SOLUCIONES DE SEGURIDAD Y MOVILIDAD DE JUNIPER EN EL DATA CENTER JJ.TT. Red.es Noviembre 2011 Juan R. Carvallo A. [email protected] LA REVOLUCIÓN DEL CLOUD COMPUTING Clients Red de Alta Capacidad (Ej. NOVA) Data Centers Mobile Home Branch Clouds Mobilidad Campus 2 Conectar Usuarios a Servicios de Aplicación Copyright © 2010 Juniper Networks, Inc. www.juniper.net Servicios de Aplicación y Datos PERO LA RED DEL DCCONFORMAN NO HA EVOLUCIONADO LOS SISTEMAS QUE EL DC HAN Y AHORA ES UNA BARRERA A LA INNOVACIÓN EVOLUCIONADO DE FORMA IMPORTANTE Hacia Desde Servicios Software 3 Servidores Servidores Dedicados Almacenamiento Almacenamiento Dedicado “Los sistemas de Máquinas Virtuales Networking no han prograsado y hasta ahora han sido una Almacenamiento barreraCompartido que dificulta la innovación en el DC.” Capas de Network Network Complejidad Copyright © 2010 Juniper Networks, Inc. www.juniper.net Modelo Flexible, virtualizado Modelo Legacy Rígido de I.T. Apps Dedicadas Aplicaciones VIRTUALIZACIÓN DE SERVIDORES – TENDENCIA ESTABLECIDA. Millions Installed Servers 80 Physical Server Installed Base (Millions) Logical Server Installed Base (Millions) 60 Capital Savings 40 20 0 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 Source: IDC 4 Copyright © 2010 Juniper Networks, Inc. www.juniper.net CAMBIO DE ROLES EN LA RED Rol Tradicional – conexión de usuarios • Tráfico Norte - Sur Tolerante a Latencia Rol Moderno – conectando dispositivos • Tráfico Este - Oeste • Idealmente a un salto. Sensible a Latencia Rol Cloud – Base del Cloud • Conectividad Any-to-any Idealmente todo está interconectado y a un salto de distancia. Application running 5 Copyright © 2010 Juniper Networks, Inc. www.juniper.net LA TIRANÍA DE LOS ARBOLES La ubicación es crítica en una arquitectura de árbol. Configuración típica en árbol Bubbles Performance Optimo VM 6 One Hop Copyright © 2010 Juniper Networks, Inc. www.juniper.net LA TIRANÍA DE LOS ARBOLES La ubicación es crítica en una arquitectura de árbol Configuración típica en árbol Appliances y VLANs Sombras VM 7 Copyright © 2010 Juniper Networks, Inc. www.juniper.net TRANSFORMANDO LA RED Una Red Plana, Connectividad any-to-any 8 Copyright © 2010 Juniper Networks, Inc. www.juniper.net TRANSFORMANDO LA RED Una Red Plana, Connectividad any-to-any Recursos claves están a un salto de distancia VM Recursos claves están a un salto de distancia La ubicación no debe ser crítica en un entorno de DC virtualizado. 9 Copyright © 2010 Juniper Networks, Inc. www.juniper.net MODELO 3-2-1 PARA VIRTUALIZACIÓN DE SERVIDORES. 3. Legacy three-tier data center Multiples saltos. Latencia en ms 10 2. Juniper two-tier data center ~480 servidores 1 hop Latencia <10µs ~10,000 servidores 2 hops Latencia <100µs Copyright © 2010 Juniper Networks, Inc. www.juniper.net 1. Juniper’s data center fabric ~100,000 servidores 1 hop • Latencia <15 µs TRANSFORMANDO LA RED 3 3 2 1 The legacy network, 3 tiers Ethernet Servers NAS FC SAN 11 Copyright © 2010 Juniper Networks, Inc. www.juniper.net FC Storage TRANSFORMANDO LA RED Remote Data Center 3 2 1 SRX y vGW Conectividad Inter-DC MX Series MPLS and VPLS Junos Space y EX8216 STP Virtual Control Virtual Chassis SRX5800 EX4200 Servers NAS FC SAN 12 Copyright © 2010 Juniper Networks, Inc. www.juniper.net FC Storage TRANSFORMANDO LA RED 3 2 1 MX Series EX8216 SRX5800 EX4200 Servers NAS FC SAN 13 Copyright © 2010 Juniper Networks, Inc. www.juniper.net FC Storage TRANSFORMANDO LA RED 3 2 1 SRX y vGW Remote Data Center Conectividad Inter-DC MX Series MPLS and VPLS Virtual Control Fabric única escalable. SRX5800 Servers 14 Copyright © 2010 Juniper Networks, Inc. NAS www.juniper.net FC Storage ESCENARIOS DE MIGRACIÓN VM Escenario # 1 Dentro del mismo DC Escenario #2 Escenario #3 DC en la misma Ciudad – diferentes ubicaciones DC en Ciudades diferentes MX SERIES VPLS Virtual Chassis EX4200 Data Center Rack A Data Center Virtual Chassis Data Center EX4200 Data Center Rack A Layer 2 domain across racks 15 EX4200 Virtual Chassis Layer 2 domain across fiber connected data centers Copyright © 2010 Juniper Networks, Inc. www.juniper.net Layer 2 domain across virtual private LAN SEGURIDAD ENTORNO FISICO 16 Copyright © 2010 Juniper Networks, Inc. www.juniper.net ARQUITECTURA LEGACY COMPLEJA: BARRERA PARA NUEVO ENTORNO. “Servicios” Estáticos en dispositivos dedidados MGMT 1 MGMT 2 MGMT 3 MGMT 4 MGMT 5 Routing Firewall IPS IPSec VPN NAT OS 1 OS 2 OS 3 OS 4 OS 5 Recursos Arquitectura de Servicio debe escalar en todas las dimensiones 17 Copyright © 2010 Juniper Networks, Inc. www.juniper.net SRX SERVICES GATEWAY Servicios Dinámicos Entorno consolidado de gestión App Layer Forwarding Routing Threat Prevention Firewall IPS Access Control IPSec VPN SRX Dynamic Services Gateway 18 Copyright © 2010 Juniper Networks, Inc. www.juniper.net NAT ROMPIENDO PARADIGMAS Firewall Servicio Integrado Vía Junos IPS Servicios limitados Performance Escalabilidad a través de multiples appliances Dificil de gestionar y desplegar Escalabilidad de procesamiento via SPC Escalabilidad de I/O Fácil de gestionar y desplieguar Servicios via procesadores dedicados Escalabilidad limitada. Dificil de gestionar y desplegar Integración del Servicio 19 Copyright © 2010 Juniper Networks, Inc. www.juniper.net Firewall + IPS CHASSIS-BASED SECURITY PACKET FLOW: VARIOS SALTOS, ALTA LATENCIA. Chassis-based “bolt-on” security Packet passes to fabric and multiple busses Ingress Packet Fabric Bus 1 Bus 2 Bus 3 Bus 4 Bus 5 I/O Card Egress Packet Firewall IPsec VPN Intrusion Prevention 20 Copyright © 2010 Juniper Networks, Inc. www.juniper.net NAT Routing / QoS SRX SERIES FULLY INTEGRATED PACKET FLOW 1.5 Oversubscription Control Services FW/VPN/IDP NAT/Routing I/O Cards Network Processing Cards Egress Packet Integrated in SRX5000 IOC QoS/Shaping 21 Copyright © 2010 Juniper Networks, Inc. www.juniper.net Fabric Ingress Packet Fabric Flow Lookup Classification DoS/DDoS Policing Services Processing Cards ARQUITECTURA DINÁMICA DE SERVICIOS™ (DSA) Densidad de Servicio. Flexibilidad para desplegar servicios. Fácil de integrar. Altamente Escalable. Firewall, IPS, IPsec VPN, DDoS/DoS, NAT, QoS, Routing, Application Security, and more Escalabilidad de Interfaces y Procesamiento Carrier Grade Reliability Flexible I/O y pools Gigabit Ethernet 10 Gigabit Ethernet Procesado de cualquier servicio en cualquier tarjeta. Escalabiliad linear. 