vmware如何利用自家軟體 實現安全合規的混合雲架構...vmware workspace one™...
TRANSCRIPT
Senior Solution Consultant
Terence Tsao曹建國
VMware on VMware
VMware如何利用自家軟體實現安全合規的混合雲架構
2
免責聲明
本簡報可能含有目前正在開發的產品特性或功能。
此新技術概觀並不代表 VMware 承諾會為任何正式上市產品提供這些功能。
功能可能會隨時變更,且不得併入任何合約、採購單或銷售合約中。
技術可行性及市場需求將會影響最終提供之技術。
對於所討論或介紹的任何新特性/功能/技術,目前尚未決定價格與套裝產品。
33
1. 跨出數位轉型的第一步
2. VMware 數位轉型基礎架構及混合雲實際應用案例
3. VMware 數位轉型的五大安全支柱
4
跨出數位轉型的第一步
5
未來兩年數位化轉型的關鍵
瞄準企業數位轉型的IT 策略
業務敏捷性和創新 非凡的行動體驗保護品牌形象和客戶信任
實現數位化工作空間
企業資安轉型
革新資料中心
整合多雲環境
加速企業數位化轉型
I T策略優先事項
6
IT-centric and
Project-focused
現行IT架構無法快速滿足不斷變化的業務需求
Siloed
organization
孤立的組織抑制有效的溝通和協作工作
Reactive
mindset
運營團隊總是在救火,沒有時間
進行創新
Trouble achieving or
hesitant to even offer SLAs
無法滿足SLA
Minimal
automation if
any at all
傳統IT的運營實踐非常複雜
數位轉型伴隨而來的IT挑戰
7
跨出數位轉型的出第一步:從簡單的先開始
Process
Technology
People
Your Digital
Transformation
8
任何雲端
任何裝置VMware Workspace ONE™ 桌面平台 行動裝置 身分識別
任何應用程式傳統應用程式 雲端原生應用程式 軟體即服務應用程式
資料中心現代化改造
資安轉型
建構數位工作區
公有雲整合
軟體定義的資料中心
VMware Cross-Cloud Architecture™
私有雲 混合雲 公有雲
VMware Cloud Foundation
VMware vRealize® Cloud Suite
VMware 建構數位轉型的整合式架構
F
VMware Cross-Cloud Services™
®™
9
VMware的數位轉型基礎架構
10
一致的基礎架構從 x86 進化到基礎架構即服務以及更先進形式
一步一腳印:我也吃我賣給你的食物
V1 虛擬化管理程序
V2 虛擬基礎架構
V3 軟體定義的資料中心
V4 混合雲
10
ESX ESX
ESX ESX
ESXi ESXi
ESXi ESXi
vCenter
vSAN
vSphere vSphere
vRealize
NSX
SDDC
(AWS)
SDDC
(VCPP)
VMware Cloud 服務
虛擬雲端網路
SDDC
(邊緣網段)
SDDC
(IBM)
SDDC
(內部部署)
SDDC
(內部部署)
SDDC
混合雲
vSphere vSphere
vSphere
11
VMware 實際運營的IT架構
Offices
117 1,000,000 6,000212,000 managed VM
130,000 (08/18)
40,000 (12/17)
Data Centers99.99% SLA
9100% virtualization
Avg. No of VMs
Created & Deleted
Weekly (08/18)
VMware ESXi Hosts(07/18)
Avg. No of Containers
Created & Deleted
Weekly (08/18)
55 (07/18)
38 (12/17)3
10.3PB (08/18)
8.4PB (12/17)73,000
Apps Micro-segmented
Using VMware NSX®
(07/18)
Production Apps in
VMware Cloud on AWS(07/18)
VMware vSAN
Raw storage(08/18)
Devices Managed by
AirWatch(07/18)
IT-MANAGED
ENVIRONMENT
12
降低18%的 IT 支出營收比
每位員工降低12%的 IT成本
比同業節省33% 的 IT花費
13
Cost (dollars)
VM
Cost $
/M
onth
per
VM
2013 2014 2015 2016
50%Cost Reduction
50%Cost Reduction
10,000 VMs
25,000 VMs
60,000 VMs
275,000 VMs
VM Includes:
1 GHz CPU, 2 GB memory
2017
175,000 VMs
326,000 VMs
20182012
450,000 VMs
Scaling of new infrastructure
(people & equipment) comparable to popularcommercial services
VMware 私有雲中,VM成長數量及成本變化
VMware Confidential
14
企業考慮使用混合雲的驅動力為何?
