INTEGRACIJA NSX-A SA SECURITY REŠENJIMA

Bezbednost-16 | Bezbednost-nova | Business&IT-br.7 | Tehnologije

Prisustvo velikog broja najrazličitijih vrsta napada i njihovo konstantno razvijanje predstavljaju pravi izazov za zaštitu korporativne mreže. VMware ima odgovor na ovaj izazov i nudi zaštitu vašeg data‑centra, bilo da pretnje dolaze sa interneta, iz same korporativne mreže ili data‑centra.

Postojeći softverski definisani data‑centri (SDDC) bazirani na VMware NSX rešenju pružaju brojne pogodnosti za olakšano upravljanje i podižu nivo sigurnosti u data‑centrima. Ovo rešenje omogućava potpunu funkcionalnost i kontrolu mrežnog saobraćaja, nezavisno od mrežnog hardvera. Mrežni servisi izvršavaju se na nivou hipervizora fizičkog hosta, zbog čega su svi procesi automatizovani, a samo rešenje se lako skalira. NSX donosi revolucionaran nivo bezbednosti, koristeći princip mikrosegmentacije i distribuiranog firewall‑a, koji omogućava kreiranje sigurnosnih polisa na nivou pojedinačne virtuelne mašine.

Ovakvim pristupom kreira se tzv. zero trust mreža, koja u okvirima data‑centra prosleđuje samo tačno definisan saobraćaj. Ipak, VMware je prepoznao i moguća poboljšanja NSX rešenja i integracijom sa partnerima omogućio detaljnu inspekciju saobraćaja do L7 nivoa.

Potreba za integracijom sa različitim proizvođačima security opreme javila se usled neophodnosti napredne inspekcije saobraćaja koju pružaju firewall‑ovi naredne generacije. Neke od funkcionalnosti koje oni omogućavaju jesu: detekcija saobraćaja i definisanje polisa prema URL kategorijama, tipu aplikacije, identitetu korisnika, kao i detekcija i prevencija IPS potpisa i malvera.

Prilikom integracije svih rešenja neophodno je izvršiti registraciju partnerskih servisa sa NSX menadžmentom. Na svakom hostu potrebno je kreirati virtuelnu mašinu koja će predstavljati firewall, kroz koji će prolaziti saobraćaj koji je neophodno analizirati. Upravljanje i preusmeravanje saobraćaja do firewall‑a odvijaće se na nivou virtuelnih mašina na kojima se nalaze aplikacije koje treba zaštititi. Ovakvom integracijom značajno se skraćuje vreme potrebno za implementaciju sigurnosnih polisa. Firewall‑ovi partnera „svesni su“ stanja virtuelne infrastrukture, tako da se bilo kakve promene, poput izmene IP adrese ili migracije virtuelne mašine, automatski reflektuju i na same sigurnosne polise firewall‑a. Neki od partnera koji omogućavaju ovakve napredne funkcionalnosti jesu Check Point, Palo Alto i Trend Micro.

Check Point je 2014. pokazao interesovanje za ovakvu saradnju i razvio vSEC rešenje za povezivanje sa NSX‑om. Pored već navedenih naprednih funkcija, koje ima svaki firewall naredne generacije, Check Point pruža i antispam, antibot, kao i zaštitu od targetovanih i zero-day napada. Ovo rešenje sastoji se od dve komponente; tu su vSEC gateway i kontroler. VSEC gateway je servisna virtuelna mašina koja se podiže na svakom hipervizoru u data‑centru i u potpunosti je integrisana sa vCenter‑om. Za redirekciju i inspekciju saobraćaja koristi NSX API, koji omogućava sigurnu komunikaciju između virtuelnih mašina, bez potrebe za izmenama na samoj mrežnoj topologiji. VSEC kontroler osigurava automatsko postavljanje gateway‑ja na svakom hostu i omogućava Check Point Security menadžmentu transparentnu integraciju sa NSX‑om i vCenter‑om. Na ovaj način Check Point menadžment dobija uvid u sve objekte u data‑centru, kao što su security grupe ili virtuelne mašine. Na osnovu ovih parametara, preko Smart konzole mogu da se kreiraju bezbednosne polise koje će biti instalirane na svaki vSEC gateway.

Palo Alto obezbeđuje zaštitu od poznatih pretnji koristeći standardne tehnike firewall‑a naredne generacije. Pored toga, on pruža i sandbox rešenje za detekciju sumnjivih fajlova i otkrivanje dosad nepoznatog malvera, kao i naprednih i upornih pretnji (ATP). Za razliku od sličnih rešenja, uključivanje svih funkcionalnosti kod Palo Alto zaštite ne narušava značajnije performanse uređaja, zbog drugačijeg pristupa obradi podataka.

Za integraciju ovog rešenja potrebno je implementirati Firewall VM seriju na svakom fizičkom hostu u data‑centru koji će vršiti inspekciju i detekciju malicioznog saobraćaja. Za menadžment ovih firewall‑ova koristi se centralizovana platforma Panorama. Ona nadgleda saobraćaj kroz firewall, upravlja konfiguracijom uređaja i generiše izveštaje o saobraćaju i bezbednosnim incidentima. Novina u PAN‑OS sistemu je mogućnost korišćenja dinamičkih adresnih grupa, koja omogućava identifikovanje virtuelne mašine na osnovu tagova, čime se olakšava administracija u slučaju promena funkcije ili lokacije ove mašine. Ovi tagovi su, zapravo, skup atributa koji na jedinstven način predstavljaju virtuelnu mašinu.

Trend Micro zaštita

Trend Micro Deep Security je još 2010. godine započeo postepeno povezivanje sa virtuelnom infrastrukturom data‑centra, integracijom sa VMware vShield rešenjem. Inicijalno, ovo rešenje je pružalo antimalver zaštitu bez potrebe za instalacijom agenta, da bi kasnije proširilo svoje funkcionalnosti na IPS i monitoring integriteta saobraćaja. Tri godine kasnije, započela je integracija Deep Discovery i VMware NSX rešenja. Ova integracija podrazumeva postojanje DSVA (Deep Security Virtual Appliance) koji će vršiti firewall funkciju i Deep Security menadžera koji će kreirati i slati sigurnosne polise do DSVA.

U savremeno doba, postojanje jednog firewall‑a naredne generacije na ulasku u data‑centar više nije dovoljno. Aplikacije u data‑centru treba da budu zaštićene i od spoljnih napada i od onih koji potiču iz samog data‑centra. Integracija VMware‑a i spoljnih partnera omogućila je dobijanje optimalnog rešenja, koje obezbeđuje visok nivo sigurnosti. NSX, sa jedne strane, obezbeđuje automatizaciju, skalabilnost i zaštitu na nivou virtuelne mašine uz pomoć mikrosegmentacije, dok partnerska rešenja vrše dublje ispitivanje saobraćaja, do nivoa aplikacije, identifikuju korisnike i štite od malicioznih napada. Ovakvo rešenje se brzo konfiguriše i lako se prilagođava svim promenama u okviru data‑centra.

Prednosti integracije sa partnerskim rešenjima:

Poboljšanje operativnosti i vidljivosti: monitoring mrežnih performansi, monitoring performansi aplikacija, analiza logova.
Poboljšanje sigurnosti: antivirus, firewall, IPS/IDS, vulnerability management, identity awareness.
Konekcija virtuelne i fizičke infrastrukture: hardverski L2 i L3 gateway.
Dostupnost aplikacija: load balansiranje, ADC (Application Delivery Controller), WAN optimizacija