vmware如何利用自家軟體 實現安全合規的混合雲架構...vmware workspace one™...

37
Senior Solution Consultant Terence Tsao曹建國 VMware on VMware VMware如何利用自家軟體 實現安全合規的混合雲架構

Upload: others

Post on 09-Jul-2020

8 views

Category:

Documents


0 download

TRANSCRIPT

Page 1: VMware如何利用自家軟體 實現安全合規的混合雲架構...VMware Workspace ONE™ 桌面平台 行動裝置 身分識別 任何應用程式 傳統應用程式 雲端原生應用程式

Senior Solution Consultant

Terence Tsao曹建國

VMware on VMware

VMware如何利用自家軟體實現安全合規的混合雲架構

Page 2: VMware如何利用自家軟體 實現安全合規的混合雲架構...VMware Workspace ONE™ 桌面平台 行動裝置 身分識別 任何應用程式 傳統應用程式 雲端原生應用程式

2

免責聲明

本簡報可能含有目前正在開發的產品特性或功能。

此新技術概觀並不代表 VMware 承諾會為任何正式上市產品提供這些功能。

功能可能會隨時變更,且不得併入任何合約、採購單或銷售合約中。

技術可行性及市場需求將會影響最終提供之技術。

對於所討論或介紹的任何新特性/功能/技術,目前尚未決定價格與套裝產品。

Page 3: VMware如何利用自家軟體 實現安全合規的混合雲架構...VMware Workspace ONE™ 桌面平台 行動裝置 身分識別 任何應用程式 傳統應用程式 雲端原生應用程式

33

1. 跨出數位轉型的第一步

2. VMware 數位轉型基礎架構及混合雲實際應用案例

3. VMware 數位轉型的五大安全支柱

Page 4: VMware如何利用自家軟體 實現安全合規的混合雲架構...VMware Workspace ONE™ 桌面平台 行動裝置 身分識別 任何應用程式 傳統應用程式 雲端原生應用程式

4

跨出數位轉型的第一步

Page 5: VMware如何利用自家軟體 實現安全合規的混合雲架構...VMware Workspace ONE™ 桌面平台 行動裝置 身分識別 任何應用程式 傳統應用程式 雲端原生應用程式

5

未來兩年數位化轉型的關鍵

瞄準企業數位轉型的IT 策略

業務敏捷性和創新 非凡的行動體驗保護品牌形象和客戶信任

實現數位化工作空間

企業資安轉型

革新資料中心

整合多雲環境

加速企業數位化轉型

I T策略優先事項

Page 6: VMware如何利用自家軟體 實現安全合規的混合雲架構...VMware Workspace ONE™ 桌面平台 行動裝置 身分識別 任何應用程式 傳統應用程式 雲端原生應用程式

6

IT-centric and

Project-focused

現行IT架構無法快速滿足不斷變化的業務需求

Siloed

organization

孤立的組織抑制有效的溝通和協作工作

Reactive

mindset

運營團隊總是在救火,沒有時間

進行創新

Trouble achieving or

hesitant to even offer SLAs

無法滿足SLA

Minimal

automation if

any at all

傳統IT的運營實踐非常複雜

數位轉型伴隨而來的IT挑戰

Page 7: VMware如何利用自家軟體 實現安全合規的混合雲架構...VMware Workspace ONE™ 桌面平台 行動裝置 身分識別 任何應用程式 傳統應用程式 雲端原生應用程式

7

跨出數位轉型的出第一步:從簡單的先開始

Process

Technology

People

Your Digital

Transformation

Page 8: VMware如何利用自家軟體 實現安全合規的混合雲架構...VMware Workspace ONE™ 桌面平台 行動裝置 身分識別 任何應用程式 傳統應用程式 雲端原生應用程式

8

任何雲端

任何裝置VMware Workspace ONE™ 桌面平台 行動裝置 身分識別

任何應用程式傳統應用程式 雲端原生應用程式 軟體即服務應用程式

資料中心現代化改造

資安轉型

建構數位工作區

公有雲整合

軟體定義的資料中心

VMware Cross-Cloud Architecture™

私有雲 混合雲 公有雲

VMware Cloud Foundation

VMware vRealize® Cloud Suite

VMware 建構數位轉型的整合式架構

F

VMware Cross-Cloud Services™

®™

Page 9: VMware如何利用自家軟體 實現安全合規的混合雲架構...VMware Workspace ONE™ 桌面平台 行動裝置 身分識別 任何應用程式 傳統應用程式 雲端原生應用程式