22 Copyright © 2010 Juniper Networks, Inc. www.juniper.net Separación del plano de control y da datos. Diseño de alta disponibilidad para mantener el sistema aún bajo ataques. Operación en modo cluster. SEGURIDAD ENTORNO VM 23 Copyright © 2010 Juniper Networks, Inc. www.juniper.net IMPLICACIONES DE SEGURIDAD EN ENTORNOS CLOUD/VIRTUALIZADOS Red Física Red Virtual VM1 VM2 VM3 ESX/ESXi Host Virtual Switch HYPERVISOR Firewall/IDS ven y protege Todos el tráfico entre servidores 24 Copyright © 2010 Juniper Networks, Inc. Seguridad Física es “ciega” al tráfico entre Máquinas Virtuales. www.juniper.net OPCIONES PARA SECURIZAR MAQUINAS VIRTUALES 1 VLANs & Physical Segmentation VM1 VM2 2 VM3 VM1 VM2 3 VM2 VM3 Virtual Security Layer VS HYPERVISOR HYPERVISOR HYPERVISOR Regular Thick Agent for FW & AV 25 Copyright © 2010 Juniper Networks, Inc. www.juniper.net ESX/ESXi Host VS Solución a Medida para entornos Virtuales VM1 VM3 ESX/ESXi Host ESX/ESXi Host VS Agentes Traditionales deseguridad LA META ES SECURIZAR EL CLOUD COMPUTING Virtual Security Layer Virtual Security Layer ESX 1 ESXi 4 Virtual Security Layer Virtual Security Layer ESXi 2 Hosted ESX 5 Clouds Publicas, Privadas o Híbridas Virtual Security Layer Virtual Security Layer Remote ESX 3 ESXi 6 Clouds Privados, públicos o híbridos requieren de mecanismos dinámicos y altamente integrados que garanticen la seguridad de la información. 26 Copyright © 2010 Juniper Networks, Inc. www.juniper.net MODELO VGW “Stateful Inspection” a nivel de Kernel Procesamiento independiente de las políticas de seguridad. Alta disponibilidad. 1 Virtual Center 2 Security Design for vGW VM VM1 VM2 VM3 Escalabilidad en todos los niveles. ESX or ESXi Host Política de FW por VM. Escalable a más de 1000 hosts. Multi-center & split center support Partner Server (IDS, SIM, Syslog, Netflow) 3 Packet Data VMWARE API’s IDS y AV integrados. Any vSwitch (Standard, DVS, 3rd Party) “Auto-security” para nuevas VMs Compliance and image enforcement. 27 Copyright © 2010 Juniper Networks, Inc. HYPERVISOR www.juniper.net VMware Kernel Defensa Granular THE vGW ENGINE FIREWALL PERFORMANCE TCP Throughput Test (Standard 1500 Byte packet size). See slide notes for details 28 Copyright © 2010 Juniper Networks, Inc. www.juniper.net COMPARATIVA “SLOW PATH” VS “FAST PASTH” Modelo VMware Slow Path (Funcionalidad de Fw en VM) 29 Copyright © 2010 Juniper Networks, Inc. vGW and Fast Path (Fw Proc. In Hypervisor Kernel) www.juniper.net UNA SOLUCIÓN INTEGRAL PARA “CLOUD-READY” DC Management and Security Services Security Design Virtual Control Physical STRM Security Threat Response Manager Services Firewall IPS DoS Virtual VM VM VM VM vGW Series Hypervisor DoS Protection AppSecure vGW Virtual Gateway SRX Series 30 Copyright 2010 Juniper Networks, www.juniper.net Copyright © 2011©Juniper Networks, Inc. Inc. www.juniper.net EL RESULTADO: UN DC CON CAPACIDAD DE CRECIMIENTO EXPONENCIAL Hacia App. dedicadas Applications Performance Servidores dedicados Servers/ Escalabilidad Compute Storage Dedicado Capas de Complejidad Servicios Software Servidores Virtualizados Storage Compartido Storage Gestionabilidad NetworkInversión Network QFabric Network 31 Copyright © 2010 Juniper Networks, Inc. www.juniper.net Modelo Flexible, virtualizado Modelo Legacy, Rígido de I.T. Desde