VMware NSX. Платформа безопасности для ЦОД

VMware NSX. Платформа безопасности для ЦОД

07.08.2017

Обзор от коллег из VMware модели "минимальных полномочий" (Zero Trust Security) как средства защиты от атак "нулевого дня", и пример реализации этой модели на платформе VMware NSX.

1. Введение
2. Подход «Zero Trust Security» для защиты ЦОД
3. Платформа безопасности VMware NSX
4. Политики безопасности для приложений
5. Необходимое программное обеспечение
6. Информация о референсных внедрениях


1. Введение

В свете недавних кибератак на коммерческие и государственные организации вопрос обеспечения защиты от подобных атак стал особенно актуальным. Несмотря на то, что в большинстве организаций применялись специализированные средства антивирусной защиты, они оказались бессильны против атак “нулевого дня”.

Один из самых передовых методов повышения уровня цифровой безопасности в организациях и уменьшения вероятности успеха подобных атак — это использование модели минимальных полномочий («нулевого доверия») путем интеграции функций безопасности внутрь сетей центра обработки данных (ЦОД). Именно такой подход позволяет реализовать платформа VMware NSX.

Суть концепции «нулевого доверия» состоит в том, чтобы разрешать только необходимые коммуникации между системами, предполагая, что весь сетевой трафик является недоверенным. Такой подход значительно сокращает поверхность атаки и усложняет её распространение в случае заражения. Даже если один из компьютеров будет заражен, остальные системы в рамках сетевого сегмента будут в безопасности.

В то время как средства контроля на периметре ЦОД продолжают играть важную роль в защите, NSX повышает безопасность организации в наиболее распространенном и сложном для отслеживания направлении современных атак — горизонтальном (внутри сетевых сегментов ЦОД). Злоумышленники
фокусируются на атаках в сторону наименее защищенных систем и используют их в качестве плацдарма для горизонтального распространения инфекции, которая становится незаметной для традиционных средств защиты, ориентированных на направление Север-Юг. NSX делает такие атаки видимыми и менее эффективными, ограничивая их мобильность, при этом не требуется изменение существующей архитектуры сети ЦОД и перенастройка сетевого физического оборудования.

Помимо собственных средств сетевой защиты, платформа VMware NSX позволяет «на лету» подключать дополнительные средства защиты наших технологических партнеров (безагентская антивирусная защита, IDS/IPS, NGFW), обеспечивая комплексную защиту серверов и виртуализованных рабочих мест пользователей.


2. Подход «Zero Trust Security» для защиты ЦОД

Безопасность современных центров обработки данных, как правило, основывается на модели защищенного периметра. При этом более 70% трафика в ЦОД приходится на внутренний (горизонтальный) трафик, который не доходит до аппаратных решений на периметре. Таким образом, при попадании угрозы внутрь периметра ничто не препятствует ее распространению в ЦОД.

Рисунок 1.JPG


Архитектура Zero Trust Security, впервые предложенная Forrester Research, предлагает качественно иной подход к обеспечению безопасности на основе принципа “Never trust, always verify” («Никогда не доверяй, всегда проверяй»). В подходе Zero Trust не существует доверия по умолчанию ни для каких участников информационного обмена, включая пользователей, устройства, приложения и сетевые пакеты, вне зависимости от их типа, географического расположения или иерархии внутри корпоративной сети. Устанавливая границы, эффективно изолирующие различные компоненты приложений, вы можете защитить критичные данные от неавторизованных приложений или пользователей, скрыть уязвимые системы и предотвратить горизонтальное (в направлении Восток-Запад) распространение вредоносного программного обеспечения (ПО) в сети.


3. Платформа безопасности VMware NSX

В качестве прикладного инструмента реализации концепции Zero Trust, VMware предлагает использовать решение VMware NSX. Каждая виртуальная машина может быть заключена в свой собственный контур безопасности, независимо от того, к какой виртуальной или физической сети она подключена. Реализуемый за счет распределенного межсетевого экрана NSX подход к безопасности в виртуальном ЦОД, получивший название микро-сегментация, является гибкой и гранулярной моделью защиты, которая следует принципам Zero Trust и обеспечивает надежную защиту для каждой виртуальной машины (ВМ) в ЦОД.

NSX позволяет существенно повысить безопасность виртуальной платформы за счёт комбинации двух подходов: изоляции и сегментации. Изоляция достигается за счёт использования логических сетей, не привязанных к физической сетевой топологии. Создавая изолированные сетевые сегменты по требованию для новых приложений, можно повысить уровень контроля и затруднить распространение угроз внутри ЦОД. Сегментация на уровне гипервизора позволяет создавать логические сегменты безопасности и помещать в них виртуальные машины вне зависимости от сетевых настроек или местоположения в ЦОД.

Встроенные средства интеграции с партнерскими решениями по обеспечению безопасности позволяют защищать виртуальную инфраструктуру с использованием технологий, реализующих дополнительные функции защиты, например: IPS, IDS, DLP, безагентский антивирус, решения по управлению политиками безопасности. NSX автоматизирует развертывание партнерских решений, а также позволяет использовать соответствующие системы прозрачно для виртуальных машин.


