© 2014 VMware Inc. All rights reserved. "Зона Златовласки", или микросегментация сети ЦОД средствами VMware NSX Сергей Лукьянов Консультант по решениям VMware Сергей Лукьянов Консультант по решениям VMware

Виртуализация сетей и сервисов безопасности Современный вызов безопасности ЦОД "Зона Златовласки" для ЦОД 4 фактора, почему виртуализация улучшает безопасность Микросегментация становится реализуемой Программа 2

Decoupled Hardware Software General Purpose Networking Hardware Network Hypervisor Requirement: IP Transport Virtual Network Workload L2, L3, L4-7 Network Services General Purpose Server Hardware Server Hypervisor Requirement: x86 Virtual Machine Application x86 Environment Сетевая виртуализация 3

Уровень абстракции для виртуализации вычислений Физическая сеть – камень преткновения для программного ЦОД Физическая Инфраструктура Медленная инициализация Ограниченные возможности размещения Ограниченная мобильность сотрудников Зависимость от оборудования Высокое потребление ресурсов Виртуальный ЦОД 4

Выход из положения – виртуализация сети Физическая Инфраструктура Уровень абстракции для виртуализации вычислений Уровень абстракции для виртуализации сети Виртуальный ЦОД Медленная инициализация Ограниченные возможности размещения Ограниченная мобильность сотрудников Зависимость от оборудования Высокое потребление ресурсов Программируемая инициализация Свободное размещение рабочих нагрузок Свободное перемещение ВМ Изоляция от оборудования Эксплуатационная эффективность 5

SDDC – не только виртуаликованная сеть 6 Виртуаликованная сеть SDN Распреде- ленное выполнение Виртуали- зованные сетевые сервисы Виртуали- кованная безопасность

Виртуализация сетей и сервисов безопасности Современный вызов безопасности ЦОД "Зона Златовласки" для ЦОД 4 фактора, почему виртуализация улучшает безопасность Микросегментация становится реализуемой Программа 7

Современный вызов сетевой безопасности в ЦОД 8 Обеспечение безопасности на уровне периметра доказало свою неэффективность Internet Традиционная модель безопасности фокусируется на защите периметра ЦОД Но новые угрозы безопасности демонстрируют несостоятельность такой модели

Недостаток или отсутствие средств контроля внутри периметра Internet Неэффективно Практически нереализуемо … 2 файервола 1000 рабочих нагрузок но Типичный ЦОД имеет: Дилемма: Защита периметра или защита каждой машины ? 13 Устраняет недостатки сетевой безопасности на уровне периметра … но до сих пор была практически нереализуема.

Компромисс между контекстом и изоляцией Программный ЦОД Любое приложение Платформа прогр. ЦОД Любые ресурсы x86 Любое хранилище Любая IP-сеть Виртуализация ЦОД Высокий уровень контекста Низкий уровень изоляции Высокий уровень изоляции Низкий уровень контекста Нет единообразного применения политик Традиционный подход 10

Виртуализация сетей и сервисов безопасности Современный вызов безопасности ЦОД "Зона Златовласки" для ЦОД 4 фактора, почему виртуализация улучшает безопасность Микросегментация становится реализуемой Программа 11

"Зона Златовласки" 12 Слишком горячо Слишком холодно

Уровень виртуализации сети – "Зона Златовласки" для сетевой безопасности 13 Сетевые службы и система безопасности (теперь встроены в гипервизор) Программный ЦОД Любое приложение Платформа прогр. ЦОД Любые ресурсы x86 Любое хранилище Любая IP-сеть Виртуализация ЦОД Маршрутизация уровня 3 Балансировка нагрузки Коммутация уровня 2 Брандмауэр / списки управления доступом

SDDC: никакого компромисса между контекстом и изоляцией 14 Программный ЦОД Любое приложение Платформа прогр. ЦОД Любые ресурсы x86 Любое хранилище Любая IP-сеть Виртуализация ЦОД Высокий уровень контекста Высокий уровень изоляции Единообразное применение Подход на основе SDDC Guest Introspection (быв. vShield Endpoint)

Виртуализация сетей и сервисов безопасности Современный вызов безопасности ЦОД "Зона Златовласки" для ЦОД 4 фактора, почему виртуализация улучшает безопасность Микросегментация становится реализуемой Программа 15

За счет чего сетевая виртуализация улучшает безопасность 2 2 Сегментация и микросегментация 3 3 Вставка сервисов 1 1 Изоляция и мультиарендность 4 4 Единая модель безопасности физической и виртуальной инфраструктуры 16

Проектирование микросегментации 17 Предполагаем, что угроза может быть во всем и действуем соответственно Изоляция и сегментация Доверие на уровне объектов / Принцип наименьших привилегий Повсеместность и централизованное применение Модель "нулевого доверия": ИСХОДНАЯ ПРЕДПОСЫЛКА ПРИНЦИПЫ ДИЗАЙНА

18 Изоляция Контролируемые коммуникации Контролируемые коммуникации с доп. сервисами Сегментация и микросегментация Вставка расширенных сервисов безопасности Отсутствие каких-либо коммуникаций Виртуализация сетевой безопасности ЦОД

