soluciones de seguridad y movilidad de juniper en el data

Anuncio
SOLUCIONES DE SEGURIDAD Y
MOVILIDAD DE JUNIPER EN EL
DATA CENTER
JJ.TT. Red.es
Noviembre 2011
Juan R. Carvallo A.
[email protected]
LA REVOLUCIÓN DEL CLOUD COMPUTING
Clients
Red de Alta Capacidad (Ej. NOVA)
Data Centers
Mobile
Home
Branch
Clouds
Mobilidad
Campus
2
Conectar Usuarios a Servicios de Aplicación
Copyright © 2010 Juniper Networks, Inc.
www.juniper.net
Servicios de
Aplicación y Datos
PERO
LA RED DEL
DCCONFORMAN
NO HA EVOLUCIONADO
LOS
SISTEMAS
QUE
EL DC HAN Y
AHORA ES UNA BARRERA
A LA
INNOVACIÓN
EVOLUCIONADO
DE FORMA
IMPORTANTE
Hacia
Desde
Servicios Software
3
Servidores
Servidores
Dedicados
Almacenamiento
Almacenamiento
Dedicado
“Los sistemas de
Máquinas Virtuales
Networking
no han
prograsado y hasta
ahora
han sido una
Almacenamiento
barreraCompartido
que dificulta la
innovación en el DC.”
Capas de
Network
Network
Complejidad
Copyright © 2010 Juniper Networks, Inc.
www.juniper.net
Modelo Flexible, virtualizado
Modelo Legacy Rígido de I.T.
Apps Dedicadas
Aplicaciones
VIRTUALIZACIÓN DE SERVIDORES – TENDENCIA
ESTABLECIDA.
Millions
Installed
Servers
80
Physical Server Installed Base (Millions)
Logical Server Installed Base (Millions)
60
Capital
Savings
40
20
0
1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013
Source: IDC
4
Copyright © 2010 Juniper Networks, Inc.
www.juniper.net
CAMBIO DE ROLES EN LA RED
Rol Tradicional – conexión de usuarios
• Tráfico Norte - Sur
Tolerante a Latencia
Rol Moderno – conectando dispositivos
• Tráfico Este - Oeste
• Idealmente a un salto.
Sensible a Latencia
Rol Cloud – Base del Cloud
• Conectividad Any-to-any
Idealmente
todo está interconectado y a un salto de distancia.
Application running
5
Copyright © 2010 Juniper Networks, Inc.
www.juniper.net
LA TIRANÍA DE LOS ARBOLES
La ubicación es
crítica en una
arquitectura de árbol.
Configuración
típica en árbol
Bubbles
Performance Optimo
VM
6
One
Hop
Copyright © 2010 Juniper Networks, Inc.
www.juniper.net
LA TIRANÍA DE LOS ARBOLES
La ubicación es
crítica en una
arquitectura de árbol
Configuración
típica en árbol
Appliances y VLANs
Sombras
VM
7
Copyright © 2010 Juniper Networks, Inc.
www.juniper.net
TRANSFORMANDO LA RED
Una Red
Plana, Connectividad
any-to-any
8
Copyright © 2010 Juniper Networks, Inc.
www.juniper.net
TRANSFORMANDO LA RED
Una Red
Plana, Connectividad
any-to-any
Recursos claves están
a un salto de distancia
VM
Recursos claves están
a un salto de distancia
La ubicación no debe ser crítica en un entorno de DC virtualizado.
9
Copyright © 2010 Juniper Networks, Inc.
www.juniper.net
MODELO 3-2-1 PARA VIRTUALIZACIÓN DE SERVIDORES.
3.
Legacy three-tier
data center
Multiples saltos.
Latencia en ms
10
2.
Juniper two-tier
data center
~480 servidores 1 hop
Latencia <10µs
~10,000 servidores 2 hops
Latencia <100µs
Copyright © 2010 Juniper Networks, Inc.
www.juniper.net
1.
Juniper’s data
center fabric
~100,000 servidores 1 hop
• Latencia <15 µs
TRANSFORMANDO LA RED
3
3
2
1
The legacy network, 3 tiers
Ethernet
Servers
NAS
FC SAN
11
Copyright © 2010 Juniper Networks, Inc.
www.juniper.net
FC Storage
TRANSFORMANDO LA RED
Remote
Data Center
3
2
1
SRX y vGW
Conectividad Inter-DC
MX
Series
MPLS and VPLS
Junos Space y
EX8216
STP
Virtual Control
Virtual Chassis
SRX5800
EX4200
Servers
NAS
FC SAN
12
Copyright © 2010 Juniper Networks, Inc.
www.juniper.net
FC Storage
TRANSFORMANDO LA RED
3
2
1
MX
Series
EX8216
SRX5800
EX4200
Servers
NAS
FC SAN
13
Copyright © 2010 Juniper Networks, Inc.
www.juniper.net
FC Storage
TRANSFORMANDO LA RED
3
2
1
SRX y vGW
Remote
Data Center
Conectividad Inter-DC
MX
Series
MPLS and VPLS
Virtual Control
Fabric única escalable.
