Page 1 Created with Sketch. Group Created with Sketch. Shape Copy 19 Created with Sketch. Shape Copy 19 Created with Sketch. Created with Sketch. Group Created with Sketch. Shape Created with Sketch. Combined Shape Created with Sketch. Group Created with Sketch. Page 1 Created with Sketch. Group 18 Created with Sketch. Combined Shape Created with Sketch. Group 21 Created with Sketch. Group 20 Created with Sketch. Rectangle 687 Created with Sketch. Page 1 Created with Sketch. Page 1 Created with Sketch. Page 1 Copy Created with Sketch. Page 1 Created with Sketch. Group 3 Created with Sketch. Shape Copy 19 Created with Sketch. pin Created with Sketch. Shape Created with Sketch. Group 9 Created with Sketch. commerce Created with Sketch. Oval 67 Created with Sketch. Page 1 Created with Sketch. Page 1 Created with Sketch. Page 1 Created with Sketch. Page 1 Created with Sketch. Page 1 Created with Sketch. Shape Created with Sketch. Page 1 Created with Sketch. security Created with Sketch. Group 10 Created with Sketch. Group 13 Created with Sketch. Star 1 Created with Sketch. Group 19 Created with Sketch. Group 2 Created with Sketch. Group 8 Created with Sketch. circle-3 Created with Sketch. Group 4 Created with Sketch. Page 1 Created with Sketch. Shape Copy 19 Created with Sketch.
—  VMware NSX. Платформа безопасности для ЦОД

VMware NSX. Платформа безопасности для ЦОД

VMware NSX. Платформа безопасности для ЦОД

VMware NSX. Платформа безопасности для ЦОД

Обзор от коллег из VMware модели "минимальных полномочий" (Zero Trust Security) как средства защиты от атак "нулевого дня", и пример реализации этой модели на платформе VMware NSX.

1. Введение
2. Подход «Zero Trust Security» для защиты ЦОД
3. Платформа безопасности VMware NSX
4. Политики безопасности для приложений
5. Необходимое программное обеспечение
6. Информация о референсных внедрениях


1. Введение

В свете недавних кибератак на коммерческие и государственные организации вопрос обеспечения защиты от подобных атак стал особенно актуальным. Несмотря на то, что в большинстве организаций применялись специализированные средства антивирусной защиты, они оказались бессильны против атак “нулевого дня”.

Один из самых передовых методов повышения уровня цифровой безопасности в организациях и уменьшения вероятности успеха подобных атак — это использование модели минимальных полномочий («нулевого доверия») путем интеграции функций безопасности внутрь сетей центра обработки данных (ЦОД). Именно такой подход позволяет реализовать платформа VMware NSX.

Суть концепции «нулевого доверия» состоит в том, чтобы разрешать только необходимые коммуникации между системами, предполагая, что весь сетевой трафик является недоверенным. Такой подход значительно сокращает поверхность атаки и усложняет её распространение в случае заражения. Даже если один из компьютеров будет заражен, остальные системы в рамках сетевого сегмента будут в безопасности.

В то время как средства контроля на периметре ЦОД продолжают играть важную роль в защите, NSX повышает безопасность организации в наиболее распространенном и сложном для отслеживания направлении современных атак — горизонтальном (внутри сетевых сегментов ЦОД). Злоумышленники
фокусируются на атаках в сторону наименее защищенных систем и используют их в качестве плацдарма для горизонтального распространения инфекции, которая становится незаметной для традиционных средств защиты, ориентированных на направление Север-Юг. NSX делает такие атаки видимыми и менее эффективными, ограничивая их мобильность, при этом не требуется изменение существующей архитектуры сети ЦОД и перенастройка сетевого физического оборудования.

Помимо собственных средств сетевой защиты, платформа VMware NSX позволяет «на лету» подключать дополнительные средства защиты наших технологических партнеров (безагентская антивирусная защита, IDS/IPS, NGFW), обеспечивая комплексную защиту серверов и виртуализованных рабочих мест пользователей.


2. Подход «Zero Trust Security» для защиты ЦОД

Безопасность современных центров обработки данных, как правило, основывается на модели защищенного периметра. При этом более 70% трафика в ЦОД приходится на внутренний (горизонтальный) трафик, который не доходит до аппаратных решений на периметре. Таким образом, при попадании угрозы внутрь периметра ничто не препятствует ее распространению в ЦОД.