9

VMware的數位轉型基礎架構

Page 10: VMware如何利用自家軟體 實現安全合規的混合雲架構...VMware Workspace ONE™ 桌面平台 行動裝置 身分識別 任何應用程式 傳統應用程式 雲端原生應用程式

10

一致的基礎架構從 x86 進化到基礎架構即服務以及更先進形式

一步一腳印:我也吃我賣給你的食物

V1 虛擬化管理程序

V2 虛擬基礎架構

V3 軟體定義的資料中心

V4 混合雲

10

ESX ESX

ESX ESX

ESXi ESXi

ESXi ESXi

vCenter

vSAN

vSphere vSphere

vRealize

NSX

SDDC

(AWS)

SDDC

(VCPP)

VMware Cloud 服務

虛擬雲端網路

SDDC

(邊緣網段)

SDDC

(IBM)

SDDC

(內部部署)

SDDC

(內部部署)

SDDC

混合雲

vSphere vSphere

vSphere

Page 11: VMware如何利用自家軟體 實現安全合規的混合雲架構...VMware Workspace ONE™ 桌面平台 行動裝置 身分識別 任何應用程式 傳統應用程式 雲端原生應用程式

11

VMware 實際運營的IT架構

Offices

117 1,000,000 6,000212,000 managed VM

130,000 (08/18)

40,000 (12/17)

Data Centers99.99% SLA

9100% virtualization

Avg. No of VMs

Created & Deleted

Weekly (08/18)

VMware ESXi Hosts(07/18)

Avg. No of Containers

Created & Deleted

Weekly (08/18)

55 (07/18)

38 (12/17)3

10.3PB (08/18)

8.4PB (12/17)73,000

Apps Micro-segmented

Using VMware NSX®

(07/18)

Production Apps in

VMware Cloud on AWS(07/18)

VMware vSAN

Raw storage(08/18)

Devices Managed by

AirWatch(07/18)

IT-MANAGED

ENVIRONMENT

Page 12: VMware如何利用自家軟體 實現安全合規的混合雲架構...VMware Workspace ONE™ 桌面平台 行動裝置 身分識別 任何應用程式 傳統應用程式 雲端原生應用程式

12

降低18%的 IT 支出營收比

每位員工降低12%的 IT成本

比同業節省33% 的 IT花費

Page 13: VMware如何利用自家軟體 實現安全合規的混合雲架構...VMware Workspace ONE™ 桌面平台 行動裝置 身分識別 任何應用程式 傳統應用程式 雲端原生應用程式

13

Cost (dollars)

VM

Cost $

/M

onth

per

VM

2013 2014 2015 2016

50%Cost Reduction

50%Cost Reduction

10,000 VMs

25,000 VMs

60,000 VMs

275,000 VMs

VM Includes:

1 GHz CPU, 2 GB memory

2017

175,000 VMs

326,000 VMs

20182012

450,000 VMs

Scaling of new infrastructure

(people & equipment) comparable to popularcommercial services

VMware 私有雲中,VM成長數量及成本變化

VMware Confidential

Page 14: VMware如何利用自家軟體 實現安全合規的混合雲架構...VMware Workspace ONE™ 桌面平台 行動裝置 身分識別 任何應用程式 傳統應用程式 雲端原生應用程式

14

企業考慮使用混合雲的驅動力為何?

Cost and

Utilization

成本/使用率

Resiliency and

Disaster Recovery

可靠度 /災備還原

Vendor

Independence

and Leverage

避免廠商綁定

Compliance &

Security

資訊合規及安全性

Shadow IT

避免影子/地下IT

M&A

公司整併

Page 15: VMware如何利用自家軟體 實現安全合規的混合雲架構...VMware Workspace ONE™ 桌面平台 行動裝置 身分識別 任何應用程式 傳統應用程式 雲端原生應用程式

15

企業使用混合雲的最大驅動力為何?

