Embed Size (px)
Citation preview
© 2017 VMware Inc. All rights reserved.
Das Next Generation Data Center ist hybrid
Joerg Walz NSX Partner Development Specialist
Agenda
2
1 Cross-Cloud – aber wie?
2 Modernize Data Centers
3 Transform Security
4 Integrate Public Clouds
DIE HERAUSFORDERUNG DER UNENTSCHLOSSENHEIT
3
MACHT ES SINN WEITERHIN IT SELBST
ZU BETREIBEN?
WAS IST DIE RICHTIGE APP STRATEGIE?
WAS IST DIE PASSENDE CLOUD STRATEGIE?
BUDGETREDUZIERUNG
AUSBREITUNG VON ENDGERÄTEN
SIND WIR KONKURRENZFÄHIG?
CYBER RISK COMPLIANCE
67% der VMware Firmenkunden sehen für die Zukunft
eine ideale Lösung darin, mehrere Clouds nutzen
zu können
60% der Kunden
nutzen heute bereits
eine Public Cloud
48% der Kunden, die
mehrere Public Clouds
nutzen, nutzen sowohl
AWS, wie auch Azure
30% der
Applikationen werden
geschätzt bis 2020 in
Public Clouds laufen
70% der
Applikationen werden
geschätzt bis 2020
weiterhin in privaten
Umgebungen laufen
AWS Team Azure Team
Source: VMware Research - Customer Voice/Incircle Survey, 2016
Data Center Team
Immer mehr Firmen nutzen mehrere Clouds
Primär traditionell, im eigenem RZ
Lange, manuelle Prozesse
Probleme mit Sicherheit und Compliance
Mitarbeiter arbeiten in Silos
IT Realität
Viele Arten von Applikationen in
unterschiedlichen Umgebungen
Digitale Landschaft
AWS
Azure
On-premises
Bare metal apps
Three tier apps
Legacy apps
Cloud native apps
Branch
Die meisten IT-Organisationen sind noch nicht bereit für die neue Welt
AWS
Azure Will die richtigen
Kontrollen etablieren
IT FACHBEREICH
Will funktionierende
Applikationen
GESCHÄFTSBEREICH
Wie können diese beiden wichtigen Aspekte vereint werden?
AWS
Azure Will die richtigen
Kontrollen etablieren
IT FACHBEREICH
Will dass Applikationen
funktionieren
GESCHÄFTSBEREICH
Modernize
Data
Centers
Transform
Security
Integrate
Public
Clouds
Das Bindeglied ist das Netzwerk
© 2017 VMware Inc. All rights reserved. 8
Modernize
Data
Centers
“Netzwerk-Plattform”
Virtuelle Netzwerke
Netzwerk
Rechenleistung
Speicher
Virtualisierungsschicht
Netzwerkvirtualisierung
ist das Kernelement des
Software-Definierten
Rechenzentrums Netzwerk- und Security-
Dienste nun im Hypervisor
VM VM
VM VM
APP VM VM
VM VM
APP VM VM
VM VM
APP
Applikationen von der physikalischen Plattform befreien
APP APP APP APP APP APP
APP APP APP
Compute Storage
Networking Security
Compute Storage
Networking Security
Compute Storage
Networking Security
Compute
Networking
Die Applikationsverfügbarkeits-Lösung
Mehrere RZs zu einem Grossen zusammenfassen
Compute Storage Networking Security
Reduzierte Hardware-
Komplexität und operative
Kosten
Beschleunigte
Wiederherstellung und
reduzierte Downtime
Verbesserte
Applikationsverfügbarkeit
und Ausfallsicherheit
APP APP APP
HARDWARE
HARDWARE HARDWARE
Kundenbeispiel
• Einsatzgründe
– Kunde besitzt 2 Rechenzentren in Hamburg (als Primär / Backup konzipiert)
– Je nach Saison werden zusätzliche Workloads benötigt ohne im Vorfeld in CAPEX investieren zu müssen
– Auswahl eines IaaS Provider mit Sitz in Frankfurt, jedoch wurde eine Lösung benötigt, mit der die Applikationen konsistent erweitert werden konnten
• NSX als Bindeglied für Applikationsverfügbarkeit und RZ-Pooling
– Vergleichbare HW-Lösung zu teuer und nicht für alle Sites verfügbar
– NSX liefert auch zusätzliche Serverkapazität, da nun auch die Backup-Site in den Pool aufgenommen werden kann
• Nächster Schritt ist der Einsatz von Microsegmentation für das Firewalling der Apps
23
Online Einzelhändler in Deutschland
CONFIDENTIAL
Site A
Site B
Primäre Site
Vorprovisionierte Applikationen
Backup Site
Dynamische Kapazitätserhöhung
Site C
Neue Site – Managed Private Cloud