4. Политики безопасности для приложений

В качестве целевой архитектуры предлагается реализовать модель микро-сегментации на базе виртуального распределенного межсетевого экрана. Для разграничения доступа между информационными системами не потребуется менять сетевую топологию и схему сетевой адресации, поскольку распределенный межсетевой экран применяет прозрачную для гостевой операционной системы фильтрацию на уровне каждой ВМ.

Для определения принадлежности к той или иной информационной системе могут применяться различные критерии группировки:

  • Название ВМ или имя сервера;
  • Операционная система;
  • Кластер, ресурсная группа или виртуальный ЦОД;
  • Виртуальные сети;
  • Метки безопасности и др.

Наиболее гибким и в то же время надежным методом является использование меток безопасности для ВМ. При внедрении модели нулевого доверия каждой ВМ должна быть присвоена одна или нескольк меток NSX, которые характеризуют эту ВМ как относящуюся к определенной группе защиты в рамках инфраструктуры.

На основании меток безопасности относящиеся к одной логической группе ВМ объединяются в группу безопасности NSX (NSX Security Group). К каждой группе безопасности применяется политика безопасности NSX (NSX Security Policy), которая определяет правила сетевого взаимодействия как внутри группы, так и с внешними системами и другими группами.
Рисунок 2.JPG
Для описания необходимых портов и протоколов в NSX применяются сервисные группы (NSX Service Groups), которые представляют из себя группу сетевых сервисов (портов и протоколов), необходимых для работы приложения.

Рисунок 3.JPG

Рис. 2 – Модель защиты приложения

Для определения необходимых для работы приложения сетевых сервисов и направления коммуникаций между различными группами безопасности может быть использована система мониторинга VMware vRealize Network Insight (vRNI). Система vRNI позволяет собрать и проанализировать данные о сетевых потоках внутри виртуальной инфраструктуры, а также между виртуальными сетями и физической инфраструктурой. Для сбора необходимой информации применяется протокол IPFIX. После сбора и анализа данных vRNI позволяет получить список рекомендуемых правил для распределенного межсетевого экрана NSX, который можно использовать для настройки систем безопасности ЦОД в режиме нулевого доверия.

Рисунок 4.JPG
Рис. 3 – Система vRealize Network Insight

Схема общей архитектуры защиты ЦОД с использованием микро-сегментации решения приведена на следующем рисунке.

Рисунок 6.JPG

Рис. 4 – Целевая архитектура


5. Необходимое программное обеспечение

Для реализации описанного выше решения на базе платформы VMware NSX требуется наличие виртуальной инфраструктуры на базе гипервизора vSphere или KVM.

Лицензирование NSX для ЦОД осуществляется по сокетам (физическим процессорам сервера), как и в случае с гипервизором vSphere. Для инфраструктуры виртуальных рабочих мест (VDI) доступно лицензирование по количеству активных пользователей.

Существует три редакции продукта: Standard, Advanced, Enterprise, сравнение которых приведено в таблице ниже.

Рисунок 5.JPG

Для мониторинга и диагностики физической и виртуальной инфраструктуры ЦОД, а также построения модели микро-сегментации требуется ПО VMware vRealize Network Insight, которое также лицензируется по сокетам или пользователям VDI.


6. Информация о референсных внедрениях

Продукт VMware NSX впервые был представлен в 2013 г. и насчитывает более 2600 заказчиков по всему миру. Более 900 заказчиков используют решение в промышленной среде.

Информация о публичных историях успеха доступна на официальном сайте:
http://www.vmware.com/company/customers.html#product=nsx

Примеры публичных историй успеха:
• ПАО «ТГК-1»
• London Capital Group
• Prague Stock Exchange
• Amadeus

Дополнительно по запросу могут быть предоставлены более подробные примеры внедрений, а также организованы референсные звонки или встречи.


Поделиться
СМОТРИТЕ ПОХОЖИЕ НОВОСТИ ПО ТЕГАМ:
Другие статьи

В 2017г японская компания Allied Telesis выпустила новое шасси MMCR18 для установки медиаконвертеров. Событие не самое приметное, если не учесть два обстоятельства: 1) Allied Telesis является одним из мировых лидеров на рынке медиаконвертеров 2) Предыдущее шасси производителя MCR12 присутствует на рынке 15 лет. Предлагаем небольшой обзор по шасси MMCR18, выпуск которого в своём роде является эпохальным и значимым.

С августа 2017 стали доступны к заказу новые коммутаторы Dell EMC Networking серии N1100. Коммутаторы N1100 позиционируются как промежуточное решение между N-серией корпоративных коммутаторов и X-серией коммутаторов категории SMB. Производитель продолжил искать баланс функциональности и стоимости, чтобы предложить заказчикам "рабочую лошадку" для решения стандартных и простых задач за приемлемую стоимость. Читайте обзор 6 новых моделей коммутаторов среди которых стекируемые модели с функцией PoE/PoE+ и бесшумным дизайном.

