Možnosti zabezpečení komunikace ve virtualizovaném prostředí Simac Technik ČR, a.s. Praha, 26.10. 2012 Jan Kolář Vedoucí Technického Oddělení
[email protected]
Problémy, které musíme u virtualizace nejčastěji řešit • Díky VMware vMotion virtuální servery cestují přes fyzické porty a bezpečnostní politiky je musí následovat • Administrátoři potřebují aplikovat síťové a bezpečnostní politiky na lokálně přepínaný provoz • Zachování zodpovědnosti administrátorů za provoz bez výpadků • Nezávislost na VLAN při přesunu virtuálního serveru do jiného datacentra 3
Security Administration
Server Administration Network Administration
Situace z praxe
Permit Only Port 80(HTTP) of Web Permit Only Port 22 (SSH) to Servers application servers
Web-zone
Application-zone
Only Permit Web servers access to Application servers
Block all external access to database servers
Database-zone
Only Permit Application servers access to Database servers
Možná řešení • Cisco VSG a ASA 1000V • VMWare vShield a vCloud Networking and Security • Trend Micro Deep Security
5
Cisco VSG a ASA 1000V • Řešení jak pro Cloud, tak pro lokální DC • Dva rozdílné komplementární produkty • Virtual Security Gateway (VSG) • Adaptive Security Appliance (ASA) Virtual
• Lze použít pouze jeden z nich anebo oba současně • Vyžadují instalaci virtuálního switche Nexus 1000V • Instalace Nexus 1000V vyžaduje VMware Enteprise licenci • Vyžadují instalaci dedikovaného Management nástroje
6
Cisco VSG a ASA 1000V
Intra-Tenant Security
Tenant-Edge Security
• Zabezpečení provozu mezi virtuálními servery
• Zabezpečuje komunikaci mezi virtuálním světem a okolím
• L2 a L3 Firewall pro filtrování provozu mezi vnitřními zónami
• Defaultní brána pro komunikaci do fyzické sítě, L3 Firewall
• ACL mohou používat atributy síťové i atributy virtuálních serverů
• Funkce klasického Firewall včetně síťových ACL, site-to-site VPN, NAT, DHCP, protokolových inspekcí a IP audit
• Kontroluje se pouze první paket spojení, ostatní provoz jde díky vPath přímo
7
• Všechny pakety spojení musejí jít skrze Cisco ASA 1000V
Cisco VSG a ASA 1000V • Konzistence mezi virtualizovanou fyzickou a virtuální bezpečnosti • Komplementární produkty ̶ Cisco Virtual Secure Gateway (VSG) pro zabezpečení uvnitř virtuálního prostředí
Cisco® Virtual Network Management Center (VNMC) Tenant B
Tenant A VDC
VDC vApp
̶ Cisco ASA 1000V pro zabezpečení komunikace mimo virtuální prostředí
Cisco VSG
Cisco VSG
vApp
Cisco VSG
• Transparentní integrace ̶ Integrace s Cisco 1000V Switch a Cisco vPath technologií
Cisco VSG
Nexus®
• Škálovatelnost ̶ Lze přidávat další instance tak, jak roste potřeba
Cisco ASA 1000V
Cisco ASA 1000V
Cisco Nexus® 1000V
Funkce Cisco ASA 1000V IPsec VPN (site to site) NAT DHCP Default gateway Static routing Stateful inspection IP audit
Výkon Cisco ASA 1000V Skutečný výkon je závislý na množství přidělených systémových prostředků
Vyššího výkonu lze dosáhnout škálováním přidáním dalších ASA 1000V instancí
Maximum spojení
200,000
Počet spojení za vteřinu
10,000
Propustnost VPN (Mbps)
200 Mbps
Maximum VPN tunelů
750
Nároky na Cisco ASA 1000V
Minimální nároky pro každou instanci ASA 1000V
Nároky pro out-of-band management a HA
Požadované vCPU
1 vCPU - 1 Ghz
Požadované vRAM
1.5 GB
Požadované vHD místo
2.5 GB
Počet síťových rozhraní
2
Počet Management rozhraní
1
Počet rozhraní HA
1
Distribuované řízení provozu
Virtual Machine Attributes Port Profiles
Security Profiles
XML API
Management nástroje třetích stran
Vytváření pravidla na Cisco VSG a ASA 1000V
Source Condition
Destination Condition
Action
Operator
Operator
Attribute Type
VM Attributes
VM Attributes