Реализация микросегментации в NSX DMZ/Web VLAN App VLAN HR Finance Services/Managem ent VLAN DB VLAN HR Finance Services Mgmt Finance HR Файервол периметра Внутренний файервол DMZ/Web App DB HR Group App DMZ/Web DB Finance Group ServicesMgmt Services/Management Group Традиционная схема построения ЦОД ЦОД с NSX CONFIDENTIAL Каждая ВМ теперь имеет собственный периметр Все коммуникации идут в одном VLAN Политики соответствуют арендаторам / логическим группам Каждая ВМ теперь имеет собственный периметр Все коммуникации идут в одном VLAN Политики соответствуют арендаторам / логическим группам Микросегментация NSX улучшает сетевую безопасность Файервол периметра 19

Achieving segmentation with NSX CONFIDENTIAL Each VM can now be its own perimeter Policies align with logical groups Control communication within a single VLAN Prevents threats from spreading Each VM can now be its own perimeter Policies align with logical groups Control communication within a single VLAN Prevents threats from spreading NSX segmentation simplifies network security App DMZ Services DB Perimeter firewall FinanceHRIT AD NTPDHCPDNSCERT Inside firewall 20

Micro-segmentation 21 Isolation Explicit Allow Comm. (Default Deny) Secure Communications Structured Secure Communications NGFW IPS NGFW WAF IPS

Единая модель безопасности физической и виртуальной инфраструктуры 22 На примере брандмауэра следующего поколения компании Palo Alto Network Интернет Политика безопасности Администраторы системы безопасности Контроль трафика Виртуальный файервол Физический файервол

Автоматизированная безопасность в программном ЦОД 23 Микросегментация ЦОД

Автоматизированная безопасность в программном ЦОД 24 Микросегментация ЦОД

Вставка сервисов 25

NSX – платформа для построения партнерской экосистемы 26 Программный ЦОД Любое приложение Платформа прогр. ЦОД Любые ресурсы x86 Любое хранилище Любая IP-сеть Виртуализация ЦОД

NSX – платформа для партнерской экосистемы 27

Собственные и подключаемые сервисы NSX 28 AV, IDS, IPS, DLP, QoS, Vulnerability Mgmt, File Integrity Monitoring LB, Hardware Bridge L3, NGFW, Netflow, IPFIX, Log Analysis L2, L3, FW, NAT, LB, ECMP Bridge, VPN, DHCP, HA

Автоматизация применения политик безопасности 29 На примере антивируса Symantec DCS:Server Security Group = Quarantine Zone Members = {Tag = ANTI_VIRUS.VirusFound, Isolated Network} Security Group = Web Tier Задание политик Standard Web Policy Сканирование на вирусы Quarantine Policy Блокировать весь трафик Разрешить доступ антивируса Лечение от вируса Standard Web Policy Сканирование на вирусы Quarantine Policy Блокировать весь трафик Разрешить доступ антивируса Лечение от вируса

Управление безопасностью Встраивается в существующую инфраструктуру vCenter NSX Manager Распределенные сервисы Журнал сообщений Syslog Статистика NetFlow Аудит/нормативы Централикованная конфигурация и задание политик Системные события, журнал аудита, сообщения файервола Централизованный мониторинг и создание отчетов 30

New tab under Firewall menu to configure traffic redirection policy rule. Traffic redirection configured under Service Composer/Security Policy will be displayed on the UI as read only. New in 6.1 – Partner Security Services Source/Destination: Cluster DC DVS port group IP Sets Logical Switch Resource Pool Security Group vAPP VM vNIC Source/Destination: Cluster DC DVS port group IP Sets Logical Switch Resource Pool Security Group vAPP VM vNIC Action: Do not redirect Redirect Redirect to: Any 3 rd party vendor registered with NSX Action: Do not redirect Redirect Redirect to: Any 3 rd party vendor registered with NSX Service: Same list as Service for DFW policy rules Service: Same list as Service for DFW policy rules Management Plane 31

Виртуализация сетей и сервисов безопасности Современный вызов безопасности ЦОД "Зона Златовласки" для ЦОД 4 фактора, почему виртуализация улучшает безопасность Микросегментация становится реализуемой Программа 32

Почувствуйте разницу … 33

Производительность распределенного файервола 34

VMware NSX – переворот в подходе к сетевой безопасности внутри ЦОД 35 Файервол на уровне ядра гипервизора Микросегментация для каждого vNIC Высокая пропускная способность с минимальными задержками Каждый дополнительный гипервизор добавляет производительности Автоматизация на уровне платформы Автоматическое предоставление и изменение сетевых сервисов для рабочих нагрузок Политики файервола следуют за перемещением рабочих нагрузок Богатая палитра подключаемых сервисов 20 Гб/с пропускной способности на узел Микросегментация ЦОД становится эффективной и практически реализуемой!

Спасибо за внимание! Сергей Лукьянов Консультант по решениям VMware Сергей Лукьянов Консультант по решениям VMware