© 2017 VMware Inc. All rights reserved. 12
Transform
Security
Sicherheit ist nicht korrekt zugeordnet
13
Security Policies Security Controls
APPS DATA COMPUTE NETWORK
Von Monolitischen Stacks zu verteilten Applikationen
Die Applikation ist ein Netzwerk
Sicherung der Infrastruktur? PERIMETER SECURITY
Die Auswirkung der neuen Applikationen auf die Sicherheit PERIMETER SECURITY
Virtualisierung bietet eine sichere Abstraktion zwischen Infrastruktur und Applikationen
FW
FW
DB
WEB
APP
APP
APP
Mikrosegmentierung mit NSX
Kundenbeispiel: Werkzeugbauer in Deutschland
• Verbesserte Sicherheit und Kosteneinsparnis für die DMZ-Infrastruktur, Auflösung von Silos
• Einsatzgründe
– Alternde DMZ-Infrastruktur hatte nicht mehr genug Kapazität, um neue Dienste zu hosten
– Andere Teile des Rechenzentrums hatten noch Kapazität, konnten aber durch bisherige Silo-Zuweisung nicht für DMZ-Services genutzt werden
– Mit dem Einsatz von NSX kann nun jeder Workload adäquat geschützt werden und Resources können einheitlich genutzt werden
– Flexibilität und Kostenersparnis in der IT Infrastruktur
• Vorteile
– Kosten für DMZ-Refresh konnten gespart werden
– Verbesserte Sicherheit, auch für Services innerhalb einer DMZ-Zone
– Schnelle Projekt-Umsetzung (4 Monate von Idee zu PoC zu Implementierung)
– Einsatz kann auch auf internationale Standorte ausgerollt werden, um Entwicklungen und Innovationen zu schützen
CONFIDENTIAL 19
Virtual Network Assessment
• Analyse der Kommunikationswege (Ost-West, V-to-V, V-to-P, ..)
– Kommunikation innerhalb des RZs
– Geroutet / geswitched
– Kommunikation aus und in das RZ
• Risko-Analyse
– Top-Talkers, Dienste
• Vorschläge
– Sicherheitsgruppen
– Segmente
– Mikrosegmentierungs-Regeln
20
Sample Customer
Data Center Security & Networking Assessment
Summary and Key Recommendations
VMware NSX PreAssessment Tool analyzes traffic flow patterns to discover potential network and security
issues, and recommend ways to optimize your data center. The tool analyzed 40.4 GB of data center traffic for
Sample Customer over 1 day period.
96% (38.7 GB) of traffic flows from server to server inside the data center (EastWest). EastWest traffic
flows often without firewalling or other security filtering, unlike NorthSouth traffic that flows to and from the
Internet and is protected by perimeter firewalls. Risk of a data breach (likelihood and impact) increases with
more EastWest traffic, which can be exploited and result in a breach with significant impact to the
business.
43% (21.9 GB) of the EastWest traffic is routed between different subnets/VLANs. In an optimally
designed data center, the majority of network traffic is switched. Switched traffic stays on the same
subnet/VLAN and eliminates hairpinning, reduce oversubscription, increase EastWest bandwidth
availability, and improve performance predictability.
Security Assessment
96%
EastWest Internet
96%EastWest
Networking Assessment
43%
57%
Routed (L3) Switched (L2)
43%Routed
(In EW Direction)
Key Recommendations
Threats can spread via EastWest traffic to a large majority of your infrastructure, applications, and
services. Urgently implement VMware NSX Micro Segmentation to create a zerotrust security model
A significant portion of your network traffic is routed between different subnets / VLANs. Strongly
consider using VMware NSX to localize and optimize traffic forwarding paths within and across
hypervisors.
Note: The metrics in this report are derived from 0 vCenter(s) configured in the VMware NSX PreAssessment Tool. The completeness and
accuracy of the report increases as you point the tool to more of your vCenters.
