www.cloudsec.com | #CLOUDSEC
Cloud시대의네트웍과보안
윤준호 상무
Channel & Alliance @ VMWare
우리는 IT의역사상 3단계의근본적구조전환점에있습니다.
클라우드 시대
우리는여기에있습니다.
메인프레임
메인프레임
PC 혁명
서버/클라이언트
클라우드
클라우드
• 모바일장치및클라우드(공공및민간)
• 소프트웨어정의
• 로컬응용프로그램• 경미한네트워킹의역할
• 데스크톱및서버• 캠퍼스네트워크• 데이터센터
#CLOUDSEC
서버 가상화의경험을
Software
Hardware
VirtualMachines
ComputeCapacity Network Storage
Applications
Server Virtualization
• Intelligence in the virtualization layer
• Vendor independent x86 capacity
• Transformative operational model
• Automated configuration & management
Intelligence in hardware
Dedicated, vendor specific infrastructure
Manual configuration & management
Manual Operational Model
Automated Operational Model
Programmatically Create,Snapshot,
Store,Move,
Delete,Restore
#CLOUDSEC
Software Defined Data Center 로
Software
Hardware
VirtualMachines
VirtualNetworks
VirtualStorage
ComputeCapacity
NetworkCapacity
StorageCapacity
Applications
Location Independence
Data Center Virtualization
Pooled compute, network and storage capacity
Vendor independent, best price/performance
Simplified configuration & management
Automated Operational Model
Programmatically Create,Snapshot,
Store,Move,
Delete,Restore
Infrastructure가 선택가능한 시대
Big DataRetail AppBig Data
Public Cloud
Private Cloud
…
…
Web Portal Retail App Web PortalBig Data Big Data
Internet
Infra as
Needed
Private Cloud Option Public Cloud Option
GoogleApp
GoogleAppAzure
App
AzureAppSoftlayer
App
SoftlayerAppAmazon
App
Amazon AppOn-Premise
App
IT Department Nightmare: Different teams, different technology stacks, different security & compliance
On-Premises Datacenter
On-Premise App
On-Premise App
Amazon App
SoftlayerApp
AzureApp
GoogleApp
새로운 시대. 새로운 문제
Companies need to extend networks across public clouds
GoogleApp
GoogleAppAzure
App
AzureAppSoftlayer
App
SoftlayerAppAmazon
App
Amazon AppOn-Premise
App
On-Premises Datacenter
On-Premise App
On-Premise App
Amazon App
SoftlayerApp
AzureApp
GoogleApp
Multi-Cloud Networking
새로운 네트웍 기술
미래의 네트워킹- 연결과 보안보안이필요한어플리케이션들을사설 및공용 클라우드구간 사이에연결구성
연결성 & 보안
• 사설네트워크를전체공용클라우드구간에걸쳐만들게됨.
• 논리적스위치라우터를중앙에서각각정의합니다.
• 세그먼트애플리케이션방화벽을사용합니다.
• 손쉬운서비스배포를제공
• 각구역마다네트워크통합및배포합니다.
Big DataRetail AppBig Data
Web Portal Retail App Web PortalBig Data Big Data
Internet
Private Cloud Option Public Cloud Option
NSX 개요NSX는 소프트웨어를통해 네트워크및 보안서비스를충실하게구현하였습니다.
9
논리적 스위치 논리적 라우터 논리적 방화벽 Load Balance VPN 가상화물리적 연결
- 가상 환경 에서VM 간 연결을위한 스위칭 및부가적인 기능들지원
- 가상 네트워크내에서 E-W간고속 라우팅을제공 하는 논리적스위치 간 라우팅
- 모든 VM에설치 되어가상화 망 내에서 20Gbps 속도 및 완벽한보안 지원
- S/W 기반L4/L7 지원 및SSL이 포함된완전한 기능의로드 밸런싱장치
- 소프트웨어의사이트간 및원격 액세스, L2VPN, IPSec, SSL VPN 제공
- 가상 서버와물리적 서버간연결 제공
NSX – 논리적 스위치물리적으로 IP 대역이 다른 네트워크 구간을 동일한 L2 네트워크로 확장 할 수 있습니다. 이는 네트워크 오버레이 기술이 적용되어 가능하며기존 물리 네트워크의 구성 제약을 넘어 설 수 있습니다.
VM1
vSphere Distributed Switch
VM2
논리 스위치 5001
VM3
Transport 서브넷 A 192.168.150.0/24
Transport 서브넷 B 192.168.250.0/24
192.168.150.51 192.168.150.52 192.168.250.51
172.16.10.11 172.16.10.12 172.16.10.13
물리 네트워크
NSX – 논리적 라우터NSX 분산논리적라우터는 ESXi 호스트에분산 구현함으로써 East-West간트래픽을현저히줄임으로써데이터센터의네트워크환경을현저하게개선하며다양한네트워크환경구성이손쉬워집니다.
NSX vSwitch
With NSXBefore NSX
Physical Switch
UCS Fabric A UCS Fabric B
UCS Blade 1
vswitch
4 wire hops 4 wire hops
UCS Fabric A
UCS Fabric B
UCS Blade 1 UCS Blade 2
vswitch vswitch
UCS Fabric A UCS Fabric B
0 wire hops
UCS Fabric A
UCS Fabric B
UCS Blade 1 UCS Blade 2
With NSX
Distributed Logical Router
Before NSX
East-West Routing / 동일 호스트내 통신 East-West Routing / 다른 호스트간 통신
2 wire hops
NSX vSwitch
UCS Blade 1
Physical Switch Physical Switch Physical Switch
Distributed Logical Router
NSX – 논리적 분산 방화벽NSX 분산방화벽은 ESXi 호스트에분산 구현함으로써 East-West간트래픽을현저히줄임으로써데이터센터의네트워크환경을현저하게개선할수있습니다. 또한 VM별, 그룹별방화벽정책도가능하여 Micro segmentation이가능합니다.
