软件定义网络、网虚拟化与云安全.pptVIP

Daoli Company All Rights Reserved ?2011 软件定义网络（SDN）网络虚拟化与云安全 道里云公司 May, 2013 nvi@ Keynote Speech at 8th ACM Symposium on Information, Computer and Communications Security (ASIACCS 2013)? DaoliCloud Company All Rights Reserved ?2011-2013, Patent protected technology 内容提要 IT虚拟化：虚的比实的好 IT从地上到云上的未完成任务：云网络 传统网络的控制与数据集中模型分析 云上租户网络与防火墙的新需求 SDN与网络虚拟化的创新技术 SDN在云安全方面的几个用例 下一步工作 应用场景（视频演示） DaoliCloud Company All Rights Reserved ?2011-2013, Patent protected technology 我们正在进入云时代：IT虚拟化为资源池，可以作为服务提供 DaoliCloud Company All Rights Reserved ?2011-2013, Patent protected technology 服务器虚拟化技术 虚的比实的好！ 逻辑的比物理的好！ 对于CPUs处理器，磁盘，资源池化已经做得很成熟，确实做到了召之即来，挥之即去，用过就丢 硬件资源池在哪儿，怎样工作，这些都不值得用户关心 如果网络资源也能被池化，那该多好！ 可惜这个还真的没有！ CPU Pool Storage Pool Virtual Infrastructure IT从地上到云上的未解问题：网络虚拟化云计算的“新”需求 在云上的IT资源是租用的，虚的，可移动的，可召之即来挥之而去的，用（租）户终于不必“从一而终”了，当然可以按分布式方法租用IT资源，即，要使用多个云服务商 为降低租用成本，增加可靠性，减少vendor-lock-in风险，租户应该采用“少租多商”策略，即：使用多个服务商，从每个服务商那儿都不要租用太多资源（不要过重依赖某个服务提供商） 这个新问题在云安全上带来了新需求：租户防火墙也应该是分布式的，跨云服务提供商（数据中心）的，不依赖于任何一家服务提供商的 问题：假如云不是分布式模型，那么资源池要多大才足够大？比如卖火车票的网站资源池要多大才足够？ 分布式虚拟化网络资源池才是云计算的王道 DaoliCloud Company All Rights Reserved ?2011-2013, Patent protected technology 逻辑网络，无数据中心区别，不受数据中心规模限制 物理网络，属于某个数据中心的，受数据中心规模限制 网络自古以来就是集中式计算模型 IT盒子自古以来都是站在地板上的，地板不会思维，为了控制IT盒子之间的通信，先得用网线把它们连到一些控制节点 通过网线，这些控制节点只能看到IT盒子的IP、MAC等地址信息，所以在那里对IT盒子的通信做控制也就只能以操作地址方式进行了 以摆弄IP地址为生的网络工作从来都不是件轻松活计… “Joe，你在下面干什么呢?” “打隧道呢! 讨厌死了, 这里又热 又脏又臭!” 好消息，Joe！ 世道变了， 你不用再干 这等苦力活了 … DaoliCloud Company All Rights Reserved ?2011-2013, Patent protected technology 组织的IT在地上是由网线将零碎的CPUs连接起来的 DaoliCloud Company All Rights Reserved ?2011-2013, Patent protected technology 网络控制与数据流 的集中处理点 交换机武艺高强，插上网线就能自动学习获得零碎CPU的MAC地址，自动构造出组织的IT网络 每个IT业务盒子都先集中连接 到网络硬件设备，比如交换机 在硬件集中点部署通信控制 逻辑，可以控制内部通信， 也可以控制内外通信，其中 控制内外通信的集中控制点 叫做组织的网络边界 通信控制是对网络包头部 元数据（地址，标记等） 做检查，丢弃一些包，或 允许一些包通过 当IT在云上时，租户网络设置与防火墙控制变成了软件，但控制与数据流的集中点处理模型未变 IP / MAC地址可以被虚拟交换机或网桥学习获得，交换机还可以对 网络包打标记（tag），将不同租户的网络包分配成不同VLAN里 于是丢弃网络包，或允许通过网络包的传统网络控制技术照旧 DaoliCloud Company All