Sample Customer
Data Center Security & Networking Assessment
Top Talkers: By Traffic Type
Following are details on the different types of EastWest traffic that are the most prevalent inside your data
center, and the volume for each type. The top five are displayed; more can be found in the Dashboard of the
NSX PreAssessment Tool.
56%
20%
18%9443
8080
1521
22 [ssh]
Other
Type Volume
9443 21.9 GB
8080 7.9 GB
1521 7 GB
22 [ssh] 1.8 GB
Other 50.8 MB
Sample Customer
Data Center Security & Networking Assessment
Top Talkers: By Workload
Following are details on the workload pairs inside your data center that are the most chatty. Each pair includes
the source and destination workload, and the volume of EastWest traffic between them. The top five are
displayed; more can be found in the Dashboard of the NSX PreAssessment Tool.
21%
20%
20%
20%
19%
ProdMidtier11ProdMidtie...
LabMidtier9LabMidtier3
LabMidtier7LabMidtier8
ProdMidtier7ProdMidtier9
ProdMidtier6ProdMidtier4
Source Destination Volume
ProdMidtier11 ProdMidtier9 116.1 MB
LabMidtier9 LabMidtier3 113.7 MB
LabMidtier7 LabMidtier8 111 MB
ProdMidtier7 ProdMidtier9 110.9 MB
ProdMidtier6 ProdMidtier4 108.1 MB
Sample Customer
Data Center Security & Networking Assessment
Micro Segmentation Blueprint
Following is a microsegmented view of your network. This model shows the EastWest traffic between
workloads. The workloads are categorized into logical security groups based on compute and network visibility
(in this case VLAN/VXLAN). It also includes recommendations on the firewall rules required to protect workloads
and the traffic between them. The type of service accessed by the segments are also displayed. Five rules are
shown; more can be found in the Dashboard of the NSX PreAssessment Tool.
Micro Segments (By VLAN/VXLAN)
Internet (54)
Shared Phy.. (1)
DC Physica.. (2
3)
Others (1)
LabDev (2)
LabTe
st (2)
Pro
dD
B (5
)
La
bD
B (
6)
Lab
Web
(12)
LabMidtie.. (14)
ProdMidti.. (14)
Pro
dW
eb (
25)
Segment Information
159 VMs
38.7 GB of Flows
Protected by 12 Security Groups,
And 34 Firewall Rules
Recommended Firewall Rules
Source Destination Services Action
SGLabDev Internet 443 [https] ALLOW
DCPhysical SGLabDev 22 [ssh] ALLOW
DCPhysical SGLabTest 22 [ssh] ALLOW
SGLabTest Internet 443 [https] ALLOW
... ... ... ...
ANY ANY ANY DENY
© 2017 VMware Inc. All rights reserved. 21
Integrate
Public
Clouds
Cloud Freiheit und Kontrolle mit einer einheitlichen Betriebsumgebung
vCloud Air
vCloud Air Network
Make your public clouds
enterprise-class.
Best-in-Class
Private Cloud
Make your private cloud easy
and innovation-ready.
VMware Cross-Cloud Architecture
Freedom and control with the most complete
and capable hybrid cloud architecture
22 The information in this presentation is intended to outline our general product direction. It is for informational purposes only.
vSphere vSphere vSphere vSphere
VMware Cloud Foundation Cloud-specific non-VMware based infrastructure
Cross-Cloud Services™
Management & Operations Networking & Security Data Management & Governance
Kontrolle für die IT
Cross-Cloud Services™ Centralized management, comprehensive visibility, and enterprise-class security
Networking Insights
Operational visibility, control, and compliance across clouds
Optimize performance, health, and availability
AWS (Native), Private Cloud (vSphere)
Usage & Utilization
Visibility into apps and resources they consume
Analyze usage and utilization across clouds
AWS (Native), Azure, Private Cloud (vSphere)
Networking and Security
Create private networks within or across clouds
Secure networks with micro-segmentation
AWS (Native)
Cost Insights
Accounting and cost optimization for multiple clouds
Track and analyze your costs and trends
AWS (Native), Azure (Compute), Private Cloud (vSphere)
Der grundlegende Baustein für Cloud-Flexibilität
25
Sicherheit und Konnektivität über heterogene Endpunkte verwalten
On-Premise Data Center
New app frameworks
Mobile Devices (Airwatch)
Virtual Desktop (VDI)
Branch offices (Partner)
Public clouds
vCloud Air Network
