VMware NSX. Платформа безопасности для ЦОД

Коротко:

Обзор от коллег из VMware модели "минимальных полномочий" (Zero Trust Security) как средства защиты от атак "нулевого дня", и пример реализации этой модели на платформе VMware NSX. Статья составлена в актуальном контексте кибератак на коммерческие и государственные организации. Также в статье имеется информация по лицензированию и табличка сравнения редакций продукта VMware NSX.

img

Обзор от коллег из VMware модели "минимальных полномочий" (Zero Trust Security) как средства защиты от атак "нулевого дня", и пример реализации этой модели на платформе VMware NSX.

1. Введение
2. Подход «Zero Trust Security» для защиты ЦОД
3. Платформа безопасности VMware NSX
4. Политики безопасности для приложений
5. Необходимое программное обеспечение
6. Информация о референсных внедрениях


1. Введение

В свете недавних кибератак на коммерческие и государственные организации вопрос обеспечения защиты от подобных атак стал особенно актуальным. Несмотря на то, что в большинстве организаций применялись специализированные средства антивирусной защиты, они оказались бессильны против атак “нулевого дня”.

Один из самых передовых методов повышения уровня цифровой безопасности в организациях и уменьшения вероятности успеха подобных атак — это использование модели минимальных полномочий («нулевого доверия») путем интеграции функций безопасности внутрь сетей центра обработки данных (ЦОД). Именно такой подход позволяет реализовать платформа VMware NSX.

Суть концепции «нулевого доверия» состоит в том, чтобы разрешать только необходимые коммуникации между системами, предполагая, что весь сетевой трафик является недоверенным. Такой подход значительно сокращает поверхность атаки и усложняет её распространение в случае заражения. Даже если один из компьютеров будет заражен, остальные системы в рамках сетевого сегмента будут в безопасности.

В то время как средства контроля на периметре ЦОД продолжают играть важную роль в защите, NSX повышает безопасность организации в наиболее распространенном и сложном для отслеживания направлении современных атак — горизонтальном (внутри сетевых сегментов ЦОД). Злоумышленники
фокусируются на атаках в сторону наименее защищенных систем и используют их в качестве плацдарма для горизонтального распространения инфекции, которая становится незаметной для традиционных средств защиты, ориентированных на направление Север-Юг. NSX делает такие атаки видимыми и менее эффективными, ограничивая их мобильность, при этом не требуется изменение существующей архитектуры сети ЦОД и перенастройка сетевого физического оборудования.

Помимо собственных средств сетевой защиты, платформа VMware NSX позволяет «на лету» подключать дополнительные средства защиты наших технологических партнеров (безагентская антивирусная защита, IDS/IPS, NGFW), обеспечивая комплексную защиту серверов и виртуализованных рабочих мест пользователей.


2. Подход «Zero Trust Security» для защиты ЦОД

Безопасность современных центров обработки данных, как правило, основывается на модели защищенного периметра. При этом более 70% трафика в ЦОД приходится на внутренний (горизонтальный) трафик, который не доходит до аппаратных решений на периметре. Таким образом, при попадании угрозы внутрь периметра ничто не препятствует ее распространению в ЦОД.

Рисунок 1.JPG


Архитектура Zero Trust Security, впервые предложенная Forrester Research, предлагает качественно иной подход к обеспечению безопасности на основе принципа “Never trust, always verify” («Никогда не доверяй, всегда проверяй»). В подходе Zero Trust не существует доверия по умолчанию ни для каких участников информационного обмена, включая пользователей, устройства, приложения и сетевые пакеты, вне зависимости от их типа, географического расположения или иерархии внутри корпоративной сети. Устанавливая границы, эффективно изолирующие различные компоненты приложений, вы можете защитить критичные данные от неавторизованных приложений или пользователей, скрыть уязвимые системы и предотвратить горизонтальное (в направлении Восток-Запад) распространение вредоносного программного обеспечения (ПО) в сети.


3. Платформа безопасности VMware NSX

В качестве прикладного инструмента реализации концепции Zero Trust, VMware предлагает использовать решение VMware NSX. Каждая виртуальная машина может быть заключена в свой собственный контур безопасности, независимо от того, к какой виртуальной или физической сети она подключена. Реализуемый за счет распределенного межсетевого экрана NSX подход к безопасности в виртуальном ЦОД, получивший название микро-сегментация, является гибкой и гранулярной моделью защиты, которая следует принципам Zero Trust и обеспечивает надежную защиту для каждой виртуальной машины (ВМ) в ЦОД.

NSX позволяет существенно повысить безопасность виртуальной платформы за счёт комбинации двух подходов: изоляции и сегментации. Изоляция достигается за счёт использования логических сетей, не привязанных к физической сетевой топологии. Создавая изолированные сетевые сегменты по требованию для новых приложений, можно повысить уровень контроля и затруднить распространение угроз внутри ЦОД. Сегментация на уровне гипервизора позволяет создавать логические сегменты безопасности и помещать в них виртуальные машины вне зависимости от сетевых настроек или местоположения в ЦОД.