可靠度 / 災備還原

公司整併

避免影子/地下IT

資訊合規及安全性

避免廠商綁定

成本 / 使用率

Page 16: VMware如何利用自家軟體 實現安全合規的混合雲架構...VMware Workspace ONE™ 桌面平台 行動裝置 身分識別 任何應用程式 傳統應用程式 雲端原生應用程式

16

VMware本身使用混合雲的策略考量

Cost and Utilization

成本和利用率

Resiliency and

Disaster Recovery

彈性和災難恢復

Mergers and

Acquisitions

公司整併

01 02 03

Page 17: VMware如何利用自家軟體 實現安全合規的混合雲架構...VMware Workspace ONE™ 桌面平台 行動裝置 身分識別 任何應用程式 傳統應用程式 雲端原生應用程式

17

私有雲 公有雲 IoT邊緣運算

運作不一致 技能組合與工具不同 管理工具與安全控制機制截然不同

應用程式服務層級協定不一致

機器格式不相容

複雜性會阻礙混合雲發揮全部價值

17

我們也了解混合雲架構帶來的挑戰

Page 18: VMware如何利用自家軟體 實現安全合規的混合雲架構...VMware Workspace ONE™ 桌面平台 行動裝置 身分識別 任何應用程式 傳統應用程式 雲端原生應用程式

18

v

移轉至雲端

主要使用情境

• 應用程式移轉

• 資料中心整合

• 資料中心移轉

• 雲端至雲端移轉

統一多雲作業

主要使用情境

• 多雲作業

• 混合雲作業

• 治理與合規

• 雲端作業成本計算

建立新一代應用程式

主要使用情境

• 雲端原生應用程式

• 測試與開發

• 應用程式現代化

• 隨選開發人員資源

• 邊緣網段

隨選延展

主要使用情境

• 災難復原與備份

• 地區性擴展

• 季節性、循環性容量

需求

VMware 瞭解 多雲/混合雲的價值

Hybrid

Page 19: VMware如何利用自家軟體 實現安全合規的混合雲架構...VMware Workspace ONE™ 桌面平台 行動裝置 身分識別 任何應用程式 傳統應用程式 雲端原生應用程式

19

實際案例:Hybrid Cloud Use Case – VMworld Portal

VMworld

Web Portal

VMware

Cloud

on AWS

Site 2 Site

VPN

Private Cloud VMware Cloud for AWS

Security

Service 3

Security

Service 1

Security

Service 2

Security

Service 3

Security

Service 1

Security

Service 2

Next-Gen Firewalls

Load Balancer

App Cluster

Next-Gen Firewalls

Load Balancer

App Cluster

DB

Master

DB

Slave

DNSActive Directory

Core Services

DB

Slave

Core Services

DB

Master

Active DirectoryDNS

Page 20: VMware如何利用自家軟體 實現安全合規的混合雲架構...VMware Workspace ONE™ 桌面平台 行動裝置 身分識別 任何應用程式 傳統應用程式 雲端原生應用程式

20

Delivered more than 120,000 VMs over five days with 100% uptime.

實際案例:Hybrid Cloud Use Case – VMworld Hands on Labs

Lab Lab Lab

Content

Amsterdam

Private Cloud

Lab Lab Lab

Content

Palo Alto

Private Cloud

Lab Lab Lab

Content

Wenatchee

IBM Softlayer 10%

Lab Lab Lab

Content

us-west (Oregon)

VMware on AWS 40%

Secondary/Disaster

Recovery Data Center

for US

Lab

Access

Direct

Console

Connections

Portal to DR Access

Portal to DC Access

Console Access to DC

VLP User Portal Access

Lab Selection

and Manuals

Lab Lab Lab

Content

Wenatchee

Private Cloud

Internet

VMworld

Hands On Lab

Attendee

Access

VMware

Learning

PortalLABs Virtual Machines

NSX Networks vSAN Storage (GB)

Page 21: VMware如何利用自家軟體 實現安全合規的混合雲架構...VMware Workspace ONE™ 桌面平台 行動裝置 身分識別 任何應用程式 傳統應用程式 雲端原生應用程式

21

VMware Cloud on AWS 擴大全球服務版圖服務地區 2018 年第 4 季 2019 年第 1 季 2019 年第 2 季 2019 年下半年 未來