SRX5800
Servers
14
Copyright © 2010 Juniper Networks, Inc.
NAS
www.juniper.net
FC Storage
ESCENARIOS DE MIGRACIÓN VM
Escenario # 1
Dentro del mismo DC
Escenario #2
Escenario #3
DC en la misma
Ciudad – diferentes
ubicaciones
DC en Ciudades
diferentes
MX
SERIES
VPLS
Virtual Chassis
EX4200
Data Center
Rack A
Data Center
Virtual Chassis
Data Center
EX4200
Data Center
Rack A
Layer 2 domain across racks
15
EX4200
Virtual Chassis
Layer 2 domain across
fiber connected data centers
Copyright © 2010 Juniper Networks, Inc.
www.juniper.net
Layer 2 domain across
virtual private LAN
SEGURIDAD ENTORNO FISICO
16
Copyright © 2010 Juniper Networks, Inc.
www.juniper.net
ARQUITECTURA LEGACY COMPLEJA: BARRERA
PARA NUEVO ENTORNO.
“Servicios” Estáticos en dispositivos dedidados
MGMT 1
MGMT 2
MGMT 3
MGMT 4
MGMT 5
Routing
Firewall
IPS
IPSec
VPN
NAT
OS 1
OS 2
OS 3
OS 4
OS 5
Recursos
Arquitectura de Servicio debe escalar en todas las dimensiones
17
Copyright © 2010 Juniper Networks, Inc.
www.juniper.net
SRX SERVICES GATEWAY
Servicios Dinámicos
Entorno consolidado de gestión
App Layer
Forwarding
Routing
Threat
Prevention
Firewall
IPS
Access Control
IPSec
VPN
SRX Dynamic Services Gateway
18
Copyright © 2010 Juniper Networks, Inc.
www.juniper.net
NAT
ROMPIENDO PARADIGMAS
Firewall
Servicio Integrado Vía
Junos
IPS
Servicios limitados
Performance
Escalabilidad a través de
multiples appliances
Dificil de gestionar y
desplegar
Escalabilidad de
procesamiento via SPC
Escalabilidad de I/O
Fácil de gestionar y
desplieguar
Servicios via
procesadores
dedicados
Escalabilidad
limitada.
Dificil de gestionar y
desplegar
Integración del Servicio
19
Copyright © 2010 Juniper Networks, Inc.
www.juniper.net
Firewall
+
IPS
CHASSIS-BASED SECURITY PACKET FLOW:
VARIOS SALTOS, ALTA LATENCIA.
Chassis-based “bolt-on” security
Packet passes to fabric and multiple busses
Ingress
Packet
Fabric
Bus 1
Bus 2
Bus 3
Bus 4
Bus 5
I/O Card
Egress
Packet
Firewall IPsec VPN Intrusion
Prevention
20
Copyright © 2010 Juniper Networks, Inc.
www.juniper.net
NAT
Routing /
QoS
SRX SERIES FULLY INTEGRATED PACKET FLOW
1.5
Oversubscription
Control
Services
FW/VPN/IDP
NAT/Routing
I/O Cards
Network
Processing
Cards
Egress
Packet
Integrated in SRX5000 IOC
QoS/Shaping
21
Copyright © 2010 Juniper Networks, Inc.
www.juniper.net
Fabric
Ingress
Packet
Fabric
Flow Lookup
Classification
DoS/DDoS
Policing
Services
Processing
Cards
ARQUITECTURA DINÁMICA DE SERVICIOS™ (DSA)
Densidad de Servicio.
Flexibilidad para desplegar
servicios.
Fácil de integrar.
Altamente Escalable.
Firewall, IPS, IPsec VPN,
DDoS/DoS, NAT, QoS, Routing,
Application Security, and more
Escalabilidad de Interfaces y
Procesamiento
Carrier Grade Reliability
Flexible I/O y pools
Gigabit Ethernet
10 Gigabit Ethernet
Procesado de cualquier servicio en
cualquier tarjeta.
Escalabiliad linear.
