of your loya...
 
Presentation on warehousing and logistics hub mumbai
Presentation on warehousing and logistics hub mumbaiPresentation on warehousing and logistics hub mumbai
Presentation on warehousing and logistics hub mumbai
 
3 pl ppt
3 pl ppt3 pl ppt
3 pl ppt
 
INDIA - economy analysis
INDIA - economy analysisINDIA - economy analysis
INDIA - economy analysis
 
Omnichannel experience and typical customer journeys
Omnichannel experience and typical customer journeysOmnichannel experience and typical customer journeys
Omnichannel experience and typical customer journeys
 
Digital Customer Experience Strategy, DocuSign [FutureStack16]
Digital Customer Experience Strategy, DocuSign [FutureStack16]Digital Customer Experience Strategy, DocuSign [FutureStack16]
Digital Customer Experience Strategy, DocuSign [FutureStack16]
 
Normas de etiqueta en internet
Normas de etiqueta en internetNormas de etiqueta en internet
Normas de etiqueta en internet
 
Tosin Fasidi
Tosin FasidiTosin Fasidi
Tosin Fasidi
 

Similar a V mware v shield - 部署最安全云环境的基础

Accelerate Database as a Service(DBaaS) in Cloud era
Accelerate Database as a Service(DBaaS) in Cloud eraAccelerate Database as a Service(DBaaS) in Cloud era
Accelerate Database as a Service(DBaaS) in Cloud eraJunchi Zhang
 
有道云笔记架构简介
有道云笔记架构简介有道云笔记架构简介
有道云笔记架构简介drewz lin
 
腾讯 马志强 虚拟化环境下 网络 朋务器 平台的协作经验
腾讯 马志强 虚拟化环境下 网络 朋务器 平台的协作经验腾讯 马志强 虚拟化环境下 网络 朋务器 平台的协作经验
腾讯 马志强 虚拟化环境下 网络 朋务器 平台的协作经验colderboy17
 
腾讯 马志强 虚拟化环境下 网络 朋务器 平台的协作经验
腾讯 马志强 虚拟化环境下 网络 朋务器 平台的协作经验腾讯 马志强 虚拟化环境下 网络 朋务器 平台的协作经验
腾讯 马志强 虚拟化环境下 网络 朋务器 平台的协作经验guiyingshenxia
 
雲端環境的快取策略-Global Azure Bootcamp 2015 臺北場
雲端環境的快取策略-Global Azure Bootcamp 2015 臺北場雲端環境的快取策略-Global Azure Bootcamp 2015 臺北場
雲端環境的快取策略-Global Azure Bootcamp 2015 臺北場twMVC
 
Teched 2012 60分钟构建私有云
Teched 2012 60分钟构建私有云Teched 2012 60分钟构建私有云
Teched 2012 60分钟构建私有云Cheng Zhang
 
全新 Windows Server 2019 容器技術 及邁向與 Kubernetes 整合之路 (Windows Server 高峰會)
全新 Windows Server 2019 容器技術 及邁向與 Kubernetes 整合之路 (Windows Server 高峰會)全新 Windows Server 2019 容器技術 及邁向與 Kubernetes 整合之路 (Windows Server 高峰會)
全新 Windows Server 2019 容器技術 及邁向與 Kubernetes 整合之路 (Windows Server 高峰會)Will Huang
 
安全云平台的探索实践
安全云平台的探索实践安全云平台的探索实践
安全云平台的探索实践Hardway Hou
 
从Docker到容器服务
从Docker到容器服务从Docker到容器服务
从Docker到容器服务Li Yi
 
从林书豪到全明星 - 虎扑网技术架构如何化解流量高峰
从林书豪到全明星 - 虎扑网技术架构如何化解流量高峰从林书豪到全明星 - 虎扑网技术架构如何化解流量高峰
从林书豪到全明星 - 虎扑网技术架构如何化解流量高峰Scourgen Hong
 