美國西部地區 - 奧勒岡州 亞太地區 - 東京 亞太地區 - 新加坡 南美洲 - 聖保羅 亞太地區 - 巴林 中國 - 北京

美國東部地區 - 維吉尼亞州北區 歐洲 - 愛爾蘭 亞太地區 - 孟買 亞太地區 - 香港 美國東部地區 Gov Cloud 中國 - 寧夏

歐洲 - 倫敦 美國西部地區 - 北加州 加拿大 - 中部地區 亞太地區 - 大阪 歐洲 - 瑞典

歐洲 - 法蘭克福 美國東部地區 - 俄亥俄州 歐洲 - 巴黎 亞太地區 - 首爾

亞太地區 - 雪梨 美國西部地區 Gov Cloud

21

Page 22: VMware如何利用自家軟體 實現安全合規的混合雲架構...VMware Workspace ONE™ 桌面平台 行動裝置 身分識別 任何應用程式 傳統應用程式 雲端原生應用程式

22

VMware 混合雲接下來的應用方向

資料中心延伸 新一代應用程式

隨選容量

擴展版圖

應用程式現代化

新應用程式擴建

雲端移轉應用程式特定移轉

在資料中心四處移轉

基礎架構更新

災難復原

混合應用程式

22

Page 23: VMware如何利用自家軟體 實現安全合規的混合雲架構...VMware Workspace ONE™ 桌面平台 行動裝置 身分識別 任何應用程式 傳統應用程式 雲端原生應用程式

23

VMware數位轉型的五大安全支柱

Page 24: VMware如何利用自家軟體 實現安全合規的混合雲架構...VMware Workspace ONE™ 桌面平台 行動裝置 身分識別 任何應用程式 傳統應用程式 雲端原生應用程式

24

Our goal is to enable a

secure, non-intrusive

environment for the

business, including end

users, partners, and

customers.

Our role is to ensure

security and compliance

are built in from the start

and maintained

throughout the lifecycle.

We consult at all levels of

the business, from

developer up to the

corporate board of

directors, and with

customers and partners.

Once it is operational,

we handle day 2

monitoring and

response.

Our scope is all of VMware’s

worldwide operations.

Cloud Data Center Networks Mobile Devices Desktops Physical

(buildings)

VMware的資訊安全範圍和規模

Page 25: VMware如何利用自家軟體 實現安全合規的混合雲架構...VMware Workspace ONE™ 桌面平台 行動裝置 身分識別 任何應用程式 傳統應用程式 雲端原生應用程式

25

安全的基礎架構儲存網路 運算裝置使用者

整合式商業網路

網路安全政策

行動和雲端環境中的

Page 26: VMware如何利用自家軟體 實現安全合規的混合雲架構...VMware Workspace ONE™ 桌面平台 行動裝置 身分識別 任何應用程式 傳統應用程式 雲端原生應用程式

26

最低權限 微分段 資料加密 多因子認證 修補程式

Page 27: VMware如何利用自家軟體 實現安全合規的混合雲架構...VMware Workspace ONE™ 桌面平台 行動裝置 身分識別 任何應用程式 傳統應用程式 雲端原生應用程式

27

VMware如何做到安全合規

最低權限

微分段

資料加密

多因子認證

修補程式

Page 28: VMware如何利用自家軟體 實現安全合規的混合雲架構...VMware Workspace ONE™ 桌面平台 行動裝置 身分識別 任何應用程式 傳統應用程式 雲端原生應用程式

28

Employ and govern well-

defined roles across the

infrastructure

Use 'sudo' or similar

privilege escalation

mechanism

Log all privileged operations

and employ systems that

automatically look for

anomalies

支柱 1: Least Privilege 最低權限

Page 29: VMware如何利用自家軟體 實現安全合規的混合雲架構...VMware Workspace ONE™ 桌面平台 行動裝置 身分識別 任何應用程式 傳統應用程式 雲端原生應用程式

29

支柱 2: Micro-segmentation 網路微分段

Page 30: VMware如何利用自家軟體 實現安全合規的混合雲架構...VMware Workspace ONE™ 桌面平台 行動裝置 身分識別 任何應用程式 傳統應用程式 雲端原生應用程式