Встроенные средства интеграции с партнерскими решениями по обеспечению безопасности позволяют защищать виртуальную инфраструктуру с использованием технологий, реализующих дополнительные функции защиты, например: IPS, IDS, DLP, безагентский антивирус, решения по управлению политиками безопасности. NSX автоматизирует развертывание партнерских решений, а также позволяет использовать соответствующие системы прозрачно для виртуальных машин.


4. Политики безопасности для приложений

В качестве целевой архитектуры предлагается реализовать модель микро-сегментации на базе виртуального распределенного межсетевого экрана. Для разграничения доступа между информационными системами не потребуется менять сетевую топологию и схему сетевой адресации, поскольку распределенный межсетевой экран применяет прозрачную для гостевой операционной системы фильтрацию на уровне каждой ВМ.

Для определения принадлежности к той или иной информационной системе могут применяться различные критерии группировки:

  • Название ВМ или имя сервера;
  • Операционная система;
  • Кластер, ресурсная группа или виртуальный ЦОД;
  • Виртуальные сети;
  • Метки безопасности и др.

Наиболее гибким и в то же время надежным методом является использование меток безопасности для ВМ. При внедрении модели нулевого доверия каждой ВМ должна быть присвоена одна или нескольк меток NSX, которые характеризуют эту ВМ как относящуюся к определенной группе защиты в рамках инфраструктуры.

На основании меток безопасности относящиеся к одной логической группе ВМ объединяются в группу безопасности NSX (NSX Security Group). К каждой группе безопасности применяется политика безопасности NSX (NSX Security Policy), которая определяет правила сетевого взаимодействия как внутри группы, так и с внешними системами и другими группами.
Рисунок 2.JPG
Для описания необходимых портов и протоколов в NSX применяются сервисные группы (NSX Service Groups), которые представляют из себя группу сетевых сервисов (портов и протоколов), необходимых для работы приложения.

Рисунок 3.JPG

Рис. 2 – Модель защиты приложения

Для определения необходимых для работы приложения сетевых сервисов и направления коммуникаций между различными группами безопасности может быть использована система мониторинга VMware vRealize Network Insight (vRNI). Система vRNI позволяет собрать и проанализировать данные о сетевых потоках внутри виртуальной инфраструктуры, а также между виртуальными сетями и физической инфраструктурой. Для сбора необходимой информации применяется протокол IPFIX. После сбора и анализа данных vRNI позволяет получить список рекомендуемых правил для распределенного межсетевого экрана NSX, который можно использовать для настройки систем безопасности ЦОД в режиме нулевого доверия.

Рисунок 4.JPG
Рис. 3 – Система vRealize Network Insight

Схема общей архитектуры защиты ЦОД с использованием микро-сегментации решения приведена на следующем рисунке.

Рисунок 6.JPG

Рис. 4 – Целевая архитектура


5. Необходимое программное обеспечение

Для реализации описанного выше решения на базе платформы VMware NSX требуется наличие виртуальной инфраструктуры на базе гипервизора vSphere или KVM.

Лицензирование NSX для ЦОД осуществляется по сокетам (физическим процессорам сервера), как и в случае с гипервизором vSphere. Для инфраструктуры виртуальных рабочих мест (VDI) доступно лицензирование по количеству активных пользователей.

Существует три редакции продукта: Standard, Advanced, Enterprise, сравнение которых приведено в таблице ниже.

Рисунок 5.JPG

Для мониторинга и диагностики физической и виртуальной инфраструктуры ЦОД, а также построения модели микро-сегментации требуется ПО VMware vRealize Network Insight, которое также лицензируется по сокетам или пользователям VDI.


6. Информация о референсных внедрениях

Продукт VMware NSX впервые был представлен в 2013 г. и насчитывает более 2600 заказчиков по всему миру. Более 900 заказчиков используют решение в промышленной среде.

Информация о публичных историях успеха доступна на официальном сайте:
http://www.vmware.com/company/customers.html#product=nsx

Примеры публичных историй успеха:
• ПАО «ТГК-1»
• London Capital Group
• Prague Stock Exchange
• Amadeus

Дополнительно по запросу могут быть предоставлены более подробные примеры внедрений, а также организованы референсные звонки или встречи.


Коротко:

Обзор от коллег из VMware модели "минимальных полномочий" (Zero Trust Security) как средства защиты от атак "нулевого дня", и пример реализации этой модели на платформе VMware NSX. Статья составлена в актуальном контексте кибератак на коммерческие и государственные организации. Также в статье имеется информация по лицензированию и табличка сравнения редакций продукта VMware NSX.

