SOLUCIONES DE SEGURIDAD Y MOVILIDAD DE JUNIPER EN EL DATA CENTER
JJ.TT. Red.esNoviembre 2011
Juan R. Carvallo [email protected]
LA REVOLUCIÓN DEL CLOUD COMPUTINGData CentersClients Red de Alta Capacidad (Ej. NOVA)
Home
Mobile
2 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
Campus
Branch
CloudsServicios de
Aplicación y Datos
MobilidadConectar Usuarios a Servicios de Aplicación
Apps Dedicadas
ServidoresDedicados
LOS SISTEMAS QUE CONFORMAN EL DC HAN EVOLUCIONADO DE FORMA IMPORTANTE
Ríg
ido
de I.
T.
Servicios Software
Máquinas Virtuales
Aplicaciones
Servidores“Los sistemas de Networking no hanprograsado y hasta
PERO LA RED DEL DC NO HA EVOLUCIONADO Y AHORA ES UNA BARRERA A LA INNOVACIÓN
Desde Hacia
Modelo
Flexible,
3 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
AlmacenamientoDedicado
Capas de Complejidad
Mod
elo
Lega
cy
Ríg
ido
AlmacenamientoCompartido
Almacenamiento
Network
prograsado y hastaahora han sido unabarrera que dificulta la innovación en el DC.”
Network
Flexible, virtualizado
VIRTUALIZACIÓN DE SERVIDORES – TENDENCIAESTABLECIDA .
CapitalSavings
60
80Physical Server Installed Base (Millions)Logical Server Installed Base (Millions)
MillionsInstalledServers
4 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
Source: IDC
Savings
0
20
40
1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013
Sensible a Latencia
CAMBIO DE ROLES EN LA RED
Tolerante a Latencia
Rol Tradicional – conexión de usuarios• Tráfico Norte - Sur
Rol Moderno – conectando dispositivos• Tráfico Este - Oeste• Idealmente a un salto.
5 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
Application running
Rol Cloud – Base del Cloud• Conectividad Any-to-any
Idealmente todo está interconectado y a un salto de dist ancia.
LA TIRANÍA DE LOS ARBOLES
La ubicación escrítica en una
arquitectura de árbol.Configuracióntípica en árbol
6 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
VMOneHop
BubblesPerformance Optimo
LA TIRANÍA DE LOS ARBOLES
Appliances y VLANs
Sombras
La ubicación escrítica en una
arquitectura de árbolConfiguracióntípica en árbol
7 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
VM
Sombras
TRANSFORMANDO LA RED
Una RedPlana, Connectividad
any-to-any
8 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
TRANSFORMANDO LA RED
Una RedPlana, Connectividad
any-to-any
9 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
La ubicación no debe ser crítica en un entorno de DC vi rtualizado.
Recursos claves estána un salto de distancia
Recursos claves estána un salto de distancia
VM
Juniper’s data center fabric1.Juniper two-tier
data center2.
MODELO 3-2-1 PARA VIRTUALIZACIÓN DE SERVIDORES.
Legacy three-tierdata center3.
10 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
~480 servidores 1 hop� Latencia <10µs
~10,000 servidores 2 hops� Latencia <100µs
~100,000 servidores 1 hop• Latencia <15 µs
Multiples saltos.� Latencia en ms
TRANSFORMANDO LA RED
The legacy network, 3 tiers3
3 2 13
Ethernet
11 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
FC SAN
Servers FC StorageNAS
TRANSFORMANDO LA RED 3 2 12
EX8216
MX Series
MX Series
� SRX y vGW� Conectividad Inter-DC
� MPLS and VPLS
� Junos Space yVirtual Control
� Virtual Chassis
RemoteData Center
STP
12 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
FC SAN
Servers FC Storage
SRX5800
EX4200
NAS
� Virtual Chassis
EX8216
TRANSFORMANDO LA RED 3 2 12
MX Series
13 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
SRX5800
FC SAN
FC StorageServers
EX4200
NAS
� SRX y vGW� Conectividad Inter-DC
� MPLS and VPLS
� Virtual Control� Fabric única escalable.
