软件定义网络： 混合云时代的信息安全 新架构 李映博士 VMWare公司亚太区技术副总裁兼亚洲研究院总经理 简单的体验 企业信息安全 新的IT孤岛 data-reactid=".0.4.$/ @thenewsdesk/ technology-shjum1jiz? intent=0invite. 0.1.$1.1.0.1.1.$titletext. 5.0.1.0.1.0.1.$showmore-menuitem-0.0">Report as inappropriate</div></ li></ul></div></ span></span></div></ div></div></div><span data-reactid=". 0.4.$/@thenewsdesk/ technologyshjum1jiz? intent=0invite. 0.1.$1.1.0.1.$1"></ div></div><div class="gridline-y" style="left: 600px; top: 0px; width: 1px; height: 580px; position: absolute;" data-reactid=". 0.4.$/@thenewsdesk/ technologyshjum1jiz? intent=0invite. 0.1.$1.1.0.$1"></ div></div></div> <img class="backgroundimage" style="left: -5px; top: -22px; width: 590px; height: 387px; transitionproperty: transform, opacity; transitionduration: 0.6s, 0.3s;" src="http:// www.trbimg.com/ img-55d7ca0e/turbine/ la-et-ct-spotify-ceoprivacy-policysorry-2015-001" datareactid=".0.4.$/ @thenewsdesk/ technology-shjum1jiz? intent=0invite. 0.1.$1.1.0.0.$image. 安全响应速度跟不上业务的速度 新应用请求 配置虚拟机 制定应 用策略 配置网络 配置安全服务 网络安全配 置 应用部署 改变请求 完美的上线第一天…但是… DAY 1 DAY 2 Data Center Perimeter Firewall Finance Application DMZ/Web App DB SQL database server provision request Database policy assumptions are: •  No confidential information •  No personal privacy information •  Vanilla DB policies Sensitive data is added to the new database VM 555-55-5555 Now what? 虚拟化的环境
 Monolithic Stack Multi-tiered Distributed Architecture Composed Services on Converged Infrastructure 7 挑战: 数据中心的网络安全 传统的数据中心边界防护安全机制面临挑战 Internet IT Spend 今天的安全模式：边界防护为主 “硬壳软芯” Security Spend Security Breaches “道高一尺，魔高一丈” CONFIDENTIAL 8 跨越鸿沟 Client-Server Era Mobile-Cloud Era “We cannot solve our problems 
 with the same way of thinking that created them.” - Albert Einstein 傻瓜才用和造成问题同样的思维方式来解决 问题。 - 爱因斯坦 新的网络与安全模式 随着虚拟化越来越普及，网络与 安全服务现在可以集成在 Hypervisor 软件定义的数据中心 应⽤用 虚拟机 虚拟⺴⽹网络 虚拟存储 负载均衡 数据中⼼心虚拟化层 L3 路由 Software 计算资源 ⺴⽹网路资源 位置独立性 存储资源 Hardware L2 交换 防火墙、ACL Micro-segmentation 是实现DC内部安全的最佳方 案 为了要实现内部安全… 需要在应⽤用之间添加许多防⽕火墙 Internet 物理防火墙 •  成本过高: thousands of firewalls needed (1 per VM) •  配置复杂: security policies restricted by network topology •  性能瓶颈：Inefficient “choke point” firewalling 虚机形式防火墙 Data Center Perimeter •  低性能 •  No micro-segmentation •  每台主机需配置相应的安全虚机，管理复杂 NSX Micro-segmentation •  实现数据中心内部安全 •  加速安全部署 •  高性能，分布式优化数据中心流量 •  敏捷响应业务变化需求 Micro-segmentation Security Policy Cloud Management Platform Internet Perimeter Firewalls 14 提供更好的自动化部署 基于平台的⾃自动化 •  业务部署与更改自动化 •  防火墙策略迁移支持vMotion •  整个虚拟化数据中心只需集中化统一管 理一个（分布式）防火墙 1 5 精细颗粒度访问控制成为可能 原生服务 Firewall Data Security •  每台hypervisor提供高性能转发 Server Activity Monitoring VPN (IPSEC, SSL) 第三方安全服务 •  水平扩展部署hypervisor的方式来扩 充 east-west 防火墙的处理容量 •  集成与NSX网络与安全虚拟化平台的 Antivirus Firewall Intrusion Prevention Security Policy Management Vulnerability Management Identity and Access Mgmt …and more in progress “零信任”的数据中心安全模式 隔离 安全策略通信. 高级安全通信 NGFW 分层安全高级服务 IPS IPS IPS NGFW WAF 17 智能分组 DMZ App DB Finance Engineering 场景  I: 自动对操作系统智能分组 Unsupported OS Group 场景II：  自动根据数据智能分组 UNIQUE POLICY DEFINITIONS UNIQUE POLICY DEFINITIONS Policy and services defined with future changes in mind Scan to ensure no private information is stored. If found, tag. Remediate changes with preset policy definitions SN# 555-55-5555 If tagged, move workload to more secure PII group. Finance Group PII Group