今日如何建立一个安全的私有云
今日如何建立一个安全的私有云今日如何建立一个安全的私有云
今日如何建立一个安全的私有云ITband
 
分会场四服务器安全防护的意义与价值
分会场四服务器安全防护的意义与价值分会场四服务器安全防护的意义与价值
分会场四服务器安全防护的意义与价值ITband
 
阿里云CDN技术演进之路
阿里云CDN技术演进之路阿里云CDN技术演进之路
阿里云CDN技术演进之路Joshua Zhu
 
云计算与开源 刘黎明 世纪互联
云计算与开源 刘黎明 世纪互联云计算与开源 刘黎明 世纪互联
云计算与开源 刘黎明 世纪互联Liming Liu
 
Windows 與 Azure 的容器旅程 @ Ignite Mini 2016
Windows 與 Azure 的容器旅程 @ Ignite Mini 2016Windows 與 Azure 的容器旅程 @ Ignite Mini 2016
Windows 與 Azure 的容器旅程 @ Ignite Mini 2016Jeff Chu
 
以业务为中心的云自动化 V mware-v-realize-automation-7
以业务为中心的云自动化 V mware-v-realize-automation-7以业务为中心的云自动化 V mware-v-realize-automation-7
以业务为中心的云自动化 V mware-v-realize-automation-7Frank Chang
 
阿里巴巴 肖劲青 阿里巴巴运维自动化的探索与规划
阿里巴巴 肖劲青 阿里巴巴运维自动化的探索与规划阿里巴巴 肖劲青 阿里巴巴运维自动化的探索与规划
阿里巴巴 肖劲青 阿里巴巴运维自动化的探索与规划colderboy17
 
Bypat博客出品-服务器运维集群方法总结3
Bypat博客出品-服务器运维集群方法总结3Bypat博客出品-服务器运维集群方法总结3
Bypat博客出品-服务器运维集群方法总结3redhat9
 
02.wls集群
02.wls集群02.wls集群
02.wls集群Meng He
 

Similar a V mware v shield - 部署最安全云环境的基础 (20)

Accelerate Database as a Service(DBaaS) in Cloud era
Accelerate Database as a Service(DBaaS) in Cloud eraAccelerate Database as a Service(DBaaS) in Cloud era
Accelerate Database as a Service(DBaaS) in Cloud era
 
有道云笔记架构简介
有道云笔记架构简介有道云笔记架构简介
有道云笔记架构简介
 
腾讯 马志强 虚拟化环境下 网络 朋务器 平台的协作经验
腾讯 马志强 虚拟化环境下 网络 朋务器 平台的协作经验腾讯 马志强 虚拟化环境下 网络 朋务器 平台的协作经验
腾讯 马志强 虚拟化环境下 网络 朋务器 平台的协作经验
 
腾讯 马志强 虚拟化环境下 网络 朋务器 平台的协作经验
腾讯 马志强 虚拟化环境下 网络 朋务器 平台的协作经验腾讯 马志强 虚拟化环境下 网络 朋务器 平台的协作经验
腾讯 马志强 虚拟化环境下 网络 朋务器 平台的协作经验
 
雲端環境的快取策略-Global Azure Bootcamp 2015 臺北場
雲端環境的快取策略-Global Azure Bootcamp 2015 臺北場雲端環境的快取策略-Global Azure Bootcamp 2015 臺北場
雲端環境的快取策略-Global Azure Bootcamp 2015 臺北場
 
Teched 2012 60分钟构建私有云
Teched 2012 60分钟构建私有云Teched 2012 60分钟构建私有云
Teched 2012 60分钟构建私有云
 
全新 Windows Server 2019 容器技術 及邁向與 Kubernetes 整合之路 (Windows Server 高峰會)
全新 Windows Server 2019 容器技術 及邁向與 Kubernetes 整合之路 (Windows Server 高峰會)全新 Windows Server 2019 容器技術 及邁向與 Kubernetes 整合之路 (Windows Server 高峰會)
全新 Windows Server 2019 容器技術 及邁向與 Kubernetes 整合之路 (Windows Server 高峰會)
 
安全云平台的探索实践
安全云平台的探索实践安全云平台的探索实践
安全云平台的探索实践
 
从Docker到容器服务
从Docker到容器服务从Docker到容器服务
从Docker到容器服务
 
从林书豪到全明星 - 虎扑网技术架构如何化解流量高峰
从林书豪到全明星 - 虎扑网技术架构如何化解流量高峰从林书豪到全明星 - 虎扑网技术架构如何化解流量高峰
从林书豪到全明星 - 虎扑网技术架构如何化解流量高峰
 