TRANSFORMANDO LA RED 3 2 11
MX SeriesRemote
Data Center
14 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
SRX5800
Servers NAS FC Storage
ESCENARIOS DE MIGRACIÓN VM
Dentro del mismo DC
Escenario # 1
Virtual Chassis EX4200
DC en la mismaCiudad – diferentes
ubicaciones
Escenario #2
Virtual Chassis EX4200
Escenario #3
Virtual Chassis
MX SERIES
EX4200
VPLS
DC en Ciudadesdiferentes
15 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
Rack A
Layer 2 domain across racks
Virtual Chassis EX4200
Rack A
Layer 2 domain across fiber connected data centers
Virtual Chassis EX4200
Data Center Data Center
Layer 2 domain across virtual private LAN
Virtual Chassis EX4200
Data Center Data Center
16 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
SEGURIDAD ENTORNO FISICO
ARQUITECTURA LEGACY COMPLEJA : BARRERA PARA NUEVO ENTORNO.
“Servicios” Estáticos en dispositivos dedidados
Routing Firewall IPS IPSecVPN NAT
MGMT 1 MGMT 2 MGMT 3 MGMT 4 MGMT 5
17 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
Recursos
OS 1 OS 2 OS 3 OS 4 OS 5
Arquitectura de Servicio debe escalar en todas las dimensiones
SRX SERVICES GATEWAY
Servicios Dinámicos
Entorno consolidado de gestión
App LayerForwarding
ThreatPrevention Access Control
18 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
SRX Dynamic Services Gateway
Routing Firewall IPS IPSecVPN NAT
ROMPIENDO PARADIGMASP
erfo
rman
ce
� Servicio Integrado VíaJunos
� Escalabilidad de procesamiento via SPC
� Escalabilidad de I/O
� Fácil de gestionar y desplieguar
� Servicios limitados
� Escalabilidad a través de multiples appliances
� Dificil de gestionar y desplegar
FirewallFirewall
IPSIPS
19 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
Integración del Servicio
Per
form
ance
� Servicios via procesadoresdedicados
� Escalabilidadlimitada.
� Dificil de gestionar y desplegar
FirewallFirewall
IPSIPS
++
CHASSIS-BASED SECURITY PACKET FLOW:VARIOS SALTOS, ALTA LATENCIA .
� IngressPacket
Chassis-based “bolt-on” security
FabricFabric
� Packet passes to fabric and multiple busses
Bus 1 Bus 3Bus 2 Bus 5Bus 4
20 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
� Egress Packet
� Firewall � Intrusion Prevention
� IPsec VPN � NAT Routing /QoS
I/O Card
� Flow LookupClassification
DoS/DDoSPolicing
� IngressPacket
� ServicesFW/VPN/IDPNAT/Routing
OversubscriptionControl
1.5
SRX SERIES FULLY INTEGRATED PACKET FLOW
21 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
Packet
� Egress Packet
� QoS/Shaping
Fab
ricF
abric
Fab
ric
Integrated in SRX5000 IOC
I/O CardsNetwork
Processing Cards
Services Processing
Cards
ARQUITECTURA DINÁMICA DE SERVICIOS™ (DSA)
Densidad de Servicio.
� Flexibilidad para desplegarservicios.
� Fácil de integrar.
� Altamente Escalable.
� Firewall, IPS, IPsec VPN, DDoS/DoS, NAT, QoS, Routing, Application Security, and more
22 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
Carrier Grade Reliability
� Separación del plano de control y da datos.
� Diseño de alta disponibilidad paramantener el sistema aún bajoataques.
� Operación en modo cluster.
Escalabilidad de Interfaces y Procesamiento
� Flexible I/O y pools
� Gigabit Ethernet
� 10 Gigabit Ethernet
� Procesado de cualquier servicio en cualquier tarjeta.
� Escalabiliad linear.