Network Attributes
eq
Not-in-range
Network
Instance Name
Port Profile Name
IP Address
neq
Prefix
VM
Guest OS full name
Cluster Name
Network Port
gt
member
Custom
Zone Name
Hypervisor Name
lt
Not-member
range
Contains
Parent App Name
VMware vShield a vCloud Networking and Security • Rodina produktů od VMware • vShield se skládá ze 3 řešení: • vShield Edge • vShield App • vShield Endpoint
• Funkce vShield Edge a App jsou nově obsažené ve vCloud Networking and Security • Řešení vyžaduje VMware licenci Enterprise Plus • vShield Endpoint je již součástí vSphere 5.1
22
Řešení vCloud Networking and Security Abstrakce a sdílení zdrojů Integrated Management with vCenter/vCD
VDC 2
3rd party services
VDC 1
Minimalizace dedikovaného HW Optimalizace utilizace
Vytváření logických sítí
Zrychlení poskytování aplikací Škálovatelnost aplikace dle potřeby Zjednodušená správa a provoz Doplňující služby
VMware Networking & Security
Integrovaný management Rozšíření pro služby třetích stran
vSphere
Automatizace na základě politik
Dynamické poskytování zdrojů Zvýšení efektivity 23
vCloud Networking and Security komponenty Integrated Management with vCenter/vCD
VDC 1
VDC 2
3rd party services
VMware Networking & Security
vCloud Ecosystem Framework: Integrace služeb třetích stran vShield Manager: Integrace s managementem datacentra pomocí pluginu Edge gateway: Zabezpečuje hranice virtuálního datacentra a poskytuje služby brány Data Security: Chrání proti únikům dat App Firewall: Izoluje a chrání aplikace a virtuální servery
vSphere
VXLAN: Základní technologie pro pružná datová centra
Edge Gateway – zabezpečení virtuálního perimetru sítě Přehled
Integrated Management with vCenter/vCD
Integrované L4-7 služby pro hranice
VMware Networking & Security
VDC 1
virtuálního datacentra Firewall / NAT / DHCP Server IPSec and SSL VPN Load Balancer VXLAN Gateway Virtual appliance s možností vysoké dostupnosti
VDC 2
Výhody
vSphere
Jednotné řešení pro virtuální perimetr Eliminace potřeby specializovaných
Firewall Firewall 25
Load balancer Load balancer
VPN VPN
zařízení Zlepšení dostupnosti služeb Integrace s řešením třetích stran Centralizovaná správa a logování
App Firewall – ochrana definovaných aplikací Přehled VMware Networking & Security
VDC 1 PCI Zone
VDC 2
Firewall pro vybrané virtuální servery Integrace s vCenter objekty pro jednoduché vytváření politik Adaptivní důvěryhodné zóny Robustní flow monitoring
Finance Zone
Výhody
Chrání vybrané datové toky před
vSphere
hrozbami Izoluje virtuální servery Zvyšuje viditelnost a kontrolu nad provozem mezi virtuálními servery Zvyšuje bezpečnost a snižuje nároky na správy
VXLAN – mobilita VLAN mezi datacentry
Telephony
650.555.1212
650.555.1212
Mobile Telephony
Identifier = Location VXLAN 10
Networking
VLAN 10
VXLAN
Identifier = Location
VXLAN – mobilita VLAN mezi datacentry Segmenty VXLAN segmenty jsou definovány
Cluster/Pod 1
Cluster/Pod 2
ve vCloud Director nebo vCenter Vysoká škálovatelnost – až 16 miliónů VXLAN, což eliminuje limity klasických VLAN
Packet
Enkapsulace VXLAN
VXLAN enkapsulaci provádí
Packet
vSphere Enkapsulované pakety jsou přenášeny jako UDP
VXLAN 20
VDC
VDC
Flexibilita a elasticita VXLAN struktura je elastická a
Škálovatelné L2 sítě mezi datacentry pro vMotion a efektivní rozkládání zátěže
umožňuje cestovat provozu mezi clustery, virtuálními switchi a L3 sítěmi Žádné další investice – stávající přenosová infrstruktura nevyžaduje upgrade
vCloud Ecosystem Framework Možnosti integrace třetích stran pro bezpečnost a networking Uvnitř virtuálního serveru Přístup do síťového toku serveru Eliminace agentů
VDC 1