NSX vSwitch
With NSX
Distributed Virtual Firewall
Before NSX
Physical Switch
UCS Fabric A UCS Fabric B
UCS Blade 1
vswitch
6 wire hops 6 wire hops
UCS Fabric A
UCS Fabric B
UCS Blade 1 UCS Blade 2
vswitch vswitch
UCS Fabric A UCS Fabric B
0 wire hops
UCS Fabric A
UCS Fabric B
UCS Blade 1 UCS Blade 2
With NSX
Distributed Virtual Firewall
Before NSX
East-West Firewalling / Same host East-West Firewalling / Host to host
2 wire hops
NSX vSwitch
UCS Blade 1
Physical Switch Physical Switch Physical Switch
NSX 분산 방화벽 vs 물리적 방화벽
NSX vSwitch
Physical Switch
UCS Fabric A UCS Fabric B
UCS Blade 1
vswitch
UCS Fabric A UCS Fabric B
With NSX
Distributed Virtual Firewall
Before NSX
UCS Blade 1
Physical Switch
R&D 서버-2 내부서버-1R&D 서버-1 내부서버-2
R&D Network Service
내부 Network Service
NSX – ESG(Edge Service Gateway)
NSX ESG는 North-South 구간의트래픽을담당하며다양한 NSX의 기능들을제공하고 VM단위로 배포 할수 있습니다.
North-South 트레픽 처리
10G~80G 대역폭 처리
멀티테넌시를 위한 서비스
다양한 사이즈 구성 제공
HA모드 시 F/W, NAT, LB 이중화 가능
ECMP 모드 시 라우팅만이중화 가능
특징
방화벽
로드발란싱
L2/L3 VPN
라우팅/NAT
DHCP/DNS 릴레이DDI
VM VM VM VM VM
NSX – Load Balancer
기존의로드밸런서에서구하지못했던멀티테넌시및 유연한관리구성을 NSX에서는 손쉽게구성할수있습니다.
• 응용 프로그램 이동성• 멀티 테넌시 (multi-tenancy)• 구성의 복잡성 - 수동 배포 모델• 유연한 관리
• 온 디맨드 부하 분산 서비스• 응용 프로그램에 대한 단순화 된 배포• 모델 – One Arm 또는 In Line 모드 제공• L4, L7 동작 선택 지원• Tenent별 구성이 가능함.
시장의 요구사항 이점
L2
Tenant A
L2 L2
L3Tenant B
15
16
AUTOMATIONAutomating IT processes to deliver IT at the speed of business
SECURITYArchitecting security as an inherent part of the data center infrastructure
APPLICATION CONTINUITYEnabling applications and data to reside and be accessible anywhere
Primary NSX Use Cases Driving Immediate Business Value
17
Network AdminsNetOps
Security AdminsSecOps
App DevelopersDevOps
Virtual Network Infrastructure
Physical Network Infrastructure
Application WorkloadsCloud Management
Platform
APIRoll Your Own
API
NSXManager
AUTOMATION
Automating Networking and Security for IT and Developers
IT Automating IT | Multi-tenant Infrastructure
DC1 APP DC2 APP DC1 APP DC2 APP
Active / Active Data Centers Active / Standby Data Centers
APP CONTINUITY
Enabling applications and data centers to exist anywhere
Disaster Recovery | DC Pooling
19
Internet
DMZ
Data Center Perimeter
Secure User Environments
SECURITY
Enabling an inherently secure data center infrastructure
Micro-segmentation | DMZ Anywhere | Secure User Environments
Deep Security
Better Together: NSX + Trendmicro
• Granular, unit-level Datacenter security through Micro-segmentation
• Faster provisioning, deployment, distribution of advanced services
• Automated operations through tagging and service chaining
• Scalable control without compromising on throughputs
• Multi-vector protection through integrated System and Network security solutions in a single platform
• Optimized performance for virtual environments
• Seamless interoperability w/physical, virtual and cloud
• Automated, scalable and instant-on security purpose built for agile borderless datacenters
Stronger threat defense with NSX micro-segmentation and advanced security controls for system and network security
Elastic protection through automated policy and security controls
Consistent policies and unified operations across physical, private and public environments
No-compromise and non-disruptiveScale securely without compromising on performance, using existing tools & processes
21
On-Prem Data Center(Today) Containers
(2016)
Public Clouds(2016)
Virtual Desktop(VDI)
Mobile Devices(Airwatch)
Internet of Things(Roadmap)
Branch Offices(Partner)
네트워킹은진화한다
더이상 IT부서는하드웨어네트워킹을제어안함. (e.g. 모바일, IoT, 공용클라우드)
• 과제는보안, 규정준수및 QoS
NSX everywhere..
• 네트워크정책을통해오버레이연결
• 다양한종류의서비스들구성
• 보안을통한응용프로그램들의클라우드간연결구성
NSX everywhere다양한유형의서비스에대한보안및 연결관리