今日如何建立一个安全的私有云
今日如何建立一个安全的私有云今日如何建立一个安全的私有云
今日如何建立一个安全的私有云
 
分会场四服务器安全防护的意义与价值
分会场四服务器安全防护的意义与价值分会场四服务器安全防护的意义与价值
分会场四服务器安全防护的意义与价值
 
阿里云CDN技术演进之路
阿里云CDN技术演进之路阿里云CDN技术演进之路
阿里云CDN技术演进之路
 
云计算与开源 刘黎明 世纪互联
云计算与开源 刘黎明 世纪互联云计算与开源 刘黎明 世纪互联
云计算与开源 刘黎明 世纪互联
 
Windows 與 Azure 的容器旅程 @ Ignite Mini 2016
Windows 與 Azure 的容器旅程 @ Ignite Mini 2016Windows 與 Azure 的容器旅程 @ Ignite Mini 2016
Windows 與 Azure 的容器旅程 @ Ignite Mini 2016
 
以业务为中心的云自动化 V mware-v-realize-automation-7
以业务为中心的云自动化 V mware-v-realize-automation-7以业务为中心的云自动化 V mware-v-realize-automation-7
以业务为中心的云自动化 V mware-v-realize-automation-7
 
阿里巴巴 肖劲青 阿里巴巴运维自动化的探索与规划
阿里巴巴 肖劲青 阿里巴巴运维自动化的探索与规划阿里巴巴 肖劲青 阿里巴巴运维自动化的探索与规划
阿里巴巴 肖劲青 阿里巴巴运维自动化的探索与规划
 
Bypat博客出品-服务器运维集群方法总结3
Bypat博客出品-服务器运维集群方法总结3Bypat博客出品-服务器运维集群方法总结3
Bypat博客出品-服务器运维集群方法总结3
 
Ovirt deep dive
Ovirt deep diveOvirt deep dive
Ovirt deep dive
 
02.wls集群
02.wls集群02.wls集群
02.wls集群
 

Más de ITband

It运维管理10大痛点
It运维管理10大痛点It运维管理10大痛点
It运维管理10大痛点ITband
 
Citrix虚拟化方案
Citrix虚拟化方案Citrix虚拟化方案
Citrix虚拟化方案ITband
 
利用统一存储获得无与伦比的速度,简化系统,并节省更多
利用统一存储获得无与伦比的速度,简化系统,并节省更多利用统一存储获得无与伦比的速度,简化系统,并节省更多
利用统一存储获得无与伦比的速度,简化系统,并节省更多ITband
 
Oracle 存储释放数据库价值
Oracle 存储释放数据库价值Oracle 存储释放数据库价值
Oracle 存储释放数据库价值ITband
 
适应业务需求的甲骨文存储解决方案及产品演示
适应业务需求的甲骨文存储解决方案及产品演示适应业务需求的甲骨文存储解决方案及产品演示
适应业务需求的甲骨文存储解决方案及产品演示ITband
 
1 opening-jeff-storagesummit-347340-zhs
1 opening-jeff-storagesummit-347340-zhs1 opening-jeff-storagesummit-347340-zhs
1 opening-jeff-storagesummit-347340-zhsITband
 
滕达斐
滕达斐滕达斐
滕达斐ITband
 
滕达斐
滕达斐滕达斐
滕达斐ITband
 
5 hanhui-e xperience show data final cv
5 hanhui-e xperience show data final cv5 hanhui-e xperience show data final cv
5 hanhui-e xperience show data final cvITband
 
4 zhang jinghui-experience show contact center
4 zhang jinghui-experience show contact center4 zhang jinghui-experience show contact center
4 zhang jinghui-experience show contact centerITband
 
3 junhua-experience show unified communication
3 junhua-experience show unified communication3 junhua-experience show unified communication
3 junhua-experience show unified communicationITband
 
2 li nong-experience show keynote-li nong-v1
2 li nong-experience show keynote-li nong-v12 li nong-experience show keynote-li nong-v1
2 li nong-experience show keynote-li nong-v1ITband
 
1 john wang-experience show exec intro
1 john wang-experience show exec intro1 john wang-experience show exec intro
1 john wang-experience show exec introITband
 
6 wang xiusheng - experience show ip office
6 wang xiusheng - experience show ip office6 wang xiusheng - experience show ip office
6 wang xiusheng - experience show ip officeITband
 