23 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
SEGURIDAD ENTORNO VM
IMPLICACIONES DE SEGURIDAD EN ENTORNOSCLOUD/VIRTUALIZADOS
Red Física Red Virtual
VM1 VM2 VM3
ES
X/E
SX
iHost
Virtual Switch
24 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
Seguridad Física es “ciega” al tráfico entre Máquinas Virtuales.
Host
Firewall/IDS ven y protegeTodos el tráfico entre servidores
HYPERVISOR
Solución a Medida paraentornos Virtuales
VM1 VM2 VM3
ES
X/E
SX
i
Agentes Traditionalesdeseguridad
VLANs & Physical Segmentation
VM1 VM2 VM3
ES
X/E
SX
i
VM1 VM2 VM3
ES
X/E
SX
i
OPCIONES PARA SECURIZAR MAQUINAS VIRTUALES
11 22 33
25 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
VS
ES
X/E
SX
i Host
Virtual Security LayerVirtual Security LayerVS
ES
X/E
SX
i Host
VSE
SX
/ES
Xi H
ost
Regular Thick Agent for FW & AV
HYPERVISORHYPERVISOR
HYPERVISOR
LA META ES SECURIZAR EL CLOUD COMPUTING
ESX 1 ESXi 4
Virtual Security Layer
Virtual Security Layer Virtual Security Layer
Virtual Security Layer
26 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
Remote ESX 3
ESXi 2
ESXi 6
Hosted ESX 5
Virtual Security Layer
Virtual Security Layer Virtual Security Layer
Virtual Security Layer
Clouds Publicas, Privadaso Híbridas
Clouds Privados, públicos o híbridos requieren de mecanismos dinámicos y altamente integrados que garanticen la seguridad de la información.
“Stateful Inspection” a nivel de Kernel� Procesamiento independiente de las
políticas de seguridad.
� Alta disponibilidad.
Escalabilidad en todos los niveles.� Política de FW por VM.
� Escalable a más de 1000 hosts.
MODELO VGW
Virtual Center VM
VM1 VM2 VM3
Partner Server
ES
X or E
SX
i Host
Security Design
for vGW
12
27 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
� Escalable a más de 1000 hosts.
� Multi-center & split center support
Defensa Granular� IDS y AV integrados.
� “Auto-security” para nuevas VMs
� Compliance and image enforcement.
THE vGW ENGINE
Partner Server(IDS, SIM,
Syslog, Netflow)
Packet Data
VMWARE API’s
Any vSwitch(Standard, DVS, 3rd Party)
HYPERVISOR
VM
ware K
ernel
ES
X or E
SX
i Host
3
FIREWALL PERFORMANCE
28 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
TCP Throughput Test (Standard 1500 Byte packet size). See slide notes for details
COMPARATIVA “SLOW PATH” VS “FAST PASTH”
29 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
Modelo VMware Slow Path (Funcionalidad de Fw en VM)
vGW and Fast Path (Fw Proc. In Hypervisor Kernel)
Physical
Management and Security Services
SecurityDesign
Security Threat Response ManagerSTRM
Services Virtual
UNA SOLUCIÓN INTEGRAL PARA “CLOUD -READY” DC
Virtual Control
30 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
SRX Series
Hypervisor
vGW Series
VM
vGW Virtual Gateway
Firewall
IPS
DoS Protection
AppSecure
DoS
Copyright © 2011 Juniper Networks, Inc. www.juniper.net
VM VM VM
App. dedicadas
Servidoresdedicados
EL RESULTADO: UN DC CON CAPACIDAD DE CRECIMIENTO EXPONENCIAL
Ríg
ido
de I.
T.M
odeloF
lexible,
Desde Hacia
Applications
Servers/Compute
Servicios Software
ServidoresVirtualizadosEscalabilidad
Performance
31 Copyright © 2010 Juniper Networks, Inc. www.juniper.net
dedicados
Storage Dedicado
Capas de Complejidad
Mod
elo
Lega
cy,
Ríg
ido F
lexible, virtualizado
NetworkNetwork
Compute
Storage
Virtualizados
Storage Compartido
QFabric Network
Inversión
Escalabilidad
Gestionabilidad