1. No category

REDES Y SEGURIDAD DEFINIDAS POR
SOFTWARE (SDN) HOY
Waldir Montoya, NSX Specialist
Redes Definidas por Software
ABSTRACCIÓN
AUTOMATIZACIÓN
RED COMO SISTEMA
SEGURIDAD
VIRTUALIZACIÓN
CPU X86
INFRAESTRUCTURA
QUE OPERA A LA
VELOCIDAD DEL
NEGOCIO
CONFIDENTIAL
2
La especie que sobrevive es la que mas facil se adapta “Darwin”
• NSX cambia el paradigma de seguridad para el centro de datos virtual
• El área de TI puede hacer que las operaciones de red y seguridad del centro de datos, trabajen
con la agilidad que las aplicaciones requieren
• Es el pilar que completa la base del Centro de Datos definido por Software
Mejor Seguridad
Velocidad y agilidad
SDDC Fundamentos
Micro segmentación
Desplegar a la velocidad que el
negocio requiera al igual que
adaptabiliad necesaria.
Fundamentos de red flexibles para un
centro de datos definido por software
Cuadrante Mágico de Gartner de redes para Data Center
“La solución de NSX debe ser considerada
por cualquier cliente de Vmware, como
camino a proveer agilidad en la red y por
ende, reducir los retos operacionales en
el datacenter.”
Gartner Data Center Networking Magic
Quadrant, April 24, 2014
4
NSX revoluciona las redes del Centro de Datos
Modelo operacional automatizado
del Centro de Datos Definido por Software
Servicios de red y seguridad
en el hypervisor.
Aplicaciones
Máquinas
Virtuales
Redes
Virtuales
Almacenamiento
Virtual
Virtualización del Centro de Datos
Software
Capacidad
de Computo
Capacidad
de Red
Capacidad
de
Almacenamiento
Independencia del fabricante, mejor
relación costo beneficio,
configruacion y administración
simplificada.
Independencia en la ubicación
Balanceadores o ADC
Enrutamiento
Hardware
Switching
Firewalling
Redes de nueva generación en el Centro de Datos
Un Hypervisor Para la Red
Redes Virtuales
“Hypervisor para la red”
Capa de Virtualización
Red, Almacenamiento, Computo
Componentes de NSXv
Consumo Cloud
•
•
•
Portal de auto servicio
vRA OpenStack
CMP personalizado
•
•
Portal único de configuración
REST API permite el acceso a la solución
•
•
•
Administra las redes lógicas
Protocolos de control plane
Separación del control plane y data plane
•
•
Data plane de alto rendimiento
Modelo de forwarding Escalado Horizontalmente
NSX Manager
Red lógica
Plano de Administración
NSX Controller
Plano de Control
User World Agent (NETCPA)
Servicios distribuidos
Plano de Datos
Red
Física
ESXi
Logical Distributed Firewall
Switch Logical Router
Módulos de Kernel
…
…
NSX Edge
Erase una vez un Firewall….
El Centro de Datos
Firewall Físico
Administración y operación de reglas tradicional
Firewalls Físicos (2 – 100 Gbps)
8
El Centro de Datos
Erase una vez un Firewall….
Firewalls Virtuales
Administración operación de
reglas tradicional
Firewalls Virtuales (1 – 3
Gbps)
Firewall Físico
Administración y operación de reglas tradicional
Firewall Físico (2 – 100 Gbps)
9
El Centro de Datos
Erase una vez un Firewall….
Firewalls Virtuales
Administración operación de
reglas tradicional
Firewall Virtual (1 – 3 Gbps)
Firewall Distribuido
Administración de políticas y operaciones
automatizada.
Despliegue Distribuido
Desempeño basado en Kernel
10
El Centro de Datos
Erase una vez un Firewall….
11
Solución: Micro segmentación en el SDDC
•
•
Basado en el Hypervisor, firewall
distribuido en el kernel de los
hosts.
Política de Seguridad
Basado en la plataforma realiza
aprovisionamiento automatizado y
adiciones/movimientos/Cambios
en la carga operacional.
Plataforma de
Administración
De la nube
Internet
Firewalls
perimetrales
12
Inserción de servicios avanzados – Ejemplo: Palo Alto Networks NGFW
Admin de Seguridad
Política de Seguridad
Internet
Direccionamiento
De tráfico
Seguridad automatizada en el SDDC
Poner en cuarentena sistemas vulnerables hasta
que se realice remediación.