Cost and
Utilization
成本/使用率
Resiliency and
Disaster Recovery
可靠度 /災備還原
Vendor
Independence
and Leverage
避免廠商綁定
Compliance &
Security
資訊合規及安全性
Shadow IT
避免影子/地下IT
M&A
公司整併
15
企業使用混合雲的最大驅動力為何?
可靠度 / 災備還原
公司整併
避免影子/地下IT
資訊合規及安全性
避免廠商綁定
成本 / 使用率
16
VMware本身使用混合雲的策略考量
Cost and Utilization
成本和利用率
Resiliency and
Disaster Recovery
彈性和災難恢復
Mergers and
Acquisitions
公司整併
01 02 03
17
私有雲 公有雲 IoT邊緣運算
運作不一致 技能組合與工具不同 管理工具與安全控制機制截然不同
應用程式服務層級協定不一致
機器格式不相容
複雜性會阻礙混合雲發揮全部價值
17
我們也了解混合雲架構帶來的挑戰
18
v
移轉至雲端
主要使用情境
• 應用程式移轉
• 資料中心整合
• 資料中心移轉
• 雲端至雲端移轉
統一多雲作業
主要使用情境
• 多雲作業
• 混合雲作業
• 治理與合規
• 雲端作業成本計算
建立新一代應用程式
主要使用情境
• 雲端原生應用程式
• 測試與開發
• 應用程式現代化
• 隨選開發人員資源
• 邊緣網段
隨選延展
主要使用情境
• 災難復原與備份
• 地區性擴展
• 季節性、循環性容量
需求
VMware 瞭解 多雲/混合雲的價值
Hybrid
19
實際案例:Hybrid Cloud Use Case – VMworld Portal
VMworld
Web Portal
VMware
Cloud
on AWS
Site 2 Site
VPN
Private Cloud VMware Cloud for AWS
Security
Service 3
Security
Service 1
Security
Service 2
Security
Service 3
Security
Service 1
Security
Service 2
Next-Gen Firewalls
Load Balancer
App Cluster
Next-Gen Firewalls
Load Balancer
App Cluster
DB
Master
DB
Slave
DNSActive Directory
Core Services
DB
Slave
Core Services
DB
Master
Active DirectoryDNS
20
Delivered more than 120,000 VMs over five days with 100% uptime.
實際案例:Hybrid Cloud Use Case – VMworld Hands on Labs
Lab Lab Lab
Content
Amsterdam
Private Cloud
Lab Lab Lab
Content
Palo Alto
Private Cloud
Lab Lab Lab
Content
Wenatchee
IBM Softlayer 10%
Lab Lab Lab
Content
us-west (Oregon)
VMware on AWS 40%
Secondary/Disaster
Recovery Data Center
for US
Lab
Access
Direct
Console
Connections
Portal to DR Access
Portal to DC Access
Console Access to DC
VLP User Portal Access
Lab Selection
and Manuals
Lab Lab Lab
Content
Wenatchee
Private Cloud
Internet
VMworld
Hands On Lab
Attendee
Access
VMware
Learning
PortalLABs Virtual Machines
NSX Networks vSAN Storage (GB)
21
VMware Cloud on AWS 擴大全球服務版圖服務地區 2018 年第 4 季 2019 年第 1 季 2019 年第 2 季 2019 年下半年 未來
美國西部地區 - 奧勒岡州 亞太地區 - 東京 亞太地區 - 新加坡 南美洲 - 聖保羅 亞太地區 - 巴林 中國 - 北京
美國東部地區 - 維吉尼亞州北區 歐洲 - 愛爾蘭 亞太地區 - 孟買 亞太地區 - 香港 美國東部地區 Gov Cloud 中國 - 寧夏
歐洲 - 倫敦 美國西部地區 - 北加州 加拿大 - 中部地區 亞太地區 - 大阪 歐洲 - 瑞典
歐洲 - 法蘭克福 美國東部地區 - 俄亥俄州 歐洲 - 巴黎 亞太地區 - 首爾
亞太地區 - 雪梨 美國西部地區 Gov Cloud
21
22
VMware 混合雲接下來的應用方向
資料中心延伸 新一代應用程式
隨選容量
擴展版圖
應用程式現代化
新應用程式擴建
雲端移轉應用程式特定移轉
在資料中心四處移轉
基礎架構更新
災難復原
混合應用程式
22
23
VMware數位轉型的五大安全支柱
24
Our goal is to enable a
secure, non-intrusive
environment for the
business, including end
users, partners, and
customers.