Рисунок 1.JPG


Архитектура Zero Trust Security, впервые предложенная Forrester Research, предлагает качественно иной подход к обеспечению безопасности на основе принципа “Never trust, always verify” («Никогда не доверяй, всегда проверяй»). В подходе Zero Trust не существует доверия по умолчанию ни для каких участников информационного обмена, включая пользователей, устройства, приложения и сетевые пакеты, вне зависимости от их типа, географического расположения или иерархии внутри корпоративной сети. Устанавливая границы, эффективно изолирующие различные компоненты приложений, вы можете защитить критичные данные от неавторизованных приложений или пользователей, скрыть уязвимые системы и предотвратить горизонтальное (в направлении Восток-Запад) распространение вредоносного программного обеспечения (ПО) в сети.


3. Платформа безопасности VMware NSX

В качестве прикладного инструмента реализации концепции Zero Trust, VMware предлагает использовать решение VMware NSX. Каждая виртуальная машина может быть заключена в свой собственный контур безопасности, независимо от того, к какой виртуальной или физической сети она подключена. Реализуемый за счет распределенного межсетевого экрана NSX подход к безопасности в виртуальном ЦОД, получивший название микро-сегментация, является гибкой и гранулярной моделью защиты, которая следует принципам Zero Trust и обеспечивает надежную защиту для каждой виртуальной машины (ВМ) в ЦОД.

NSX позволяет существенно повысить безопасность виртуальной платформы за счёт комбинации двух подходов: изоляции и сегментации. Изоляция достигается за счёт использования логических сетей, не привязанных к физической сетевой топологии. Создавая изолированные сетевые сегменты по требованию для новых приложений, можно повысить уровень контроля и затруднить распространение угроз внутри ЦОД. Сегментация на уровне гипервизора позволяет создавать логические сегменты безопасности и помещать в них виртуальные машины вне зависимости от сетевых настроек или местоположения в ЦОД.

Встроенные средства интеграции с партнерскими решениями по обеспечению безопасности позволяют защищать виртуальную инфраструктуру с использованием технологий, реализующих дополнительные функции защиты, например: IPS, IDS, DLP, безагентский антивирус, решения по управлению политиками безопасности. NSX автоматизирует развертывание партнерских решений, а также позволяет использовать соответствующие системы прозрачно для виртуальных машин.


4. Политики безопасности для приложений

В качестве целевой архитектуры предлагается реализовать модель микро-сегментации на базе виртуального распределенного межсетевого экрана. Для разграничения доступа между информационными системами не потребуется менять сетевую топологию и схему сетевой адресации, поскольку распределенный межсетевой экран применяет прозрачную для гостевой операционной системы фильтрацию на уровне каждой ВМ.

Для определения принадлежности к той или иной информационной системе могут применяться различные критерии группировки:

  • Название ВМ или имя сервера;
  • Операционная система;
  • Кластер, ресурсная группа или виртуальный ЦОД;
  • Виртуальные сети;
  • Метки безопасности и др.

Наиболее гибким и в то же время надежным методом является использование меток безопасности для ВМ. При внедрении модели нулевого доверия каждой ВМ должна быть присвоена одна или нескольк меток NSX, которые характеризуют эту ВМ как относящуюся к определенной группе защиты в рамках инфраструктуры.

На основании меток безопасности относящиеся к одной логической группе ВМ объединяются в группу безопасности NSX (NSX Security Group). К каждой группе безопасности применяется политика безопасности NSX (NSX Security Policy), которая определяет правила сетевого взаимодействия как внутри группы, так и с внешними системами и другими группами.
Рисунок 2.JPG
Для описания необходимых портов и протоколов в NSX применяются сервисные группы (NSX Service Groups), которые представляют из себя группу сетевых сервисов (портов и протоколов), необходимых для работы приложения.

Рисунок 3.JPG

Рис. 2 – Модель защиты приложения

Для определения необходимых для работы приложения сетевых сервисов и направления коммуникаций между различными группами безопасности может быть использована система мониторинга VMware vRealize Network Insight (vRNI). Система vRNI позволяет собрать и проанализировать данные о сетевых потоках внутри виртуальной инфраструктуры, а также между виртуальными сетями и физической инфраструктурой. Для сбора необходимой информации применяется протокол IPFIX. После сбора и анализа данных vRNI позволяет получить список рекомендуемых правил для распределенного межсетевого экрана NSX, который можно использовать для настройки систем безопасности ЦОД в режиме нулевого доверия.

Рисунок 4.JPG
Рис. 3 – Система vRealize Network Insight

Схема общей архитектуры защиты ЦОД с использованием микро-сегментации решения приведена на следующем рисунке.

Рисунок 6.JPG

Рис. 4 – Целевая архитектура


5. Необходимое программное обеспечение

Для реализации описанного выше решения на базе платформы VMware NSX требуется наличие виртуальной инфраструктуры на базе гипервизора vSphere или KVM.

