VMware vShield - 部署最安全云环境的基础

分流式反病毒处理
vShield Manager
Endpoint = VM
DMZ Application 1
Application 2
集中式管理
6
ห้องสมุดไป่ตู้
Confidential
周边安全存在的问题
保护私有云和公有云 - 迁移到私有云 或者公有云中的企业需要扩展与物理 数据中心相似的安全分层 使用VLAN实现隔离 - 使用交换机或 者防火墙建立虚拟系统周边环境十分 复杂和昂贵。混合信任主机会引起一 些依从性问题。 View 桌面用户 – 外部的负载均衡和防 火墙需要与View同时部署，极大提高 了解决方案的成本
Cost & Complexity 成本和复杂度
At the vDC Edge vDC 边缘
内部安全
VLAN 1 VLAN 2 • 大量VLAN和硬件 • 盲区：VM间数据传输 • 性能瓶颈
VLAN 复杂度和配置盲区
vDC应用之间
终端安全
•在VM中安装大量的反病毒代理, 消耗大量资源 • 风险：VM中的反病毒软件没有经过安全加固
17
Confidential
Global Ltd. – 当前的“Air Gapped” 架构
Internet
• 专属交换机和负载均衡设备 • 防火墙规则部署在上端分布式
的层面
• 各种应用混合在一起之间没有
安全管理
• 信任域由VLAN或子网进行划
DMZ Extranet PCI
分
View
• 成本: 大量硬件 • 复杂性: 大量VLAN • 盲区: VM之间的网络数据
的问题)
• Edge 具有两个接口（内部和外部），内部接口与其保护的安全端口组相连，外
部则连接到与外部相连的Uplink
五元组方式设置策略（源目的端IP地址，源与目的端端口号以及服务） • Edge 具有一个外部IP地址，将端口组置于内部实现保护 • 在VM连接到Internet的时候执行NAT • 可以使用Cisco，Checkpoint或者其他VPN终端设置IPSec VPN实现与远端资源
虚拟数据中心（vDC）的传统的安全解决方案
周边安全
内部安全
终端安全
WEB ZONE
APPLICATION ZONE
DATABASE ZONE
• 专用物理设备实现的物理 隔离 • 缺少内部安全隔离的混合 信任集群 • 配置复杂
Internet
vSphere
vSphere
vSphere
– VLAN 大规模部署配置 – 大量的防火墙规则 – 资源无关的不灵活的IP规则
略
• 支持五元组规则 • 提供基于IP的带状态的防火墙和为包括Oracle，FTP，Sun/Linux/MS RPC等多
种协议提供的应用层网关
用以观察网络活动的网络数据流的监控 • 虚拟机帮助定义和提取虚拟机防火墙策略 • 通过详细的应用程序（应用，会话，字节）数据流报告识别僵尸网络和保护业
务流程
14
VLAN 方案
11
Confidential
vShield App 保护应用免遭基于网络的威胁
功能
DMZ PCI HIPAA
Hypervisor级防火墙 • 部署在虚拟网卡级别上的进出连接安全控制 弹性的安全组 - 当虚拟机迁移到新的主机上时的 自动扩展 强大的网络流监控 策略管理 • 简单的基于业务的策略 • 通过UI和REST API进行管理 基于业界标准syslog格式的日志记录和审计
16
Confidential
Agenda
保护虚拟数据中心的传统方式 vShield 产品介绍 • vShield Edge • vShield App • vShield Endpoint 解决方案实例 • 云环境 • 外联网 • VMware View 桌面分域管理 • 使用View和vShield的PCI标准遵从(PCI Compliance) • 多信任域 – DMZ
VMware vShield – 部署最安全云环境的基础
石磊 软件工程师
1
Confidential
Agenda
保护虚拟数据中心的传统方式 vShield 产品介绍 • vShield Edge • vShield App • vShield Endpoint 解决方案实例 • 云环境 • 外联网 • VMware View 桌面分域管理 • 使用View和vShield的PCI标准遵从(PCI Compliance) • 多信任域 – DMZ
• 性能瓶颈
18 Confidential
Global Ltd 核心需求
保证安全的信任分域 • 外联网
合作方对Global Ltd应用的访问 限制合作方只能访问指定的应用
• PCI (Payment Card Industry)
CDE(Cardholder Data Environment) 分割
12
Confidential
利用虚拟化技术提供比物理环境更好的安全性
主要优点 • 在同一个ESX集群中设置多个信任域实
现对虚拟机间通信的完全的可见性和控 制
• 利用vCenter的资源目录提供直观的基于
业务的策略
优于物理环境 • 具有无限端口密度的虚拟防火墙 • Hypervisor级别的控制提供对虚拟机间
外联网 – vShield Edge 配置
vShield Edge
• 将所有的PCI服务器连接到外联网端口组
• 配置端口组网络隔离以提供二层的网络隔离
合作方
Internet
• 配置vShield Edge默认拒绝所有访问 • 为到合作方的应用服务器的RDP访问和安全
Web服务访问（HTTPS）设置向内的静态 NAT
零售PoS应用到数据中心的安全连接
• View 桌面
多用户多功能桌面 - 内部用户标准的应用访问
- 海外开发者开发环境的访问
- 风险用户的桌面（网页浏览，FTP等）
• DMZ
从内部网络分割 Web负载均衡
• 使用VMware vCloud Director的内部云
19 Confidential
• 私有云(?)