Маркетинговый обзор от коллег из Dell EMC программно-аппаратного решения по комплексной защите данных организаций - Dell EMC Integrated Data Protection Appliance. Решение для среднего и, скорее, крупного бизнеса, позиционируется производителем как конкурент на рынке таких продуктов как HPE StoreOnce 5100/5500/6600, Veritas NetBackup 5240/5330, Quantum DXi4700/DXi6900. 

С выпуском компанией Intel новой микроархитектуры Skylake, компания Fujitsu произвела обновления по всем направлениям продуктов для конечных пользователей. Изменения произошли не только в технической части продукции, но и в самих портфолио. В этой статье мы проведём обзор обновлённых предложений Fujitsu в сегменте персональных компьютеров, рабочих станций, ноутбуков и мобильных устройств.
Небольшая статья от коллег из Dell. Обзор операционной системы для сетевого оборудования Dell - Networking Operating System 10 (OS10).
Портфолио серверных решений Fujitsu стандартной архитектуры (x86) состоит из двух линеек: PRIMERGY и PRIMEQUEST. Линейка PRIMERGY включает в себя стандартные серверы в стоечном и башенном (напольном) исполнении, а также Blade-серверы и серверы серии CX. Семейство серверов PRIMEQUEST ориентировано на высокопроизводительные устройства на базе Intel Xeon E7 с повышенной надёжностью компонентов и отказоустойчивостью аппаратных решений.
В статье будет проведён обзор предложений Hewlett-Packard для заказчиков в категории «малый и средний бизнес» - SMB, а также для ограниченных по бюджету и срокам проектов. Отдельно остановимся на продуктах «десятой» серии -  НР ProLiant 10, серии, которая ранее не присутствовала в портфолио HP ProLiant и которая появилась только в новом, девятом поколении.
Сервера ProLiant Gen9 на рынке присутствуют уже около 3-х кварталов, но вопросы о девятом поколении серверов HP продолжают поступать. Как показывает практика, эта тема особенно интересна заказчикам, которые уже имеют сервера предыдущего, восьмого поколения и выбирают между поддержанием собственной унификации и стандарта, или приобретением более современной линейки серверов.
С этого года линейка коммутаторов Dell расширилась. В данном обзоре мы расскажем о новой линейке коммутаторов X-серии, специально спроектированной и предназначенной для Small and Medium Business (SMB) сегмента.

В обзоре мы подробно остановимся на маршрутизаторах серии Cisco ASR 1000, которые продолжительное время присутствуют на рынке и позиционируют себя, как оборудование для решения сложных задач, обладающее высокой производительностью, отказоустойчивостью и богатым функционалом. Речь пойдет об особенностях Cisco ASR 1001-X, Cisco  ASR 1002-X, модульных моделей: Cisco ASR 1004, Cisco ASR 1006, Cisco ASR 1013.

В декабре 2014 года ожидаются изменения в линейке систем хранения данных Hewlett-Packard начального уровня - MSA: будут сняты с продажи системы MSA предыдущего 3-го поколения – MSA P2000.  В частности, будут реализованы расширенные средства по работе с данными: Снэпшоты (Snapshot) и Volume Сopy Services, которые входят в комплект MSA 1040 и 2040, вы узнаете о новой прошивке, новом расширенном функционале  и о многих других изменениях, которые каснутся данной линейки СХД.
Вторая часть статьи про Dell Software полностью посвящена оборудованию Dell SonicWALL. В этой статье будет освещено не всё оборудование производителя, а только то, что на данный момент доступно к заказу в России: серии NSA, TZ, SonicPoints, SuperMassive.
В этой статье мы более детально расскажем вам о подразделении Dell Software и остановимся на Межсетевых экранах следующего поколения (Next-generation firewall, NGFW) под брендом SonicWALL. Расскажем об используемых в устройствах технологиях, сервисах и программном обеспечении Dell SonicWALL и подойдём вплотную к описанию линеек оборудования.

Cisco Systems - один из мировых лидеров в области решений для телекоммуникаций, сообщила об обновлении существующей линейки маршрутизаторов, которая присутствует на рынке уже порядка 5 лет. Маршрутизаторы нового поколения значительно расширили предлагаемый функционал: появилась возможность развернуть на базе аппаратных ресурсов виртуализованные сервисы, увеличилась мощность и производительность, появилась возможность интеграции сервисов и многое другое...

Короткий сводный обзор беспроводных решений корпоративного класса от Netgear и рекомендованных методов их применения.
Виртуальный курс от Hewlett-Packard продолжительностью 17 минут, рассказывающий о возможностях серверов HP ProLiant Gen8 DL Rack Servers
Виртуальный курс от Hewlett-Packard продолжительностью 13 минут, рассказывающий о возможностях серверов HP ProLiant Gen8 ML Tower Servers
Обзор аппаратно-программного комплекса Dell KACE для решения задач управления ИТ-активами предприятия.
VMware vSphere® with Operations Management™ — платформа виртуализации со средствами управления ИТ-ресурсами и производительностью. В данном обзоре представлен сравнительный анализ трех редакций: Standard, Enterprise, Enterprise Plus.
Сводная сжатая информация от коллег из IBM по серверам IBM System x для установки в стойку.