下一代云数据中心防御架构.docVIP

Nov 27 | 中国上海 下一代云数据中心防御架构 程文杰，Palo Alto Networks中国 下一代云数据中心防御架构 程文杰，Palo Alto Networks中国 Nov 27， 2015 ? 2015 VMware Inc. All rights reserved. PALO ALTO NETWORKS公司简介 公司一览 营收增长 企业客户数量 ?? 成立于2005年; 2007年赢得第一 个客户 $1,000 $百万美金 $928 ?? 我们帮助企业用户更安全的把应 用扩展到各个领域 $800 28,000 24,000 26,000 $598 ?? 我们的产品专注于企业安全，帮 20,000 $600 助我们的客户化繁为简，解决各 $396 16,000 种复杂的安全威胁 $400 $255 12,000 ?? 我们已拥有超过26000家企业客 $119 户，遍及全球140个国家或地区 $200 8,000 $49 $13 ?? 超过3000名经验丰富的员工 4,000 $0 FY09 FY10 FY11 FY12 FY13 FY14 FY15 0 ?? 2015财年收入: $9.3亿美金 4,700 9,000 13,500 19,000 Jul-11 Jul-12 Jul-13 Jul-14 Jul-15 什么正在变化? 网络攻击正在进化 如今的网络犯罪 $1+ 万亿市值的行业 网络军备 100+国家参与 什么正在变化? 网络攻击正在进化 移动威胁 身份入侵 零日漏洞/攻击 未知和多态性的恶意软件 检测逃避，建立指挥控制渠道 已知威胁 450 起数据渗透事件 被报道（2015） 135M 条记录被泄漏 Source: /images/breach/DataBreachReports_2015.pdf tcp/139 10am-5pm icmp tcp/443 netbios ftp webdav tcp/80 利?常?APP是数据泄漏中最常??段 数据中心的形态正在变化 虚拟化的计算，网络以及存储 VM VM VM Virtualized Compute, Network Storage Virtualized Compute, Network Storage VM VM Hypervisor VM VM VM VM VM VM 今天的数据中心 (特定的服务器 + 虚拟化) 软件定义的数据中心 (私有云/SDDC) 混合云 (私有 + 公有云) §? 动态的，可扩展，自服务计算架构 §? 限制生产力的计算和技术壁垒正在消失 云计算 + 安全 = 挑战与机遇并存 云计算环境中的安全挑战 物理防火墙对数据中心的东西向流量缺乏防护 §? 传统防火墙的部署位置是基于L3的安 全域划分 §? 网络配置的频繁变化将会导致对东西 向流量的保护变得非常的困难和复杂 §? 如何在流量中透明无缝引入安全变得 极为重要 VM VM VM MS-SQL SharePoint Web Front End Hypervisor 云计算环境中的安全挑战 现有的虚拟化安全解决方案缺乏对应用的可见性 VM VM VM MS-SQL SharePoint Web Front End Hypervisor ?? 云计算中，不同安全级别的应用运行于同一台硬件服务器上 –? Inter-VM (东西向流量) 需要被检测 –? 但仅仅基于端口和协议检测是不够的 ?? 下一代云计算安全防御需要： –? 不同VM间的应用白名单管控 –? 发现并阻止安全攻击 云计算环境中的安全挑战 静态的安全策略无法适应动态的资源分配 §? 每分钟都会有不同的新应用，新服务器 被部署 §? 但安全的审核和配置可能需要数周甚至 数月的时间 §? 安全策略需要能够自动识别不同VM属 性 云计算安全的关键需求 1.? 应用可视化: 准确识别东西向流量中的应用 2.? 控制: 遵循零信任准则对云计算中的应用进行隔离和控制 3.? 阻止: 阻止东西向和南北向流量中的已知和未知威胁 4.? 自动化: 缩小应用部署和安全策略变更之间的差距 5.? 管理: 集中化管理系统的配置，日志收集，可视化报告以及威胁分析 Palo Alto Networks下一代安全平台 下一代防火墙 威胁情报云 §? 检测所有流量 和终端侧收集潜在的安全威胁 §? 阻止已知威胁 联威胁情报 §? 协同检测未知威胁 情报至网络和终端侧 §? 覆盖移动终端和虚拟化数据中 高级终端防护 §? 检测所有进程和文件 §? 阻止已知和未知漏洞 §? 与云协同阻止已知和未知恶意软件 Enable and protect data center applications Segmentation on a phys