VMware NSX. Платформа безопасности для ЦОД

Обзор от коллег из VMware модели "минимальных полномочий" (Zero Trust Security) как средства защиты от атак "нулевого дня", и пример реализации этой модели на платформе VMware NSX.

1. Введение
2. Подход «Zero Trust Security» для защиты ЦОД
3. Платформа безопасности VMware NSX
4. Политики безопасности для приложений
5. Необходимое программное обеспечение
6. Информация о референсных внедрениях

1. Введение

В свете недавних кибератак на коммерческие и государственные организации вопрос обеспечения защиты от подобных атак стал особенно актуальным. Несмотря на то, что в большинстве организаций применялись специализированные средства антивирусной защиты, они оказались бессильны против атак “нулевого дня”.

Один из самых передовых методов повышения уровня цифровой безопасности в организациях и уменьшения вероятности успеха подобных атак — это использование модели минимальных полномочий («нулевого доверия») путем интеграции функций безопасности внутрь сетей центра обработки данных (ЦОД). Именно такой подход позволяет реализовать платформа VMware NSX.

Суть концепции «нулевого доверия» состоит в том, чтобы разрешать только необходимые коммуникации между системами, предполагая, что весь сетевой трафик является недоверенным. Такой подход значительно сокращает поверхность атаки и усложняет её распространение в случае заражения. Даже если один из компьютеров будет заражен, остальные системы в рамках сетевого сегмента будут в безопасности.

В то время как средства контроля на периметре ЦОД продолжают играть важную роль в защите, NSX повышает безопасность организации в наиболее распространенном и сложном для отслеживания направлении современных атак — горизонтальном (внутри сетевых сегментов ЦОД). Злоумышленники
фокусируются на атаках в сторону наименее защищенных систем и используют их в качестве плацдарма для горизонтального распространения инфекции, которая становится незаметной для традиционных средств защиты, ориентированных на направление Север-Юг. NSX делает такие атаки видимыми и менее эффективными, ограничивая их мобильность, при этом не требуется изменение существующей архитектуры сети ЦОД и перенастройка сетевого физического оборудования.

Помимо собственных средств сетевой защиты, платформа VMware NSX позволяет «на лету» подключать дополнительные средства защиты наших технологических партнеров (безагентская антивирусная защита, IDS/IPS, NGFW), обеспечивая комплексную защиту серверов и виртуализованных рабочих мест пользователей.

2. Подход «Zero Trust Security» для защиты ЦОД

Безопасность современных центров обработки данных, как правило, основывается на модели защищенного периметра. При этом более 70% трафика в ЦОД приходится на внутренний (горизонтальный) трафик, который не доходит до аппаратных решений на периметре. Таким образом, при попадании угрозы внутрь периметра ничто не препятствует ее распространению в ЦОД.

Архитектура Zero Trust Security, впервые предложенная Forrester Research, предлагает качественно иной подход к обеспечению безопасности на основе принципа “Never trust, always verify” («Никогда не доверяй, всегда проверяй»). В подходе Zero Trust не существует доверия по умолчанию ни для каких участников информационного обмена, включая пользователей, устройства, приложения и сетевые пакеты, вне зависимости от их типа, географического расположения или иерархии внутри корпоративной сети. Устанавливая границы, эффективно изолирующие различные компоненты приложений, вы можете защитить критичные данные от неавторизованных приложений или пользователей, скрыть уязвимые системы и предотвратить горизонтальное (в направлении Восток-Запад) распространение вредоносного программного обеспечения (ПО) в сети.

3. Платформа безопасности VMware NSX

В качестве прикладного инструмента реализации концепции Zero Trust, VMware предлагает использовать решение VMware NSX. Каждая виртуальная машина может быть заключена в свой собственный контур безопасности, независимо от того, к какой виртуальной или физической сети она подключена. Реализуемый за счет распределенного межсетевого экрана NSX подход к безопасности в виртуальном ЦОД, получивший название микро-сегментация, является гибкой и гранулярной моделью защиты, которая следует принципам Zero Trust и обеспечивает надежную защиту для каждой виртуальной машины (ВМ) в ЦОД.