带防火墙的虚拟DMZ
由于安全的限制，客户无法完全体验到虚拟化的优势
4 Confidential
传统安全方案不再适应于 vDC
周边安全
• Sprawl: hardware, FW rules, VLANs 大量的硬件，防火墙规则以及 VLAN •• Rigid FW rules 不灵活的防火墙规则 •• Performance bottlenecks • 性能瓶颈
的安全连接
• 为内部的主机提供负载均衡
10
Confidential
内部安全存在的问题
虚拟机之间的数据流缺乏可见性- 从系统安 全管理员角度看，ESX集群对于虚拟机之间 的流量只有很少的可见性和有限的控制 大量VLAN和网络复杂性- 客户需要分割集群 来创建不同的管辖范围或者应用集合。通过 创建VLAN来组织相似的应用非常复杂。大多 数客户都有混合信任的主机，可能存在依从 性问题。
非网络元素的分组（例如资源池， vApp等）
• 基于应用分域
• 需要信任域中的VM之间的防火墙功
能
• 需要Web负载均衡服务 • 虚拟机快速启动和关闭的DHCP服务支
持
• 没有重复IP地址的需求
两者
• 需要避免使用VLAN作为网络分割技术 • 需要vShield Edge功能(DHCP, NAT等) ，同时需要域内的防火墙
VPN
8
Confidential
利用虚拟化技术提供比物理环境更好的安全性
主要优点 • 降低成本和复杂性 • 为多客户私有云环境快速部署提供安
全服务
企业 A 企业 B
优于物理环境 • 为一组虚拟机提供安全的自动连线网
络服务
服务提供商
• 基础设施内嵌安全
VMware Cloud Director 为View提供端到端的安全解决方案
Internet
Ltd为View创建一个集群
• 三种类型的资源池- 内部企业
用户，海外开发者，只提供网 页访问的桌面资源池
Site 2 Site IPSec VPNs
DMZ
Extranet
PCI
View
• vShield App提供安全的View
环境
• View虚拟机间访问被拒绝 • View虚拟机向Internet访问只
15
Confidential
vShield Endpoint 为终端提供分流反病毒处理
功能
• 去除每个虚拟机中的反病毒代理，将反病毒的功能交给由 反病毒厂商提供的安全VM处理 • 使用虚拟机中的驱动强制实施 • 策略和配置管理：通过UI或者REST API • 日志记录和审计
优点
• 通过与反病毒厂商的合作分离杀毒功能提高了性能 • 通过去除反病毒代理提高了虚拟机的性能 • 通过去除敏感的代理和强制实施降低风险 • 通过详细记录反病毒任务满足审计需求
• 允许合作方IP范围对端口443和3389的访问
Extranet Apps
• 在合作方和外联网Edge间配置IPSec VPN
• 配置vShield App来分割不同合作方的虚拟机
并保持其处在同一个二层/三层广播域
20
Confidential
vShield 启用 – 保护View环境
• 为了性能和存储优化，Global
开放80端口
• 基于容器的策略简化配置
21
Confidential
保护 View 部署
解决方案 - vShield Edge, App, & Endpoint
Confidential
什么时候选择 vShield Edge 或者 vShield App 或者两者
vShield Edge vShield App • 在每个安全域中都有IP地址重复，因此 • 需要使用任意的逻辑分域或者基于
需要NAT服务
• 需要安全连接到外部网络(VPN)
比如 合作公司的外联网，云用户的数据中 心网络等
空隙
传统的分层安全保护
7
Confidential
vShield Edge 保护虚拟数据中心的边缘
防火墙
功能
租客 A 租客 X
负载均衡
一个应用包含多种边缘安全服务 • 有状态的防火墙 • NAT • DHCP • Site to site VPN (IPsec) • Web 负载均衡 Edge提供的端口组隔离 详细的网络流统计 通过UI和REST API进行策略管理 基于业界标准syslog格式的日志记录和审计
将威胁隔绝在系统之外 At the vDC Edge
内部安全
VLAN 1 • 基于VLAN或者子网的策略 • 内部的或者Web应用防火墙 • DLP, 以应用标识为依据的策略
隔离内部服务和应用
VLANs 终端安全
• 桌面防病毒代理, • 基于主机的入侵检测 • 针对隐私数据的DLP代理
终端保护
3
Confidential
2
Confidential
数据中心需要在不同层次上进行保护
周边安全
• Sprawl: hardware, FW rules, VLANs 周边安全设备 •• Rigid FW rules 防火墙, VPN, 入侵检测系统 •• Performance bottlenecks • 负载均衡
Cost & Complexity
大量代理，性能
vDC终端
5
Confidential
2010 – vShield 产品介绍
全方位保护私有云: 从周边到终端
vShield Edge
保护虚拟数据中心的 边缘
Edge
vShield App 和 Zones
为各种应用建立安全分割
Security Zone
vShield Endpoint
Endpoint = VM
网络数据流的访问
• 规则配置与拓扑无关并且不基于网络配
置与IP地址
• 内置防火墙以低于物理设备的成本提供
更好的安全性
13
Confidential
vShield App 安装和配置
vShield App 安装在每个ESX 主机上 • 控制和监控主机上的所有网络数据，甚至包括没有通过物理网卡的数据包
vShield App 使用直观的策略管理 • vCenter 中的容器- 资源池，vApp，以及虚拟机可以直接用于创建基于业务的策
vShield Edge
• 安全服务的按需快速提供 – NAT，防
火墙，VPN，负载均衡等
企业 A
9
Confidential
vShield Edge 安装和配置
在网络配置页面上安装到每个DVS上的端口组上 基于端口组创建逻辑边界 • 创建一个安全的端口组，Edge相当于安装在这个端口组的边界上 • 此端口组应该由 VLAN 或者 vShield 端口组隔离来实现划分 (解决了大量VLAN