分会场九Altiris终端管理套件和服务器管理套件现在及远景
分会场九Altiris终端管理套件和服务器管理套件现在及远景分会场九Altiris终端管理套件和服务器管理套件现在及远景
分会场九Altiris终端管理套件和服务器管理套件现在及远景ITband
 
分会场九Windows 7迁移最佳实践
分会场九Windows 7迁移最佳实践分会场九Windows 7迁移最佳实践
分会场九Windows 7迁移最佳实践ITband
 
分会场八Application ha和virtualstore推动关键业务虚拟化
分会场八Application ha和virtualstore推动关键业务虚拟化分会场八Application ha和virtualstore推动关键业务虚拟化
分会场八Application ha和virtualstore推动关键业务虚拟化ITband
 
分会场八云及虚拟环境安全防护
分会场八云及虚拟环境安全防护分会场八云及虚拟环境安全防护
分会场八云及虚拟环境安全防护ITband
 
分会场六用Storage foundation简化操作系统和存储系统的迁移
分会场六用Storage foundation简化操作系统和存储系统的迁移分会场六用Storage foundation简化操作系统和存储系统的迁移
分会场六用Storage foundation简化操作系统和存储系统的迁移ITband
 
分会场五Enterprise vault新特性
分会场五Enterprise vault新特性分会场五Enterprise vault新特性
分会场五Enterprise vault新特性ITband
 

Más de ITband (20)

It运维管理10大痛点
It运维管理10大痛点It运维管理10大痛点
It运维管理10大痛点
 
Citrix虚拟化方案
Citrix虚拟化方案Citrix虚拟化方案
Citrix虚拟化方案
 
利用统一存储获得无与伦比的速度,简化系统,并节省更多
利用统一存储获得无与伦比的速度,简化系统,并节省更多利用统一存储获得无与伦比的速度,简化系统,并节省更多
利用统一存储获得无与伦比的速度,简化系统,并节省更多
 
Oracle 存储释放数据库价值
Oracle 存储释放数据库价值Oracle 存储释放数据库价值
Oracle 存储释放数据库价值
 
适应业务需求的甲骨文存储解决方案及产品演示
适应业务需求的甲骨文存储解决方案及产品演示适应业务需求的甲骨文存储解决方案及产品演示
适应业务需求的甲骨文存储解决方案及产品演示
 
1 opening-jeff-storagesummit-347340-zhs
1 opening-jeff-storagesummit-347340-zhs1 opening-jeff-storagesummit-347340-zhs
1 opening-jeff-storagesummit-347340-zhs
 
滕达斐
滕达斐滕达斐
滕达斐
 
滕达斐
滕达斐滕达斐
滕达斐
 
5 hanhui-e xperience show data final cv
5 hanhui-e xperience show data final cv5 hanhui-e xperience show data final cv
5 hanhui-e xperience show data final cv
 
4 zhang jinghui-experience show contact center
4 zhang jinghui-experience show contact center4 zhang jinghui-experience show contact center
4 zhang jinghui-experience show contact center
 
3 junhua-experience show unified communication
3 junhua-experience show unified communication3 junhua-experience show unified communication
3 junhua-experience show unified communication
 
2 li nong-experience show keynote-li nong-v1
2 li nong-experience show keynote-li nong-v12 li nong-experience show keynote-li nong-v1
2 li nong-experience show keynote-li nong-v1
 
1 john wang-experience show exec intro
1 john wang-experience show exec intro1 john wang-experience show exec intro
1 john wang-experience show exec intro
 
6 wang xiusheng - experience show ip office
6 wang xiusheng - experience show ip office6 wang xiusheng - experience show ip office
6 wang xiusheng - experience show ip office
 
分会场九Altiris终端管理套件和服务器管理套件现在及远景
分会场九Altiris终端管理套件和服务器管理套件现在及远景分会场九Altiris终端管理套件和服务器管理套件现在及远景
分会场九Altiris终端管理套件和服务器管理套件现在及远景
 
分会场九Windows 7迁移最佳实践
分会场九Windows 7迁移最佳实践分会场九Windows 7迁移最佳实践
分会场九Windows 7迁移最佳实践
 
分会场八Application ha和virtualstore推动关键业务虚拟化
分会场八Application ha和virtualstore推动关键业务虚拟化分会场八Application ha和virtualstore推动关键业务虚拟化
分会场八Application ha和virtualstore推动关键业务虚拟化
 
