Li Yongwei: 클라우드 컴퓨팅 네트워크 보안의 현재 상황

7 월 4 일, 2012 중국 컴퓨터 네트워크 보안 연례 회의 개최 시 안의 오늘, 시스 코 클라우드 컴퓨팅 아키텍처 보안 수석 컨설턴트 엔지니어 리 Yongwei 게시 항목 "클라우드 네트워크 보안" 연설.

시스 코 클라우드 컴퓨팅 아키텍처 보안 수석 컨설턴트 엔지니어 리 웨이

다음은 연설의 사본입니다.

안녕하세요 모두, 나 보고 주제는 "클라우드 컴퓨팅 네트워크 보안."

오늘, 주요 콘텐츠는 세 부분, 하나는 클라우드 데이터 센터 보안 전략, 두 번째 클라우드 센터 보안 아키텍처 이며 세 번째는 클라우드 센터 보안 가상 서비스 지점.

첫째, 클라우드 데이터 센터에서에서 네트워크 보안의 개념을 소개합니다. 클라우드 데이터 센터의 첫 번째 기능은 리소스 농도, 우리 IT 리소스, 네트워크 리소스 외에 클라우드 데이터 센터에 있습니다. 이제 데이터 센터, 기본적으로 수천 대의 서버, 클라우드 데이터 센터 Exchange 볼륨의 자리 수만 매우 큽니다. 우리의 자원을 집중 때, 리소스 사용, 우리가 원하는 통합된 제어 플랫폼, 사용자 제어 플랫폼을 통해 대화형 도구를 적절 한 리소스를 얻을 수 있습니다. 후에 우리의 리소스는 집중, 유연성, 또는 작업을 취소 하려면이 데이터를 사용 하려는 경우입니다.

엄격한 전통적인 데이터에서 음성 데이터 센터 센터. 전통적인 데이터 센터 처럼 보이는, 데이터 센터 먼저는 데이터 센터 내부 데이터 센터 밖에 서 있습니다. 우리가 데이터 센터에 이동, 우리의 데이터 센터의 내부는 보통 있다 교환된 네트워크의 핵심으로. 사업 영역을 입력 한 후 사업 분야는 핵심 집계, 전통적인 서버 서버에 대 한 마지막 액세스 하나,이 전통적인 데이터 센터 아키텍처. 서버 가상화, 왜 전통적인 서버 될 가상화 서비스 센터? 주요 원동력은 서버 가상화입니다. 이 경우에, 우리는 합리적인 만약 우리가 고정 된 위치에서 서버 자원 사용, 희망 하는 자원의 대중화의 맥락에서 우리의 필요에 따라 가상 컴퓨터 수 있습니다 분할 무료 원래 모델은이 아키텍처에 매우 적합 이 관점에서 가상화 서비스 센터 뿐 아니라 서버, 하지만 또한 네트워크 가상화 가상화가 필요합니다. 우리는 여러 가상화에 집중 하 고 나누어 사업을 사용 하려면 다른 거주자 그래서 우리는 우리가 그냥 얘기 소리 데이터 센터를 언급. 우리는 시스 코 클라우드 데이터 센터에 대 한 스위치에서 우리의 독점적인 제품을 제공 하는 우리, 우리가 제공 하는 전용된 데이터 센터 7 K 2k 3k 5k. 우리는 클라우드 데이터 센터, 중앙 집중화, 전통적인 네트워크에 따라 어떻게 자원 하 고 수 나 플랫 네트워크를 연결 하려면이 서버, 내가 수 동적으로 나눌 때 리소스 필요. 네트워크는 큰 비행기,이 비행기에 하나의 스위치, 특히 가상 컴퓨터에서 모든 서버를 사용 하려면, 그것과 다른 사람 완전히 동일, 하려는 사업은 매우 편리,이 가상화 도전, 네트워크와 시스 코는 응답. 우리는 또한 1000 K 네트워크를 전환 했다. 또한, 데이터 센터 보안 방화벽을 위해 특별히 우리이 방화벽 가상화 할 수 있는, 여러 방화벽을 넣을 수 있습니다, 방화벽에 우리의 보안 리소스 리소스에 가상 후 한 곳에서 수 우리. 데이터 센터 방화벽 이외에 우리는 또한 ASA 방화벽 카드를가지고.