Our role is to ensure
security and compliance
are built in from the start
and maintained
throughout the lifecycle.
We consult at all levels of
the business, from
developer up to the
corporate board of
directors, and with
customers and partners.
Once it is operational,
we handle day 2
monitoring and
response.
Our scope is all of VMware’s
worldwide operations.
Cloud Data Center Networks Mobile Devices Desktops Physical
(buildings)
VMware的資訊安全範圍和規模
25
安全的基礎架構儲存網路 運算裝置使用者
整合式商業網路
網路安全政策
行動和雲端環境中的
26
最低權限 微分段 資料加密 多因子認證 修補程式
27
VMware如何做到安全合規
最低權限
微分段
資料加密
多因子認證
修補程式
28
Employ and govern well-
defined roles across the
infrastructure
Use 'sudo' or similar
privilege escalation
mechanism
Log all privileged operations
and employ systems that
automatically look for
anomalies
支柱 1: Least Privilege 最低權限
29
支柱 2: Micro-segmentation 網路微分段
30
Logical segmentation around application boundaries
NSX - On-Demand Micro-segmentation
App
DMZ
Services
DB
Perimeter
firewall
AD NTP DHCP DNS CERT
App 1 App 2 App 3
Inside
firewall
Operationally infeasible and cost
prohibitive with traditional firewalls
• Security is shrink- wrapped around
each workload
• Firewall rules are enforced at the vNIC
level: “micro trust zone” for each
workload
• Threats are not able to infiltrate other
applications and exfiltrate data to the
outside
31
All managed user
devices are
encrypted
All traffic served
to the world is
encrypted
All WAN links are
encrypted
All cloud-hosted
data is encrypted
支柱 3: Encryption 資料加密
32
支柱 4: Multi-Factor Authentication多因子認証
All access to VMware networks requires
MFA with no exceptions
Certificates are pushed to managed
endpoints and are used to access Workspace
ONE, Wi-Fi, etc.
VMware Identity Manager (vIDM) is location-
aware and tailors the authentication
experience accordingly
Working toward eliminating passwords and
employing a 'Push' authentication model
│ ©
33
支柱 5: Patching 修補程式
34
Patching metrics – all critical patches applied within 24 hours of release, or less
Percentage of encrypted devices – 99% is the goal – eliminate legacy OS wherever possible
Percentage of applications managed by an GSS – ensure offboarding is performed
immediately or as defined, reliably
Micro-segmented by default. Define the good rather than just try to prevent the bad
MFA by default – all external network access must be MFA. Eliminate the use of 1FA!
Reduce your dwell time – from days to hours, to minutes
Everything is measurable – what are the goals ?
VMware 如何穩固5大安全支柱
35
雲端原生應用程式上市時間 • 創新 • 延展 • 與眾不同之處
現有應用程式成本管理 • 安全性 • 可靠性 • 控制
能見度 作業 自動化 安全性 治理 容器管理
雲端作業與自動化
混合雲 原生公有雲
容器虛擬機
for VMware
VMware Kubernetes
Engine
VMware Cloud on AWSProject
Dimension
KUBERNETESVM
VMware 雲端自動化
多雲發展過程的完整產品組合
VMware 軟體定義資料中心
vRealize Suite
vCloud Suite
36
雲端原生應用程式上市時間 • 創新 • 延展 • 與眾不同之處
現有應用程式成本管理 • 安全性 • 可靠性 • 控制
能見度 作業 自動化 安全性 治理 容器管理
雲端作業與自動化
混合雲 原生公有雲
容器虛擬機
for VMware
VMware Kubernetes
Engine
VMware Cloud on AWSProject
Dimension
KUBERNETESVM
VMware 雲端自動化
多雲發展過程的完整產品組合
VMware 軟體定義資料中心
vRealize Suite
vCloud Suite
一致的基礎架構虛擬機基礎架構 • 容器基礎架構
一致的作業自動化與作業 • 在各種雲端上
一致的開發人員經驗
Thank YOU