分会场八云及虚拟环境安全防护
分会场八云及虚拟环境安全防护分会场八云及虚拟环境安全防护
分会场八云及虚拟环境安全防护
 
分会场六用Storage foundation简化操作系统和存储系统的迁移
分会场六用Storage foundation简化操作系统和存储系统的迁移分会场六用Storage foundation简化操作系统和存储系统的迁移
分会场六用Storage foundation简化操作系统和存储系统的迁移
 
分会场五Enterprise vault新特性
分会场五Enterprise vault新特性分会场五Enterprise vault新特性
分会场五Enterprise vault新特性
 

V mware v shield - 部署最安全云环境的基础

  • 1. 1 Confidential VMware vShield – 部署最安全云环境的基础 石磊 软件工程师
  • 2. 2 Confidential Agenda 保护虚拟数据中心的传统方式 vShield 产品介绍 • vShield Edge • vShield App • vShield Endpoint 解决方案实例 • 云环境 • 外联网 • VMware View 桌面分域管理 • 使用View和vShield的PCI标准遵从(PCI Compliance) • 多信任域 – DMZ
  • 3. 3 Confidential 周边安全 内部安全 终端安全 隔离内部服务和应用 • 基于VLAN或者子网的策略 • 内部的或者Web应用防火墙 • DLP, 以应用标识为依据的策略 VLAN 1 VLANs 数据中心需要在不同层次上进行保护 Cost & Complexity At the vDC Edge • Sprawl: hardware, FW rules, VLANs • Rigid FW rules • Performance bottlenecks 将威胁隔绝在系统之外 • 周边安全设备 • 防火墙, VPN, 入侵检测系统 • 负载均衡 终端保护 • 桌面防病毒代理, • 基于主机的入侵检测 • 针对隐私数据的DLP代理
  • 4. 4 Confidential 虚拟数据中心(vDC)的传统的安全解决方案 由于安全的限制,客户无法完全体验到虚拟化的优势 带防火墙的虚拟DMZ APPLICATION ZONE DATABASE ZONEWEB ZONE 终端安全内部安全周边安全 Internet vSpherevSphere vSphere • 专用物理设备实现的物理 隔离 • 缺少内部安全隔离的混合 信任集群 • 配置复杂 – VLAN 大规模部署配置 – 大量的防火墙规则 – 资源无关的不灵活的IP规则 • 私有云(?)
  • 5. 5 Confidential 周边安全 内部安全 终端安全 传统安全方案不再适应于 vDC Cost & Complexity At the vDC Edge • Sprawl: hardware, FW rules, VLANs • Rigid FW rules • Performance bottlenecks 成本和复杂度 vDC 边缘 • 大量的硬件,防火墙规则以及VLAN • 不灵活的防火墙规则 • 性能瓶颈 大量代理,性能 vDC终端 •在VM中安装大量的反病毒代理, 消耗大量资源 • 风险:VM中的反病毒软件没有经过安全加固 VLAN 1 VLAN 复杂度和配置盲区 vDC应用之间 • 大量VLAN和硬件 • 盲区:VM间数据传输 • 性能瓶颈VLAN 2
  • 6. 6 Confidential 2010 – vShield 产品介绍 DMZ Application 1 Application 2 全方位保护私有云: 从周边到终端 Edge vShield Edge 保护虚拟数据中心的 边缘 Security Zone vShield App 和 Zones 为各种应用建立安全分割 Endpoint = VM vShield Endpoint 分流式反病毒处理 Endpoint = VM vShield Manager 集中式管理
  • 7. 7 Confidential 周边安全存在的问题 保护私有云和公有云 - 迁移到私有云 或者公有云中的企业需要扩展与物理 数据中心相似的安全分层 使用VLAN实现隔离 - 使用交换机或 者防火墙建立虚拟系统周边环境十分 复杂和昂贵。混合信任主机会引起一 些依从性问题。 View 桌面用户 – 外部的负载均衡和防 火墙需要与View同时部署,极大提高 了解决方案的成本 传统的分层安全保护 空隙
