下一代云数据中心防御架构.pdf

《下一代云数据中心防御架构.pdf》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、Nov27

2、中国上海下一代云数据中心防御架构程文杰，PaloAltoNetworks中国下一代云数据中心防御架构程文杰，PaloAltoNetworks中国Nov27，2015©2015VMwareInc.Allrightsreserved.PALOALTONETWORKS公司简介公司一览营收增长企业客户数量•成立于2005年; 2007年赢得第一$百万美金个客户$1,000$928•我们帮助企业用户更安全的把应28,00026,000用扩展到各个领域$80024,000•我们的产品专注于企业安全，帮$59820,00019,000$600助我们的

3、客户化繁为简，解决各$39616,00013,500种复杂的安全威胁$400$25512,000•我们已拥有超过26000家企业客9,000户，遍及全球140个国家或地区$200$1198,0004,700$49$13•超过3000名经验丰富的员工$04,000FY09FY10FY11FY12FY13FY14FY15•2015财年收入: $9.3亿美金0Jul-11Jul-12Jul-13Jul-14Jul-15什么正在变化? 网络攻击正在进化如今的网络犯罪$1+ 万亿市值的行业网络军备100+ 国家参与什么正在变化? 网络攻击正在进化移动威胁身份

4、入侵零日漏洞/攻击未知和多态性的恶意软件组织风险检测逃避，建立指挥控制渠道已知威胁起数据渗透事件450被报道（2015）135M条记录被泄漏Source:http://www.idtheftcenter.org/images/breach/DataBreachReports_2015.pdftcp/139icmp10am-5pmnetbiostcp/443ftpwebdavtcp/80利用常见APP是数据泄漏中最常见手段数据中心的形态正在变化虚拟化的计算，网络以及存储VMVMVMVirtualizedCompute,Network&StorageV

5、irtualizedCompute,Network&StorageVMVMVMVMVMVMVMVMHypervisor今天的数据中心软件定义的数据中心混合云(特定的服务器+虚拟化)(私有云/SDDC)(私有+公有云)动态的，可扩展，自服务计算架构限制生产力的计算和技术壁垒正在消失云计算+安全=挑战与机遇并存云计算环境中的安全挑战物理防火墙对数据中心的东西向流量缺乏防护传统防火墙的部署位置是基于L3的安全域划分网络配置的频繁变化将会导致对东西向流量的保护变得非常的困难和复杂如何在流量中透明无缝引入安全变得极为重要VMVMVMMS-SQLSh

6、arePointWebFrontEndHypervisor云计算环境中的安全挑战现有的虚拟化安全解决方案缺乏对应用的可见性VMVMVMMS-SQLSharePointWebFrontEndHypervisor•云计算中，不同安全级别的应用运行于同一台硬件服务器上–Inter-VM(东西向流量)需要被检测–但仅仅基于端口和协议检测是不够的•下一代云计算安全防御需要：–不同VM间的应用白名单管控–发现并阻止安全攻击云计算环境中的安全挑战静态的安全策略无法适应动态的资源分配每分钟都会有不同的新应用，新服务器被部署但安全的审核和配置可能需要数周甚至数月

7、的时间安全策略需要能够自动识别不同VM属性云计算安全的关键需求1.应用可视化:准确识别东西向流量中的应用2.控制:遵循零信任准则对云计算中的应用进行隔离和控制3.阻止:阻止东西向和南北向流量中的已知和未知威胁4.自动化:缩小应用部署和安全策略变更之间的差距5.管理:集中化管理系统的配置，日志收集，可视化报告以及威胁分析PaloAltoNetworks下一代安全平台下一代防火墙威胁情报云检测所有流量从网络侧和终端侧收集潜在的安全威胁阻止已知威胁分析和关联威胁情报协同检测未知威胁分发威胁情报至网络和终端侧覆盖移动终端和虚拟化数据中心高级

8、终端防护检测所有进程和文件阻止已知和未知漏洞与云协同阻止已知和未知恶意软件EnableandprotectdatacenterapplicationsSegmentationonaphysicalnetworkPanorama•ApplicationsanddatasegmentedbypolicyAPIs•Usersgrantedaccessbasedonneed/identity•Trafficisprotectedfromknown/unknownmalwareSubnet1Subnet2Subnet3WebSharePointSQL启

9、用并保护虚拟化应用基于零信任模型微分段安全域•应用策略隔离虚拟机和数据NSXManager•依据需求或用户身份授予访问权P