Лицензирование NSX для ЦОД осуществляется по сокетам (физическим процессорам сервера), как и в случае с гипервизором vSphere. Для инфраструктуры виртуальных рабочих мест (VDI) доступно лицензирование по количеству активных пользователей.

Существует три редакции продукта: Standard, Advanced, Enterprise, сравнение которых приведено в таблице ниже.

Рисунок 5.JPG

Для мониторинга и диагностики физической и виртуальной инфраструктуры ЦОД, а также построения модели микро-сегментации требуется ПО VMware vRealize Network Insight, которое также лицензируется по сокетам или пользователям VDI.


6. Информация о референсных внедрениях

Продукт VMware NSX впервые был представлен в 2013 г. и насчитывает более 2600 заказчиков по всему миру. Более 900 заказчиков используют решение в промышленной среде.

Информация о публичных историях успеха доступна на официальном сайте:
http://www.vmware.com/company/customers.html#product=nsx

Примеры публичных историй успеха:
• ПАО «ТГК-1»
• London Capital Group
• Prague Stock Exchange
• Amadeus

Дополнительно по запросу могут быть предоставлены более подробные примеры внедрений, а также организованы референсные звонки или встречи.


07.08.2017

Другие статьи

  • Обзор оборудования
    Обзор коммутаторов Dell EMC Networking N1100
    С августа 2017 стали доступны к заказу новые коммутаторы Dell EMC Networking серии N1100. Коммутаторы N1100 позиционируются как промежуточное решение между N-серией корпоративных коммутаторов и X-серией коммутаторов категории SMB. Производитель продолжил искать баланс функциональности и стоимости, чтобы предложить заказчикам "рабочую лошадку" для решения стандартных и простых задач за приемлемую стоимость. Читайте обзор 6 новых моделей коммутаторов среди которых стекируемые модели с функцией PoE/PoE+ и бесшумным дизайном.
  • Обзор оборудования
    Обзор решения по защите данных Dell EMC Integrated Data Protection Appliance

    Маркетинговый обзор от коллег из Dell EMC программно-аппаратного решения по комплексной защите данных организаций - Dell EMC Integrated Data Protection Appliance. Решение для среднего и, скорее, крупного бизнеса, позиционируется производителем как конкурент на рынке таких продуктов как HPE StoreOnce 5100/5500/6600, Veritas NetBackup 5240/5330, Quantum DXi4700/DXi6900. 

  • Обзор оборудования
    Рабочие станции, ноутбуки и мобильные устройства Fujitsu в 2016 г.
    С выпуском компанией Intel новой микроархитектуры Skylake, компания Fujitsu произвела обновления по всем направлениям продуктов для конечных пользователей. Изменения произошли не только в технической части продукции, но и в самих портфолио. В этой статье мы проведём обзор обновлённых предложений Fujitsu в сегменте персональных компьютеров, рабочих станций, ноутбуков и мобильных устройств.
  • Обзоры
    Дезагрегированная сетевая операционная система от Dell - Networking Operating System 10 (OS10)
    Небольшая статья от коллег из Dell. Обзор операционной системы для сетевого оборудования Dell - Networking Operating System 10 (OS10).
  • Обзор оборудования
    Серверы Fujitsu PRIMERGY и PRIMEQUEST
    Портфолио серверных решений Fujitsu стандартной архитектуры (x86) состоит из двух линеек: PRIMERGY и PRIMEQUEST. Линейка PRIMERGY включает в себя стандартные серверы в стоечном и башенном (напольном) исполнении, а также Blade-серверы и серверы серии CX. Семейство серверов PRIMEQUEST ориентировано на высокопроизводительные устройства на базе Intel Xeon E7 с повышенной надёжностью компонентов и отказоустойчивостью аппаратных решений.
  • Обзор оборудования
    Серверы HP ProLiant Gen9 для малого и среднего бизнеса: DL60 и DL80, ML10 v2 и ML110
    В статье будет проведён обзор предложений Hewlett-Packard для заказчиков в категории «малый и средний бизнес» - SMB, а также для ограниченных по бюджету и срокам проектов. Отдельно остановимся на продуктах «десятой» серии -  НР ProLiant 10, серии, которая ранее не присутствовала в портфолио HP ProLiant и которая появилась только в новом, девятом поколении.
  • Обзор оборудования
    Обзор серверов Hewlett-Packard девятого поколения (Gen9)
    Сервера ProLiant Gen9 на рынке присутствуют уже около 3-х кварталов, но вопросы о девятом поколении серверов HP продолжают поступать. Как показывает практика, эта тема особенно интересна заказчикам, которые уже имеют сервера предыдущего, восьмого поколения и выбирают между поддержанием собственной унификации и стандарта, или приобретением более современной линейки серверов.
  • Обзор оборудования
    Новые коммутаторы Dell Networking X-серии для SMB
    С этого года линейка коммутаторов Dell расширилась. В данном обзоре мы расскажем о новой линейке коммутаторов X-серии, специально спроектированной и предназначенной для Small and Medium Business (SMB) сегмента.
  • Обзор оборудования
    Обзор линейки маршрутизаторов серии Cisco ASR 1000

