© 2014 VMware Inc. All rights reserved. Cетевая безопасность в виртуализованной инфраструктуре Лукьянов Сергей Аркадьевич
Управление Облачная инфраструктура Виртуализация Глобально прогресс движется в сторону программно-конфигурируемых ЦОД (SDDC) Виртуальные вычислительные ресурсы Автоматизи - рованное разверты- вание приложений Автоматизи- рованный мониторинг и управление Безопасное выделение ресурсов по требованию Програм- мная СХД Програм- мная сеть Катастро- фоустой- чивость Масштабируемость Безопас- ность Cloud APIs Миграция между облаками Автоматиза - ция 2
Управление Облачная инфраструктура Виртуализация VMware: все необходимое для построения облака vSphere Ent+ 5.5 IT Business Management* vCloud Automation Center 5.5 vFabric Application Director vCenter Operations Mgmt Suite vCenter Log Insight vCloud Director 5.5 vSAN 5.5* (Public Beta) vCNS 5.5 или NSX* Site Recovery Manager 5.5 Масштабируемость vCloud APIs vCloud Connector 2. 5 vCenter Orchestrator * Новые продукты 3
Уровень абстракции для виртуализации вычислений Физическая сеть – камень преткновения для программного ЦОД Физическая Инфраструктура Ограниченная мобильность приложений Сложность администрирования Возможные ошибки –> бреши в безопасности Неэффективные пути трафика Нет единого администрирования V и P Виртуальный ЦОД 4
Решение виртуализация сети Физическая Инфраструктура Уровень абстракции для виртуализации вычислений Уровень абстракции для виртуализации сети Виртуальный ЦОД Полностью динамичная инфраструктура Изоляция арендаторов Сегментация сети Безопасность привязана к рабочим нагрузкам Кратчайшие пути трафика 5
Сетевые гипервизоры от VMware 2013 vCNS v5.1 vCloud Suite (Network & Security) v5.1 vCNS v5.5 в составе vCloud Suite (Network & Security) v NSX vCloud NSX OpenCloud vCloud Network & Security
Наиболее востребованные сервисы сетей и безопасности NSX предоставляет встроенные логические сети и сервисы для типовых потребностей (и вызовов) автоматизации облачных услуг Распределенный межсетевой экран Виртуальные сети (логические коммутаторы) Балансировщик нагрузки Распределенный маршрутизатор VPN'ы межсайтовые & удаленного доступа Антивирусная платформа Endpoint и партнерская экосистема VXLAN-туннели P2V и V2V мосты 7
Сетевой экран NSX Распределенный Identity-based Высокоскоростной и линейно масштабируемый Мультиарендный C сохранением состояния (Stateful) Централизованно- администрируемый VXLAN DR DFW Security 8
Механизмы обеспечения сетевой безопасности Cредства управления ЦОД: vCenter, vCD, vCAC, OpenStack, Cloudstack Сторонние службы (AV, IDS, IPS, AAA, шифр-е) vSphere Интегрированные сторонние службы Partner Ecosystem Framework Изоляция и защита приложений и виртуальных машин Фаервол App Защита периметра виртуального ЦОД и предоставление служб шлюза Шлюз Edge Основа эластичных переносимых виртуальных сетей VXLAN Прозрачная интеграция со средствами управления ЦОД при помощи подключаемых модулей vCNS, NSX Manager Защита от утечек данных Data Security 9
Реализация VPN в NSX Site to Site (IPSEC) VPN IPsec, совместимый и протестированный с ведущими вендорами IKEv1 Шифрация – 3DES, AES128, AES256 Аппаратная разгрузка AESNI NAT & Perimeter Firewall Traversal User (SSL) VPN Клиенты для всех основных OS: Windows, Mac OS, Linux Удаленная аутенти- фикация через Active Directory, RSA Secure ID, LDAP, Radius TCP Acceleration Поддержка AESNI Операционная панель управления Cloud (L2) VPN Основаны на SSL Поддержка Web- proxy L2-мост в Облако Поддержка широковещания 10
Как сетевая виртуализация улучшает безопасность 2 2 Сегментация 3 3 Вставка сервисов 1 1 Изоляция и мультиарендность 4 4 Единая модель безопасности физической и виртуальной инфраструктуры 11