Hranice virtuálního systému Přístup z/do sítě na/z virtuální server Izolace a ochrana kritických aplikací
VDC 2
Hranice virtuální sítě Přístup z/na data mimo virtuální datacentrum Vkládání hraničních služeb
VDC 3
VMware vShield Endpoint
Zvýšení výkonu a efektivity existujících řešení na ochranů koncových systémů • Offload funkcí Antiviru • Dedikovaný, virtuální security server Funkce • Offload Antivirové aktivity na security VM • Správa Antivirových služeb přes více VM • Vynucení nápravy pomocí ovladače ve VM • Integrace třetích stran pomocí EPSEC API - Trend Micro, Symantec, McAfee • Policy Management: Zabudovaný anebo vlastní pomocí REST APIs • Logování aktivity Antiviru
VMware vShield Endpoint komponenty Security VM
Security Admin
Partner Management Console
Partner Agent
VM VM Guest VM
EPsec Interface
vShield Endpoint Library
APPs APP APP APPs APPs
REST
On Access Scans
OS OS OS
On Demand Scans Status Monitor
Kernel Kernel
Remediation
Guest Driver BIOS BIOS
Caching & Filtering
vShield Manager 4.1
VI Admin
vCenter
ESX 4.1
vShield Endpoint ESX Module vSphere Platform
Legend Partner Components
Partner Facing Components and APIs
vShield Endpoint Components
VMware Platform
VMware
Partner
Internal
Accessible
Interfaces
Interfaces
VMware vCloud Networking and Security edice vCloud Networking and Security vCloud Networking and Security Standard
vCloud Networking and Security Advanced
$150
$250
• List Price (license only)
$3,750
$6,250
• Included Licenses
25 VMs
25 VMs
Pricing and Licensing • Price Per VM
Products & Features • Firewall • Virtual Private Network(VPN) • VXLAN • vCloud Ecosystem Framework • Network Address Translation(NAT) • Dynamic Host Config. Protocol • High Availability(HA) • Load Balancing • Data Security • Endpoint
( Bundled in vSphere 5.1 )
Přehled
vCloud Networking and Security je nový produkt se dvěma edicemi: Standard a Advanced vCloud Networking and Security bude dostupný per VM VDS je prerekvizitou a je dostupný až v vSphere Enterprise+ Endpoint security je již zahrnuta ve všech edicích vSphere5.1 a bundlech, kromě Essential
Trend Micro Deep Security • Existující Endpoint security produkt rozšířen do virtuálního prostředí • Jeden ze 3 produktů podporovaných VMware pro endpoint security • Není pouze Firewall, má celkem 5 modulů • Jednotná konfigurační a reportingová konzole pro celé prostředí (fyzické servery, virtuální servery, desktopy) • Má za sebou již několik verzí, funkčně a integračně vyspělý
36
Trend Micro Deep Security 5 bezpečnostních modulů Deep Packet Inspection Detekuje a blokuje známé I zeroday útoky na cílené zranitelnosti
IDS / IPS
Štít proti zranitelnostem ve webových aplikacích
Web Application Protection Application Control
Chrání proti síťovým útokům, proti DoS útokům, a odhaluje skenovací útoky Optimalizuje identifikaci důležitých bezpečnostních údálostí zapadlých v logu
Firewall
Anti-Virus
Log Inspection
Integrity Monitoring
Poskytuje detailnější pohled a kontrolu nad aplikacemi, které přistupují k síti Detekuje a blokuje malware (webové hrozby, viry & červy, Trojské koně) Detekuje zlomyslné a neoprávněné změny v adresářích, souborech, registrech, atd
Řešení ochrany pomocí agenta anebo virtualního serveru
Závěr – pro jaké řešení se rozhodnout? • Jak a co provozuji ve virtualizovaném prostředí? • Jaké funkce virtualizovaného prostředí chci používat?
• Co chci s provozem ve virtálním prostředí dělat? • Pouze filtrovat/řídit provoz mezi virtuálními aplikacemi • Plnohodnotný firewall • Kontrola obsahu a zabezpečení virtuálních stanic • Balancovat provoz • Propojit datová centra na L2
• Jakou virtualizační, síťovou a serverovou platformu provozuji?
42
Dotazy?
43