    В обзоре мы подробно остановимся на маршрутизаторах серии Cisco ASR 1000, которые продолжительное время присутствуют на рынке и позиционируют себя, как оборудование для решения сложных задач, обладающее высокой производительностью, отказоустойчивостью и богатым функционалом. Речь пойдет об особенностях Cisco ASR 1001-X, Cisco  ASR 1002-X, модульных моделей: Cisco ASR 1004, Cisco ASR 1006, Cisco ASR 1013.

  • Обзор оборудования
    СХД Hewlett-Packard MSA 1040 и 2040. Изменения и обновления в линейке
    В декабре 2014 года ожидаются изменения в линейке систем хранения данных Hewlett-Packard начального уровня - MSA: будут сняты с продажи системы MSA предыдущего 3-го поколения – MSA P2000.  В частности, будут реализованы расширенные средства по работе с данными: Снэпшоты (Snapshot) и Volume Сopy Services, которые входят в комплект MSA 1040 и 2040, вы узнаете о новой прошивке, новом расширенном функционале  и о многих других изменениях, которые каснутся данной линейки СХД.
  • Обзор оборудования
    Обзор межсетевых экранов следующего поколения Dell SonicWALL NGFW от Dell Software. Часть вторая
    Вторая часть статьи про Dell Software полностью посвящена оборудованию Dell SonicWALL. В этой статье будет освещено не всё оборудование производителя, а только то, что на данный момент доступно к заказу в России: серии NSA, TZ, SonicPoints, SuperMassive.
  • Обзор оборудования
    Обзор межсетевых экранов следующего поколения Dell SonicWALL NGFW от Dell Software. Часть первая
    В этой статье мы более детально расскажем вам о подразделении Dell Software и остановимся на Межсетевых экранах следующего поколения (Next-generation firewall, NGFW) под брендом SonicWALL. Расскажем об используемых в устройствах технологиях, сервисах и программном обеспечении Dell SonicWALL и подойдём вплотную к описанию линеек оборудования.
  • Обзор оборудования
    Новое  поколение маршрутизаторов Cisco серий ISR 4300 и ISR 4400

    Cisco Systems - один из мировых лидеров в области решений для телекоммуникаций, сообщила об обновлении существующей линейки маршрутизаторов, которая присутствует на рынке уже порядка 5 лет. Маршрутизаторы нового поколения значительно расширили предлагаемый функционал: появилась возможность развернуть на базе аппаратных ресурсов виртуализованные сервисы, увеличилась мощность и производительность, появилась возможность интеграции сервисов и многое другое...

  • Обзор оборудования
    Беспроводные решения корпоративного класса от Netgear
    Короткий сводный обзор беспроводных решений корпоративного класса от Netgear и рекомендованных методов их применения.
  • Обзор оборудования
    Представляем вашему вниманию виртуальный курс по серверам HP ProLiant Gen8 DL Rack Servers
    Виртуальный курс от Hewlett-Packard продолжительностью 17 минут, рассказывающий о возможностях серверов HP ProLiant Gen8 DL Rack Servers
  • Обзор оборудования
    Представляем вашему вниманию виртуальный курс по серверам HP ProLiant Gen8 ML Tower Servers
    Виртуальный курс от Hewlett-Packard продолжительностью 13 минут, рассказывающий о возможностях серверов HP ProLiant Gen8 ML Tower Servers
  • Обзор оборудования
    Обзор Dell KACE
    Обзор аппаратно-программного комплекса Dell KACE для решения задач управления ИТ-активами предприятия.
  • Обзоры
    Сравнение редакций vSphere with Operations Management
    VMware vSphere® with Operations Management™ — платформа виртуализации со средствами управления ИТ-ресурсами и производительностью. В данном обзоре представлен сравнительный анализ трех редакций: Standard, Enterprise, Enterprise Plus.
  • Обзор оборудования
    Серверы IBM System x с процессорами Intel® и AMD для установки в стойку
    Сводная сжатая информация от коллег из IBM по серверам IBM System x для установки в стойку.
  • Обзоры
    Резервное копирование и восстановление данных HP Data Protector
    Обзор возможностей программного продукта по резервирования и восстановлению данных HP Data Protector.