Изоляция и мультиарендность 12 Логическая изоляция арендаторов Изоляция от физической сети Индивидуальность настроек для каждого арендатора Любая IP-сеть, без подсетей, VLANов, ACL, брандмауэров Разделение VMware NSX Арендатор B Физические сети IP-сеть, которая надежна, и обеспечивает скорости и задержки, приемлемые для приложений Арендатор AАрендатор C
Сегментация
Вставка сервисов
Партнерская экосистема VMware NSX 15
Что могут добавить наши партнеры 16 Партнеры разрабатывают лучшие образцы наложенных сетевых сервисов: Anti-Virus (AV), Anti-Malware Application Delivery Controller (ADC) Application Whitelisting Application Firewall Data Loss Prevention (DLP) Encryption File Integrity Monitoring (FIM) Firewall (Host/Network) Identity and Access Management Intrusion Detection/Prevention System (IDS/IPS) Load Balancer Network Forensics Network Gateway (VXLAN) Network Port Profile Network Switch Policy and Compliance Solution Security Intelligence and Event Management (SIEM) User Access Control (closest to our SAM) Vulnerability Management WAN Optimizer Web Filter Свойства виртуальных сервисов: Программное развертывание Размещение любой рабочей нагрузки где угодноe Свободное перемещение рабочей нагрузки Отделение от оборудования Операционная эффективность
Internet Централизованные политики, распределенная работа, перемещение с ВМ Политика безопасности Новая политика безопасности - Избавление от узких мест в безопасности - Централизованные политики, распределенное применение правил - Политики перемещаются вместе с ВМ - Изменения в политиках автоматически применяются к соответствующим ВМ
Полнофункциональные многоуровневые сети, реализуемые программно L2 L3 Виртуальная сеть L2 Развертывание за секунды, а не дни С помощью экосистемы партнеров… На любой физической сетевой основе VXLAN Коммутаторы и VTEPs Брандмауэры Балансировщики нагрузки
Экосистема оборудования адаптируется к модели NSX Уровень 2 Уровень 3 Логическая сеть Уровень 2 вирт. комм. Шлюз NSX Физическая сеть (Arista, Cisco, HP, Juniper, Cumulus…) ВМ vSphereHyper-V*XenServerKVM вирт. комм. Оборудование Программное обеспечение Кластер контроллеров API-интерфейс Вирт. лок. сеть Диспетчер NSX API-интерфейс аппаратных туннелей Партнер пост. обор. Вирт. лок. сеть Облачное администрирование «Neutron API»
VM Identity-based Firewall VM Управляющий кластер NSX Транспортная IP-сеть VM Логическое представление сетей 20
Типы логических VPN 21 Public Cloud Site to Site (IPsec) VPN User (SSL) VPN Cloud (L2) VPN
Аутентификация и авторизация в NSX Есть сейчас Аутентификация: Базовая аутентификация доступа Унифицированный API аутентификации, применяемый к UI, CLI и средствам менеджмента/автоматизации Протокол LDAP Интеграция с SSO Авторизация: Авторизация локальных аккаунтов с привилегиями R / RW ко всей системе Унифицированный RBAC на всех NSX API объектах и методах Планируется Авторизация: RBAC для локальных аккаунтов 22
Аппаратные туннели Преимущества: Высокая детализация доступа. Подключение рабочих нагрузок аппаратного уровня с повышением производительности и пропускной способности. Та же модель эксплуатации (инициализация, мониторинг), что и для виртуальных сетей. Согласованность инициализации и процессов по всему ЦОД независимо от рабочих нагрузок; использование простой IP-матрицы.
Как сетевая виртуализация улучшает безопасность 2 2 Сегментация 3 3 Вставка сервисов 1 1 Изоляция и мультиарендность 4 4 Единая модель безопасности физической и виртуальной инфраструктуры 24
Спасибо за внимание! Лукьянов Сергей Аркадьевич