VM 1
VM 4 vSwitch1
VM 5
NS M
Bridge VLAN 10 to 20
Port Group 1 VLAN 10 Port Group 2 VLAN 20
Inline Bridge vNSP
1 4 6
BE FE BE
BE …
2
3
5
7
Control Channel
Mgmt
15
McAfee虚拟NSP的Inline模式部署
的portgroup
AP P OS AP P OS AP P OS vMotion
Mgmt
• 通过10G接口使用VLAN trunk连接所有VLAN
和上联接口
Portgroup1 VLAN10
Portgroup2 VLAN20
Portgroup3 VLAN30
vmnic0
VLAN Trunks (VLANs 10, 20, 30)
McAfee, the McAfee logo, McAfee Global Threat Intelligence, and McAfee GTI are registered trademarks or trademarks of McAfee, Inc. or its subsidiaries in the United States and other countries. Other marks and brands may be claimed as the property of others. The product plans, specifications and descriptions herein are provided for information only and subject to change without notice, and are provided without warranty of any kind, express or implied. Copyright © 2013 McAfee, Inc.
弹性的安全
• 在每个不同的资产或网络边缘实施 安全举措 • 安全策略与物理属性相关联
• 为混合数据中心而优化和简化的安 全举措 • 自动配置安全策略
挑战
减少物理控制、增强可⻅见性 多租户环境增多 现有安全工具的效果/效率降低 攻击面日益加大
3
3
4
虚拟化的走向
Orchestration Interface
• 私有云
• VMware vSphere
§ 使 ePO 具备弹性感知
• 随着扩展发现新的实例 • 随着缩减丢弃旧实例
§ 确保现场部署以及基于云的数据中心间的安全
状态的统一
22
22
vmiDC – Security as Infrastructure
在虚拟化环境中，按需、快速、自动化地将安全部署到需要的地方
vmnic1
7
虚拟化架构中的不同层次
CloudStack
Orchestration
NSX OpenNebula OpenStack Eucalyptus
vCenter AWS
ห้องสมุดไป่ตู้
UI for the cloud administrator UI for the cloud user Self-service portals
VM 1
VM 2 vSwitch1 Inline
VM 3
NS M
Uplink保护
vNSP
1
4
BE FE BE
BE …
物理连接保护
2 3 5
Control Channel Inline vSwitch 4 NIC4
Mgmt
Inline
vSwitch2
vSwitch 3 NIC3
NIC2
16
增强的Direct I/O部署模式
安全团队对虚拟化架构中安全问题也要负责
9
虚拟NSP
入侵 防护
应用感知 的防火墙
流量 控制
虚拟网络安全平台(NSP) 植入虚拟化架构的安全防护
僵木蠕 检测
高级恶意 代码防护
DOS 防护
支持VMware NSX
10
不同的虚拟NSP类型
§ 与vShield或reflex协同的McAfee NSP硬件设备 § McAfee虚拟 NSP on ESX
• 综合管理工具，以将信任状态融入配置工作流 • 安全管理工具，以便在基础设施被认为“不可信”时及
时加以补救
• 合规工具 ，以生成报告
21
21
向云端扩展 自动配置安全策略
§ ePolicy Orchestrator已经可以支持混合云 § 自动发现并确保云实例的安全
• 公共云
• Amazon EC2
下一代数据中心的安 全防护
郑林 McAfee北亚区技术总监
Agenda
§ 数据中心演变催生了新的安全需求 § 软件定义数据中心 § 网络安全挑战和需求 § McAfee虚拟网络安全平台 (NSP) § McAfee虚拟 NSP部署场景 § 虚拟化环境下主机安全的挑战和解决方案 § 总结
§ McAfee虚拟NSP on KVM, XEN, AWS § McAfee虚拟NSP service appliance
11
虚拟NSP部署场景
§ McAfee NSP 硬件设备
• 虚拟交换机端口镜像 • reflex VM隧道
§ McAfee虚拟 NSP
• 虚拟交换机镜像端口 • 端口组之间的Inline bridge • 两个虚拟交换机之间的Inline接入 • 物理网卡和虚拟交换机之间的inline接入
• vMotion通信—bypass
Hypervisor Host
• VM通信—检测 • 存储通信—bypass • 容错通信—bypass
VM VLANs
Storage VLANs
6
一个主机中的典型的虚拟网络视图
• 2x 10G 物理网卡 • 1 虚拟交换机 • Wordload以 VLANs/portgroup分隔 • 为管理通信，vMotion和VM通信分配不同
将Workload安全地 扩展至云
发现 所有Workload并提 供完全的安全可见 性
保护 Workload — 依据 既定的策略，在客 户端和非客户端
扩展 通过自动安全策略配 置，将Workload扩展 至云
McAfee数据中心套件
19
发现 全面的Workload安全可视化 您无法保护您看不见的东西。 McAfee能够让您： § 自动发现您的所有虚拟和物理设备 • 包括：
• ePolicy Orchestrator (ePO) 管理员向一个或多个虚拟
机推送“安全虚拟机”策略
§ 只在引导安全的虚拟机，不论是在本地还是在云端
• 利用 Intel TXT 技术在引导时确定可信度 • 在 ePolicy Orchestrator 中显示信任状态
§ 下列工具可以利用这些信任状态信息：
§ Orchestrated McAfee虚拟NSP
• VMware service appliance (支持vCNS/NSX)
12
McAfee虚拟NSP
单一设备 – 多租户支持 按需扩展
vNSP NSM
1
4
6
8
BE FE BE
BE …
2
3
5
7
Control Channel
Mgmt
利用Intel数据平面技术获得更好的吞吐和时延
• VMware vCenter • Amazon AWS
§ 将应用程序分类为“Known Good ”（已知无害）、 “Known Bad
”（已知有害）、“ Grey List” （灰名单）
• 可自定义的信息显示板（例如，管理层概览）
20
20
保护 引导信任验证服务
§ 根据引导信任验证创建策略
灵活的端口配置
13
McAfee虚拟NSP的SPAN模式部署
VM1
VM2
VM3
NSM
vSwitch1 NIC1
Port Group 4095
Promiscuous
VLAN trunk
vNSP
1
4
6
BE FE
Intel® DPDK
BE …
BE
Control Channel
2 3 5 7
Mgmt
14
McAfee虚拟NSP的Inline bridge模式部署
ESX
KVM XEN
HYPER-V
VMware predominant in the enterprise. Amazon AWS uses XEN Google Cloud uses KVM Microsoft Azure uses Hyper-V
VMM
8
虚拟化 – 给网络安全团队带来了什么？
§ 需要虚拟化专家 § 了解虚拟化规划、provision和基本的部署 § 和工作负载相关的安全生命周期 § VM的Live migration § 不同的通信类型: Internet-VM, VM-VM, hypervisor
虚拟化主机
虚拟化数据中心 Elasticity, Resource Pooling
软件定义的数据中心 Self-service on Demand, Broad Network Access, Measured Service
5
虚拟化架构下的网络通信类型
MGMT VLAN
• 管理通信—检测
vMotion VLAN
23
24