NSX позволяет существенно повысить безопасность виртуальной платформы за счёт комбинации двух подходов: изоляции и сегментации. Изоляция достигается за счёт использования логических сетей, не привязанных к физической сетевой топологии. Создавая изолированные сетевые сегменты по требованию для новых приложений, можно повысить уровень контроля и затруднить распространение угроз внутри ЦОД. Сегментация на уровне гипервизора позволяет создавать логические сегменты безопасности и помещать в них виртуальные машины вне зависимости от сетевых настроек или местоположения в ЦОД.

Встроенные средства интеграции с партнерскими решениями по обеспечению безопасности позволяют защищать виртуальную инфраструктуру с использованием технологий, реализующих дополнительные функции защиты, например: IPS, IDS, DLP, безагентский антивирус, решения по управлению политиками безопасности. NSX автоматизирует развертывание партнерских решений, а также позволяет использовать соответствующие системы прозрачно для виртуальных машин.

4. Политики безопасности для приложений

В качестве целевой архитектуры предлагается реализовать модель микро-сегментации на базе виртуального распределенного межсетевого экрана. Для разграничения доступа между информационными системами не потребуется менять сетевую топологию и схему сетевой адресации, поскольку распределенный межсетевой экран применяет прозрачную для гостевой операционной системы фильтрацию на уровне каждой ВМ.

Для определения принадлежности к той или иной информационной системе могут применяться различные критерии группировки:

• Название ВМ или имя сервера;
• Операционная система;
• Кластер, ресурсная группа или виртуальный ЦОД;
• Виртуальные сети;
• Метки безопасности и др.

Наиболее гибким и в то же время надежным методом является использование меток безопасности для ВМ. При внедрении модели нулевого доверия каждой ВМ должна быть присвоена одна или нескольк меток NSX, которые характеризуют эту ВМ как относящуюся к определенной группе защиты в рамках инфраструктуры.

На основании меток безопасности относящиеся к одной логической группе ВМ объединяются в группу безопасности NSX (NSX Security Group). К каждой группе безопасности применяется политика безопасности NSX (NSX Security Policy), которая определяет правила сетевого взаимодействия как внутри группы, так и с внешними системами и другими группами.

Для описания необходимых портов и протоколов в NSX применяются сервисные группы (NSX Service Groups), которые представляют из себя группу сетевых сервисов (портов и протоколов), необходимых для работы приложения.

Рис. 2 – Модель защиты приложения

Для определения необходимых для работы приложения сетевых сервисов и направления коммуникаций между различными группами безопасности может быть использована система мониторинга VMware vRealize Network Insight (vRNI). Система vRNI позволяет собрать и проанализировать данные о сетевых потоках внутри виртуальной инфраструктуры, а также между виртуальными сетями и физической инфраструктурой. Для сбора необходимой информации применяется протокол IPFIX. После сбора и анализа данных vRNI позволяет получить список рекомендуемых правил для распределенного межсетевого экрана NSX, который можно использовать для настройки систем безопасности ЦОД в режиме нулевого доверия.

Рис. 3 – Система vRealize Network Insight

Схема общей архитектуры защиты ЦОД с использованием микро-сегментации решения приведена на следующем рисунке.

Рис. 4 – Целевая архитектура

5. Необходимое программное обеспечение

Для реализации описанного выше решения на базе платформы VMware NSX требуется наличие виртуальной инфраструктуры на базе гипервизора vSphere или KVM.

Лицензирование NSX для ЦОД осуществляется по сокетам (физическим процессорам сервера), как и в случае с гипервизором vSphere. Для инфраструктуры виртуальных рабочих мест (VDI) доступно лицензирование по количеству активных пользователей.

Существует три редакции продукта: Standard, Advanced, Enterprise, сравнение которых приведено в таблице ниже.

6. Информация о референсных внедрениях

Продукт VMware NSX впервые был представлен в 2013 г. и насчитывает более 2600 заказчиков по всему миру. Более 900 заказчиков используют решение в промышленной среде.

Информация о публичных историях успеха доступна на официальном сайте:
http://www.vmware.com/company/customers.html#product=nsx

Примеры публичных историй успеха:
• ПАО «ТГК-1»
• London Capital Group
• Prague Stock Exchange
• Amadeus

Дополнительно по запросу могут быть предоставлены более подробные примеры внедрений, а также организованы референсные звонки или встречи.