  • 8. 8 Confidential  一个应用包含多种边缘安全服务 • 有状态的防火墙 • NAT • DHCP • Site to site VPN (IPsec) • Web 负载均衡  Edge提供的端口组隔离  详细的网络流统计  通过UI和REST API进行策略管理  基于业界标准syslog格式的日志记录和审计 vShield Edge 保护虚拟数据中心的边缘 租客 A 租客 X 功能 负载均衡 防火墙 VPN
  • 9. 9 Confidential 利用虚拟化技术提供比物理环境更好的安全性 主要优点 • 降低成本和复杂性 • 为多客户私有云环境快速部署提供安 全服务 优于物理环境 • 为一组虚拟机提供安全的自动连线网 络服务 • 基础设施内嵌安全  VMware Cloud Director  为View提供端到端的安全解决方案 • 安全服务的按需快速提供 – NAT,防 火墙,VPN,负载均衡等 服务提供商 企业 A 企业 B企业 A vShield Edge
  • 10. 10 Confidential vShield Edge 安装和配置 在网络配置页面上安装到每个DVS上的端口组上 基于端口组创建逻辑边界 • 创建一个安全的端口组,Edge相当于安装在这个端口组的边界上 • 此端口组应该由 VLAN 或者 vShield 端口组隔离来实现划分 (解决了大量VLAN 的问题) • Edge 具有两个接口(内部和外部),内部接口与其保护的安全端口组相连,外 部则连接到与外部相连的Uplink 五元组方式设置策略(源目的端IP地址,源与目的端端口号以及服务) • Edge 具有一个外部IP地址,将端口组置于内部实现保护 • 在VM连接到Internet的时候执行NAT • 可以使用Cisco,Checkpoint或者其他VPN终端设置IPSec VPN实现与远端资源 的安全连接 • 为内部的主机提供负载均衡
  • 11. 11 Confidential 内部安全存在的问题 虚拟机之间的数据流缺乏可见性- 从系统安 全管理员角度看,ESX集群对于虚拟机之间 的流量只有很少的可见性和有限的控制 大量VLAN和网络复杂性- 客户需要分割集群 来创建不同的管辖范围或者应用集合。通过 创建VLAN来组织相似的应用非常复杂。大多 数客户都有混合信任的主机,可能存在依从 性问题。 VLAN 方案
  • 12. 12 Confidential vShield App 保护应用免遭基于网络的威胁 DMZ PCI HIPAA 功能  Hypervisor级防火墙 • 部署在虚拟网卡级别上的进出连接安全控制  弹性的安全组 - 当虚拟机迁移到新的主机上时的 自动扩展  强大的网络流监控  策略管理 • 简单的基于业务的策略 • 通过UI和REST API进行管理  基于业界标准syslog格式的日志记录和审计
  • 13. 13 Confidential 利用虚拟化技术提供比物理环境更好的安全性 主要优点 • 在同一个ESX集群中设置多个信任域实 现对虚拟机间通信的完全的可见性和控 制 • 利用vCenter的资源目录提供直观的基于 业务的策略 优于物理环境 • 具有无限端口密度的虚拟防火墙 • Hypervisor级别的控制提供对虚拟机间 网络数据流的访问 • 规则配置与拓扑无关并且不基于网络配 置与IP地址 • 内置防火墙以低于物理设备的成本提供 更好的安全性
  • 14. 14 Confidential vShield App 安装和配置 vShield App 安装在每个ESX 主机上 • 控制和监控主机上的所有网络数据,甚至包括没有通过物理网卡的数据包 vShield App 使用直观的策略管理 • vCenter 中的容器- 资源池,vApp,以及虚拟机可以直接用于创建基于业务的策 略 • 支持五元组规则 • 提供基于IP的带状态的防火墙和为包括Oracle,FTP,Sun/Linux/MS RPC等多 种协议提供的应用层网关 用以观察网络活动的网络数据流的监控 • 虚拟机帮助定义和提取虚拟机防火墙策略 • 通过详细的应用程序(应用,会话,字节)数据流报告识别僵尸网络和保护业 务流程
  • 15. 15 Confidential 什么时候选择 vShield Edge 或者 vShield App 或者两者 vShield Edge • 在每个安全域中都有IP地址重复,因此 需要NAT服务 • 需要安全连接到外部网络(VPN)  比如 合作公司的外联网,云用户的数据中 心网络等 • 需要Web负载均衡服务 • 虚拟机快速启动和关闭的DHCP服务支 持 vShield App • 需要使用任意的逻辑分域或者基于 非网络元素的分组(例如资源池, vApp等) • 基于应用分域 • 需要信任域中的VM之间的防火墙功 能 • 没有重复IP地址的需求  两者 • 需要避免使用VLAN作为网络分割技术 • 需要vShield Edge功能(DHCP, NAT等) ,同时需要域内的防火墙