22
Copyright © 2010 Juniper Networks, Inc.
www.juniper.net
Separación del plano de control y
da datos.
Diseño de alta disponibilidad para
mantener el sistema aún bajo
ataques.
Operación en modo cluster.
SEGURIDAD ENTORNO VM
23
Copyright © 2010 Juniper Networks, Inc.
www.juniper.net
IMPLICACIONES DE SEGURIDAD EN ENTORNOS
CLOUD/VIRTUALIZADOS
Red Física
Red Virtual
VM1
VM2
VM3
ESX/ESXi Host
Virtual
Switch
HYPERVISOR
Firewall/IDS ven y protege
Todos el tráfico entre servidores
24
Copyright © 2010 Juniper Networks, Inc.
Seguridad Física es “ciega” al
tráfico entre Máquinas Virtuales.
www.juniper.net
OPCIONES PARA SECURIZAR MAQUINAS VIRTUALES
1
VLANs & Physical
Segmentation
VM1
VM2
2
VM3
VM1
VM2
3
VM2
VM3
Virtual Security Layer
VS
HYPERVISOR
HYPERVISOR
HYPERVISOR
Regular Thick Agent for FW & AV
25
Copyright © 2010 Juniper Networks, Inc.
www.juniper.net
ESX/ESXi Host
VS
Solución a Medida para
entornos Virtuales
VM1
VM3
ESX/ESXi Host
ESX/ESXi Host
VS
Agentes Traditionales
deseguridad
LA META ES SECURIZAR EL CLOUD COMPUTING
Virtual Security Layer
Virtual Security Layer
ESX 1
ESXi 4
Virtual Security Layer
Virtual Security Layer
ESXi 2
Hosted ESX 5
Clouds Publicas, Privadas
o Híbridas
Virtual Security Layer
Virtual Security Layer
Remote ESX 3
ESXi 6
Clouds Privados, públicos o híbridos requieren de mecanismos dinámicos y
altamente integrados que garanticen la seguridad de la información.
26
Copyright © 2010 Juniper Networks, Inc.
www.juniper.net
MODELO VGW
“Stateful Inspection” a nivel de Kernel
Procesamiento independiente de las
políticas de seguridad.
Alta disponibilidad.
1
Virtual
Center
2
Security
Design
for vGW
VM
VM1
VM2
VM3
Escalabilidad en todos los niveles.
ESX or ESXi Host
Política de FW por VM.
Escalable a más de 1000 hosts.
Multi-center & split center support
Partner Server
(IDS, SIM,
Syslog, Netflow)
3
Packet Data
VMWARE API’s
IDS y AV integrados.
Any vSwitch
(Standard, DVS, 3rd Party)
“Auto-security” para nuevas VMs
Compliance and image enforcement.
27
Copyright © 2010 Juniper Networks, Inc.
HYPERVISOR
www.juniper.net
VMware Kernel
Defensa Granular
THE vGW ENGINE
FIREWALL PERFORMANCE
TCP Throughput Test (Standard 1500 Byte packet size). See slide notes for details
28
Copyright © 2010 Juniper Networks, Inc.
www.juniper.net
COMPARATIVA “SLOW PATH” VS “FAST PASTH”
Modelo VMware Slow Path
(Funcionalidad de Fw en VM)
29
Copyright © 2010 Juniper Networks, Inc.
vGW and Fast Path (Fw Proc. In
Hypervisor Kernel)
www.juniper.net
UNA SOLUCIÓN INTEGRAL PARA “CLOUD-READY” DC
Management and Security Services
Security
Design
Virtual
Control
Physical
STRM
Security Threat
Response Manager
Services
Firewall
IPS
DoS
Virtual
VM
VM
VM
VM
vGW Series
Hypervisor
DoS Protection
AppSecure
vGW Virtual Gateway
SRX Series
30
Copyright
2010 Juniper
Networks,
www.juniper.net
Copyright
© 2011©Juniper
Networks,
Inc. Inc.
www.juniper.net
EL RESULTADO: UN DC CON CAPACIDAD DE
CRECIMIENTO EXPONENCIAL
Hacia
App.
dedicadas
Applications
Performance
Servidores
dedicados
Servers/
Escalabilidad
Compute
Storage
Dedicado
Capas de
Complejidad
Servicios
Software
Servidores
Virtualizados
Storage
Compartido
Storage
Gestionabilidad
NetworkInversión
Network
QFabric
Network
31
Copyright © 2010 Juniper Networks, Inc.
www.juniper.net
Modelo Flexible, virtualizado
Modelo Legacy, Rígido de I.T.
Desde
Descargar