Статьи по теме
subNew
11.02.2020
Статьи

Изменение в модели лицензирования продуктов VMware по процессорам


В феврале 2020г компания VMware официально анонсировала изменения в политике лицензирования своих продуктов, использующих принцип ценообразования из расчёта количества процессоров платформы. Изменения вступят в силу с апреля 2020г. В статье мы даём перевод официального заявления VMware, раздел "вопросы и ответы" и схему с примерами: имеется важная информация о льготах и существенных нюансах для владельцев серверов с многоядерными процессорами
subNew
22.08.2018
Обзоры

Обзор тонкого клиента Dell Wyse 5070


В мае 2018 на проходившей в Лас-Вегасе конференции Dell Technologies World был представлен новый тонкий клиент Dell Wyse 5070. Презентация прошла на фоне большого оптимизма и воодушевления сотрудников, с заявлениями о революционном продукте. О том, почему у сотрудников Dell были на это некоторые основания и что из себя представляет Dell Wyse 5070 – читайте в обзоре.
Смотрите похожие новости по тэгам
Смотрите похожие новости по тэгам
Другие статьи
subNew
05.09.2022
Обзоры

Обзор ТСД Point Moblie PM75 от Клеверенс


Предлагаем к прочтению технический обзор терминала сбора данных (ТСД) Point Moblie PM75 от Алеси Януш, эксперта по техническим статьям, анализу и тестированию работы ТСД в компании "Клеверенс". В обзоре приводятся краткие технические характеристики, распаковка, даётся оценка фактическим рабочим характеристикам и подводятся итоги с плюсами / минусами устройства.
subNew
05.04.2022
Статьи

АСКОН объявляет о выходе бета-версии КОМПАС-3D v21


Коллеги из компании АСКОН, российский разработчик САПР, объявили об открытом бета-тестировании новой версии своего флагманского решения КОМПАС-3D v21, выход которого ожидается летом 2022г. Сам период бета-тестирования начался с 01 апреля и завершится 31 мая 2022г. Ввиду текущего геополитического контекста, мы со своей стороны призываем коллег со стороны заказчиков присоединиться к инициативе и внести свой вклад в появлении на рынке конкурентного продукта.
subNew
31.03.2022
Обзоры

Шасси для медиаконвертеров D-Link DMC-1000/RU, собранные в Рязани


Коллеги из российского представительство D-Link объявили о начале поставок с 4 апреля 2022 года шасси для медиаконвертеров DMC-1000/RU, собранных на производственных мощностях в Рязанской области. Тематика локализации производства иностранных производителей и доступности к приобретению радиоэлектронной продукции является крайне актуальной. Предлагаем к прочтению обзор от коллег из D-Link технических характеристик и комплектации DMC-1000/RU.
subNew
25.02.2021
Обзоры

Обзор маршрутизаторов серии Cisco Catalyst 8000


В марте 2021г. становятся доступными к заказу в Российскую Федерацию анонсированные в октябре 2020г. маршрутизаторы серии Cisco Catalyst 8000. К этому событию коллеги из российского представительства Cisco Systems подготовили небольшую авторскую статью, в которой коротко изложили позиционирование и особенности моделей в серии Catalyst 8000 и сравнили их с моделями маршрутизаторов из серий Cisco ASR 1000 и Cisco ISR 4000. Предлагаем к прочтению.
subNew
12.11.2020
Статьи

Axis Communications увеличивает срок бесплатного гарантийного обслуживания продуктов до 5 лет


С 01 октября 2020г компания Axis Communications увеличила стандартный срок гарантии на свою продукцию с 3-х до 5-ти лет. Правило применяется ко всей продукции, отгруженной с 01 апреля 2020г. Официальный пресс-релиз производителя, ссылки на тематические разделы и брошюры производителя, а также наш перевод секции "вопросы-ответы" внутри статьи.
subNew
13.02.2020
Видео

"Это нормально - любить свою СХД" ролик от HPE к 14 февраля


Компания HPE поздравила своих клиентов с 14 февраля коротким шуточным роликом "Идеальный компаньон. Это нормально - любить свою СХД".
subNew
11.02.2020
Статьи

Изменение в модели лицензирования продуктов VMware по процессорам


В феврале 2020г компания VMware официально анонсировала изменения в политике лицензирования своих продуктов, использующих принцип ценообразования из расчёта количества процессоров платформы. Изменения вступят в силу с апреля 2020г. В статье мы даём перевод официального заявления VMware, раздел "вопросы и ответы" и схему с примерами: имеется важная информация о льготах и существенных нюансах для владельцев серверов с многоядерными процессорами
subNew
10.02.2020
Статьи

Принцип лицензирования QVR Pro от QNAP


Небольшая информационная статья-памятка от коллег из российского офиса QNAP о принципе лицензирования платформы QVR Pro, программного решения для управления видеорегистраторами и системами видеонаблюдения.
subNew
27.01.2020
Статьи

GoMiner мутирует и распространяется через облачные хранилища


Авторская статья специалиста Juniper по противодействию вредоносному программному обеспечению и обратному воспроизведению кода. В материале рассказывается о вредоносном криптомайнере GoMiner, отличительной способностью которого является распространение через поставщиков облачных хранилищ и сменные накопители, а также особые средства защиты, включая мутацию.
subNew
22.08.2018
Обзоры

Обзор тонкого клиента Dell Wyse 5070


В мае 2018 на проходившей в Лас-Вегасе конференции Dell Technologies World был представлен новый тонкий клиент Dell Wyse 5070. Презентация прошла на фоне большого оптимизма и воодушевления сотрудников, с заявлениями о революционном продукте. О том, почему у сотрудников Dell были на это некоторые основания и что из себя представляет Dell Wyse 5070 – читайте в обзоре.