30

Logical segmentation around application boundaries

NSX - On-Demand Micro-segmentation

App

DMZ

Services

DB

Perimeter

firewall

AD NTP DHCP DNS CERT

App 1 App 2 App 3

Inside

firewall

Operationally infeasible and cost

prohibitive with traditional firewalls

• Security is shrink- wrapped around

each workload

• Firewall rules are enforced at the vNIC

level: “micro trust zone” for each

workload

• Threats are not able to infiltrate other

applications and exfiltrate data to the

outside

Page 31: VMware如何利用自家軟體 實現安全合規的混合雲架構...VMware Workspace ONE™ 桌面平台 行動裝置 身分識別 任何應用程式 傳統應用程式 雲端原生應用程式

31

All managed user

devices are

encrypted

All traffic served

to the world is

encrypted

All WAN links are

encrypted

All cloud-hosted

data is encrypted

支柱 3: Encryption 資料加密

Page 32: VMware如何利用自家軟體 實現安全合規的混合雲架構...VMware Workspace ONE™ 桌面平台 行動裝置 身分識別 任何應用程式 傳統應用程式 雲端原生應用程式

32

支柱 4: Multi-Factor Authentication多因子認証

All access to VMware networks requires

MFA with no exceptions

Certificates are pushed to managed

endpoints and are used to access Workspace

ONE, Wi-Fi, etc.

VMware Identity Manager (vIDM) is location-

aware and tailors the authentication

experience accordingly

Working toward eliminating passwords and

employing a 'Push' authentication model

│ ©

Page 33: VMware如何利用自家軟體 實現安全合規的混合雲架構...VMware Workspace ONE™ 桌面平台 行動裝置 身分識別 任何應用程式 傳統應用程式 雲端原生應用程式

33

支柱 5: Patching 修補程式

Page 34: VMware如何利用自家軟體 實現安全合規的混合雲架構...VMware Workspace ONE™ 桌面平台 行動裝置 身分識別 任何應用程式 傳統應用程式 雲端原生應用程式

34

Patching metrics – all critical patches applied within 24 hours of release, or less

Percentage of encrypted devices – 99% is the goal – eliminate legacy OS wherever possible

Percentage of applications managed by an GSS – ensure offboarding is performed

immediately or as defined, reliably

Micro-segmented by default. Define the good rather than just try to prevent the bad

MFA by default – all external network access must be MFA. Eliminate the use of 1FA!

Reduce your dwell time – from days to hours, to minutes

Everything is measurable – what are the goals ?

VMware 如何穩固5大安全支柱

Page 35: VMware如何利用自家軟體 實現安全合規的混合雲架構...VMware Workspace ONE™ 桌面平台 行動裝置 身分識別 任何應用程式 傳統應用程式 雲端原生應用程式

35

雲端原生應用程式上市時間 • 創新 • 延展 • 與眾不同之處

現有應用程式成本管理 • 安全性 • 可靠性 • 控制

能見度 作業 自動化 安全性 治理 容器管理

雲端作業與自動化

混合雲 原生公有雲

容器虛擬機

for VMware

VMware Kubernetes

Engine

VMware Cloud on AWSProject

Dimension

KUBERNETESVM

VMware 雲端自動化

多雲發展過程的完整產品組合

VMware 軟體定義資料中心

vRealize Suite

vCloud Suite

Page 36: VMware如何利用自家軟體 實現安全合規的混合雲架構...VMware Workspace ONE™ 桌面平台 行動裝置 身分識別 任何應用程式 傳統應用程式 雲端原生應用程式

36

雲端原生應用程式上市時間 • 創新 • 延展 • 與眾不同之處

現有應用程式成本管理 • 安全性 • 可靠性 • 控制

能見度 作業 自動化 安全性 治理 容器管理

雲端作業與自動化

混合雲 原生公有雲

容器虛擬機

for VMware

VMware Kubernetes

Engine

VMware Cloud on AWSProject

Dimension

KUBERNETESVM

VMware 雲端自動化

多雲發展過程的完整產品組合

VMware 軟體定義資料中心

vRealize Suite

vCloud Suite

一致的基礎架構虛擬機基礎架構 • 容器基礎架構

一致的作業自動化與作業 • 在各種雲端上

一致的開發人員經驗

Page 37: VMware如何利用自家軟體 實現安全合規的混合雲架構...VMware Workspace ONE™ 桌面平台 行動裝置 身分識別 任何應用程式 傳統應用程式 雲端原生應用程式

Thank YOU