Definición de política
Grupo de Seguridad = Zona de Cuarentena
Miembros = {Tag = ‘ANTI_VIRUS.Virus’, Capa2 Red
aislada}
Grupo de seguridad =
Capa Web
Politica standard de escritorios
 Anti-Virus – Scan
Política de cuarentena
 Firewall – Block all except security tools
 Anti-Virus – Scan and remediate
14
NSX: En “La zona Goldilocks” de seguridad
Switching
Routing
Firewalling
Servicios principales de red
Construidos en el Hypervisor
Aislamiento
Ubiquidad
Creación de contenedores
granulares
Contexto
Mejor Seguridad a
través de
visualización
Ecosistema de Servicios
Distribuidos
CONFIDENTIAL
15
Inserción de servicios eficiente
Este - Oeste Firewall / En el mismo servidor
Sin NSX
Este-Oeste Firewal / Entre Servidores
Con NSX
Sin NSX
Con NSX
Firewall distribuido
Nexus 7000
UCS Fabric A
UCS Fabric B
Firewall Distribuido
Nexus 7000
UCS Fabric A
Nexus 7000
UCS Fabric B
UCS Blade 1
Nexus 7000
UCS Fabric A
UCS Fabric B
UCS Fabric A
UCS Fabric B
UCS Blade 1
UCS Blade 2
UCS Blade 1
UCS Blade 2
UCS Blade 1
NSX vSwitch
vswitch
vswitch
NSX vSwitch
vswitch
6 saltos físicos
0 Salto Físicos
6 Saltos Físicos
Menos saltos y comunicación mas eficiente
2 Saltos cableados
NSX Arquitectura de Insersión de servicios avanzados
2
1
Consola de Administración de
terceros
NSX Manager
6
5
3
NSX Servicios de seguridad
(Appliance por host)
4
NSX Servicios de Partner
(Appliance por Host)
Introspección de
Red
Introspección de
Sistema Operativo
residente
7
3
NSX Servicios Distribuidos
En Kernel
Firewall Lógico
Switch Lógico
Módulos de Kernel
Una red Virtual Completa en Software:
Enrutamiento Distribuido
CONFIDENTIAL
18
Aislamiento con NSX
NSX virtual networks:
 Aplicaciones como “Tenant”
Cliente.
CONFIDENTIAL
 Redes Aisladas
 Solapamiento IP Posible
19
Ambientes y arquitectura de aplicaciones
10.10.10.0/24
Desarrollo
10.10.10.0/24
Pruebas
10.10.10.0/24
Producción
Firewall
Perimetral
DMZ
Firewall
Interior
Aplicación
 Los entornos pueden usar el mismo
direccionamiento.
 Los entornos de desarrollo pueden tener
los componentes de red que tendran en
producción
Bases de Datos
 La seguridad se mantiene a lo largo del
centro de datos.
Servicios
AD
NTP
DHCP
DNS
CERT
VMware NSX Conectividad entre Centros de Datos
Red
Capa 3
Sitio A
Sitio B
vCenter
Server
Sitio A NSX
Edge Gateway
Sitio B NSX
Edge Gateway
Uplink Red A
Uplink Red B
Router Distribuido
VM
2
VM1
VM3
Switch Lógico A
172.16.10.0/24
VM
4
Datastore 1
VM5
Switch Lógico B
172.16.20.0/24
vMotion de
Almacenamiento
Requerido para movilidad
Datastore 2
NSX con Automatización
Configuración Dinámica y despliegue de Servicios Lógicos
NSX
vRealize Automation
Entrega de aplicaciones bajo
Demanda
Catálogo de
Servicio
Switch Lógico
Reservación de
Recursos
VM
VM
VM
Web
Enrutador Lógico
Plataforma de
VM
Administración
Aplicaciones
De la nube
Bases de
Datos
Firewall Lógico
Plantilla
Multi-Machine
Balanceador de
Cargas o ADC
VM
Políticas de Seguridad
Grupos de Seguridad
Perfiles de Red
VM
Piensa Global, Actua Local
Negocio
Auditoria
RED
Almacenamiento
Soporte
Equipo SDDC
Seguridad
Operaciones
23
Mas de 500 Clientes - Grandes, Pequeños, Todas las verticales
CONFIDENTIAL
24