  • 16. 16 Confidential vShield Endpoint 为终端提供分流反病毒处理 优点 • 通过与反病毒厂商的合作分离杀毒功能提高了性能 • 通过去除反病毒代理提高了虚拟机的性能 • 通过去除敏感的代理和强制实施降低风险 • 通过详细记录反病毒任务满足审计需求 功能 • 去除每个虚拟机中的反病毒代理,将反病毒的功能交给由 反病毒厂商提供的安全VM处理 • 使用虚拟机中的驱动强制实施 • 策略和配置管理:通过UI或者REST API • 日志记录和审计
  • 17. 17 Confidential Agenda 保护虚拟数据中心的传统方式 vShield 产品介绍 • vShield Edge • vShield App • vShield Endpoint 解决方案实例 • 云环境 • 外联网 • VMware View 桌面分域管理 • 使用View和vShield的PCI标准遵从(PCI Compliance) • 多信任域 – DMZ
  • 18. 18 Confidential Global Ltd. – 当前的“Air Gapped” 架构 DMZ Extranet PCI Internet View • 专属交换机和负载均衡设备 • 防火墙规则部署在上端分布式 的层面 • 各种应用混合在一起之间没有 安全管理 • 信任域由VLAN或子网进行划 分 • 成本: 大量硬件 • 复杂性: 大量VLAN • 盲区: VM之间的网络数据 • 性能瓶颈
  • 19. 19 Confidential Global Ltd 核心需求 保证安全的信任分域 • 外联网  合作方对Global Ltd应用的访问  限制合作方只能访问指定的应用 • PCI (Payment Card Industry)  CDE(Cardholder Data Environment) 分割  零售PoS应用到数据中心的安全连接 • View 桌面  多用户多功能桌面 -内部用户标准的应用访问 -海外开发者开发环境的访问 -风险用户的桌面(网页浏览,FTP等) • DMZ  从内部网络分割  Web负载均衡 • 使用VMware vCloud Director的内部云
  • 20. 20 Confidential 外联网 – vShield Edge 配置 vShield Edge • 将所有的PCI服务器连接到外联网端口组 • 配置端口组网络隔离以提供二层的网络隔离 • 配置vShield Edge默认拒绝所有访问 • 为到合作方的应用服务器的RDP访问和安全 Web服务访问(HTTPS)设置向内的静态 NAT • 允许合作方IP范围对端口443和3389的访问 • 在合作方和外联网Edge间配置IPSec VPN • 配置vShield App来分割不同合作方的虚拟机 并保持其处在同一个二层/三层广播域 Extranet Apps Internet 合作方
  • 21. 21 Confidential View vShield 启用 – 保护View环境 ExtranetDMZ PCI • 为了性能和存储优化,Global Ltd为View创建一个集群 • 三种类型的资源池- 内部企业 用户,海外开发者,只提供网 页访问的桌面资源池 • vShield App提供安全的View 环境 • View虚拟机间访问被拒绝 • View虚拟机向Internet访问只 开放80端口 • 基于容器的策略简化配置 Site 2 Site IPSec VPNs Internet
  • 22. 22 Confidential  终端保护  vShield App:桌面安全域  vShield Edge:  负载均衡 View Manager服务 器  整合VPN的数据流加密 保护 View 部署 解决方案 - vShield Edge, App, & Endpoint
  • 23. 23 Confidential 建立桌面安全域的基本步骤 View Manager 配置 • 基于用户或功能创建桌面池  比如- 工程师,销售人员,合同员工, 浏览,PCI Pos等 • 设置RBAC将不同资源池的访问限制 在指定的管理员 • 在Active Directory中基于功能或者桌 面池创建的需求设置用户组 • 将Active Directory组分配给对应的不 同桌面池 vCenter 配置 • 为不同的桌面池创建作为容器的 资源池 • 在vCenter中设置 RBAC将不同 资源池的访问限制到指定的授权 vSphere管理员
  • 24. 24 Confidential 建立桌面安全域的基本步骤 vShield App 配置 • 基于桌面池决定用户需要的应用访问规则 • 将默认允许规则改成默认拒绝 • 在集群或者数据中心级别为每个桌面资源池创建规则以允许特定桌面访问必要 的资源  例如 – Src: PCI Desktops, Src Port, Dst: PCI Server, Proto: HTTPS, Dst Port: 443, Action: ALLOW • 在桌面安全域中创建一个规则拒绝所有桌面之间的访问  例如 – Src: Contractors, Src Port: ANY, Dst: Contractor Zone: ANY, Proto: ANY, Port: ANY, Action: DENY