보안 아키텍처 요구 사항입니다. 우리 5 단계의 논리 격리, 그리고이 경우에 클라우드 데이터 센터 네트워크 보안의 첫 번째 단계는 보안 격리. 두 번째는 정책 일관성, 우리가 모든 수준의 보안 보호를 할 수 있습니다. 셋째, 언어 데이터 센터를 사용 하는 경우 싶습니다 사람들은 우리가 통과 인증 및 권한 부여 하는 기본 요구는 적절 한 시기에 내부 또는 데이터 센터 외부에서 리소스를 검색. 언어 데이터 센터의 가장 큰 장점은 확장성과 성능, 그리고 우리는 성능의 증가 요구를 충족 수 없습니다. 언제 우리가 이러한 네트워크 가입 보안 서비스, 매우 성가신, 또는 내가 통합 제어 할이 비행기에서 비행기까지 있다. 가상화 데이터 센터 보안 제어 프레임 워크, 우리는 서비스 풀에 모든 보안 서비스를 넣어. 서비스 수준, 데이터 센터 내 보호, 외부에서 보안 보호의 비즈니스 사이 거주자, 있다.

클라우드 센터 격리 모델입니다. 작은 및 중간 거주자: 1, 각각 하나의 vlan/a VRF 거주자. VRF 2, VLAN 매핑입니다. 3, 비즈니스/서비스 계층 분화를 실시 하지 않습니다. 이 유형의 사용자 액세스에 대 한 4, 독립적인 VDC. 큰 기업 세 입자/개인: 1. 입주 글로벌 VRF 차별화를 사용 하 여. 2. 여러 Intemal VRF 거주자 당입니다. 3, Intemal VRF 구별 다른 부서 또는 응용 프로그램. 클라우드 센터 비즈니스 보호 모드입니다. 보호, 트래픽 흐름 또는 보호 되지 않은 영역 영역에 직접 방화벽을 통해. 비즈니스의 끝에, 서비스 통합 것으로 간주 됩니다 응용 프로그램 특성 및 FW만 / fw + ips-보호 모드 보안 요구 사항에 적용 됩니다. 이것은 하이브리드 클라우드 보안 아키텍처 모델, 그리고 우리는 가상 데이터 센터의 보안 아키텍처 센터 내 서비스 수준 개념 2 계층 보안 아키텍처를 준수. 그것은 단지 방화벽, 작은 입자로 공유 수 있습니다. 클라우드 센터 방화벽 기능, 다중 가상, 기술. 요구 특성: 더 많은 가상 하나, 동적 확장 방화벽 처리 능력의 확장 수요에 성능. 투자를 보호 합니다. 방화벽 클러스터: 높은 확장성, 관리의 단일 지점을 모두 그룹에 모든 aclive 방화벽, 그룹은 능력의 균형에 대 한 책임, 방화벽 내에서 그룹 실패, 방화벽 그룹 실패 내에서 단일 지점 인지 확인 하기 위해 그림을 복원할 수 있도록 방화벽의 전체 그룹. 클라우드 센터 방화벽 기능, 가상 여러 기술. 요구 특성: 가상 보다 한 방화벽, 거주자 논리 격리, 자원 제어 거주자 크로스 토크 제한, 투자를 감소. 방화벽 가상화, 가상 벽 독립적인 관리/독립 로그, 가상 벽 독립적인 라우팅 수준, 가상 벽 독립적인 보안 정책/nat 정책/응용 프로그램 레이어 전략. 방화벽 리소스 제한, 거주자 합니까 하지 누화를 철저 하 게 보호. 클라우드 데이터 센터에서 우리가 네트워크를 분리 하는 경우 보안 클라우드 데이터 센터에 액세스 합니다. 가상 여러 기술, VLAN 이미지 기술 기능: 1, 독립적인 계획 거주자 내부 주소. 2. 거주자가 VPN 세션 및 VLAN 바인딩. 3, 모든 거주자는 공용 네트워크 IP 액세스를 단일. 4, 각 거주자는 독립적인 사용자 지정 인터페이스가 있습니다. 5, 각 거주자는 독립적인 인증 서버 그룹 있습니다.

클라우드 센터 보안 가상 서비스 힘. 서버 가상화 잠재적인 문제, 1, 물리적 포트 마이그레이션 가상 컴퓨터는 네트워크 정책에서 vmotion vmotion을 수행 해야 합니다. 2, 볼 하 고 로컬 Exchange 네트워크 및 보안 정책을 적용 해야 합니다. 가상화 및 클라우드 요구 사항을 드라이브 데이터 센터 요구 사항, 전통적인 데이터 센터: 고유 응용 프로그램에 대 한 서비스. 구성 요소: 특별 한 장비, 스위칭 모듈입니다. 가상 데이터 센터: 가상 장치, 동적 구현 구성, 서비스 팀 VM 모바일 투명 하 고, 확장 가능한, 대규모 다중 테 넌 트 작업에 적합 합니다. 장치 가상화, 특정 거주자 작업에 대 한 리소스 제한, 확장성, 신뢰할 수 있는 성능. 이것은 우리의 시스 코 nexus1000v 소프트웨어 스위치, 각 누구 지원 200 + 웻 포트 (가상 네트워크 포트) 이다.

소개 너무 감사 합니다.

(편집기: 기술)