  • 25. 25 Confidential 使用View和vShield的PCI标准遵从(PCI Compliance) Global Ltd决定将Pos从商店转移到数据中心,并通过Zero Client到View 环境的连接访问 • 创建新的View桌面池来存放PCI的应用  所有的桌面连接到指定的端口组  vShield Edge 提供: -商店到View Manager PCI桌面之间的Site to Site VPN -View Managers的Web负载均衡 -PCI桌面到PCI CDE服务器间的有状态的防火墙 -View环境中的DHCP服务 -端口组网络隔离  vShield App 提供: -PCI桌面池中的PCI桌面间的隔离 -PCI桌面与View环境其他部分的隔离 -CDE服务器间的隔离
  • 26. 26 Confidential 使用View和vShield的PCI标准遵从(PCI Compliance) • 将PoS应用迁移到View环境中 • 因为性能原因,他们删除了 CDE Web服务器上的SSL并 使用vShield Edge设置PCI桌 面和PCI Web服务器间的 IPSec VPN 以满足PCI DSS网 络数据加密的需求 • vShield Edge 从View桌面中 为PCI Web服务器配置负载均 衡 • 为PCI View 域配置vShield App 规则以拒绝View桌面间的 所有通信 • 配置vShield App 规则允许对 PCI Web服务器的80端口的访 问 ViewPCI CDE Internet Site 2 Site IPSec VPN PCI vShield Edge的配置: •Web负载均衡 •NAT •Site to Site VPN •网络隔离 View vShield Edge的配 置: •View Manager 的Web 负载均衡 •NAT •Site to Site VPN •网络隔离 View vShield App配置: •PCI桌面资源域与View 其他部分隔离,并禁止 内部桌面间通信
  • 27. 27 Confidential PCI CDE – vShield App 配置 PCI CDE 应用服务 器资源池 数据库服 务器资源 池 Web服务器 资源池 • vShield App规则 • 默认拒绝所有域间和来自外部 的流量 • 数据库服务器资源池 • 允许应用服务器对TCP/1433 的访问 • 应用服务器资源池 • 允许Web服务器对5000的访 问 • 拒绝所有应用服务器之间的访 问 • Web服务器资源池 • 允许任何地址对80和443端口 访问 • 拒绝域内的所有访问
  • 28. 28 Confidential vShield 启用 – 在DMZ中负载均衡的Web服务器 DMZ Extranet ViewPCI • Edge 为DMZ中的Web服务器 提供负载均衡 • 为虚拟机提供DHCP服务 • 实施防火墙策略以打开对内的 80端口并关闭所有对外的访问 • 多对一的NAT • vShield为新虚拟机创建时实现 “自动连线”网络提供DHCP 等服务 • 内置针对Web服务器的防火墙 和负载均衡 Internet
  • 29. 29 Confidential Internet vShield 启用– 混合信任环境 DMZ Extranet PCI View • 为DMZ, Extranet和PCI提供一 个混合信任集 • 基于vShield Edge的信任域和 应用 • 使用vShield App的PCI敏感数 据保护 • 使用vShield App将防火墙规则 部署到每个虚拟机层面 • 以低于物理设备的成本提供更 好的安全性 • IT依从性 – 详细日志记录和报 告,流量统计
  • 30. 30 Confidential Global Ltd – 云计算安全之旅 DMZ Extranet Mixed trust VDI Internet DMZ • Global Ltd IT部门收到来自不同 部门的越来越多的IT资源的按需 请求 • 为了在不影响企业安全策略的前 提下实现快速的业务增长, Global Ltd IT开始使用VCD • VMware vCloud Director 横跨多 个VC并且使IT部门能够快速提供 安全的私有云 • vShield Edge策略可以通过 REST API实现脚本化并且可以与 VCD的模板一起使用 东海岸数据中 心 西海岸数据中 心