Možnosti zabezpečení komunikace ve virtualizovaném prostředí. Simac Technik ČR, a.s

Možnosti zabezpečení komunikace ve virtualizovaném prostředí Simac Technik ČR, a.s. Praha, 26.10. 2012 Jan Kolář Vedoucí Technického Oddělení [email protected]

Problémy, které musíme u virtualizace nejčastěji řešit •  Díky VMware vMotion virtuální servery cestují přes fyzické porty a bezpečnostní politiky je musí následovat •  Administrátoři potřebují aplikovat síťové a bezpečnostní politiky na lokálně přepínaný provoz •  Zachování zodpovědnosti administrátorů za provoz bez výpadků •  Nezávislost na VLAN při přesunu virtuálního serveru do jiného datacentra 3

Security Administration

Server Administration Network Administration

Situace z praxe

Permit Only Port 80(HTTP) of Web Permit Only Port 22 (SSH) to Servers application servers

Web-zone

Application-zone

Only Permit Web servers access to Application servers

Block all external access to database servers

Database-zone

Only Permit Application servers access to Database servers

Možná řešení •  Cisco VSG a ASA 1000V •  VMWare vShield a vCloud Networking and Security •  Trend Micro Deep Security

5

Cisco VSG a ASA 1000V •  Řešení jak pro Cloud, tak pro lokální DC •  Dva rozdílné komplementární produkty •  Virtual Security Gateway (VSG) •  Adaptive Security Appliance (ASA) Virtual

•  Lze použít pouze jeden z nich anebo oba současně •  Vyžadují instalaci virtuálního switche Nexus 1000V •  Instalace Nexus 1000V vyžaduje VMware Enteprise licenci •  Vyžadují instalaci dedikovaného Management nástroje

6

Cisco VSG a ASA 1000V

Intra-Tenant Security

Tenant-Edge Security

•  Zabezpečení provozu mezi virtuálními servery

•  Zabezpečuje komunikaci mezi virtuálním světem a okolím

•  L2 a L3 Firewall pro filtrování provozu mezi vnitřními zónami

•  Defaultní brána pro komunikaci do fyzické sítě, L3 Firewall

•  ACL mohou používat atributy síťové i atributy virtuálních serverů

•  Funkce klasického Firewall včetně síťových ACL, site-to-site VPN, NAT, DHCP, protokolových inspekcí a IP audit

•  Kontroluje se pouze první paket spojení, ostatní provoz jde díky vPath přímo

7

•  Všechny pakety spojení musejí jít skrze Cisco ASA 1000V

Cisco VSG a ASA 1000V •  Konzistence mezi virtualizovanou fyzickou a virtuální bezpečnosti •  Komplementární produkty ̶  Cisco Virtual Secure Gateway (VSG) pro zabezpečení uvnitř virtuálního prostředí

Cisco® Virtual Network Management Center (VNMC) Tenant B

Tenant A VDC

VDC vApp

̶  Cisco ASA 1000V pro zabezpečení komunikace mimo virtuální prostředí

Cisco VSG

Cisco VSG

vApp

Cisco VSG

•  Transparentní integrace ̶  Integrace s Cisco 1000V Switch a Cisco vPath technologií

Cisco VSG

Nexus®

•  Škálovatelnost ̶  Lze přidávat další instance tak, jak roste potřeba

Cisco ASA 1000V

Cisco ASA 1000V

Cisco Nexus® 1000V

Funkce Cisco ASA 1000V IPsec VPN (site to site) NAT DHCP Default gateway Static routing Stateful inspection IP audit

Výkon Cisco ASA 1000V Skutečný výkon je závislý na množství přidělených systémových prostředků

Vyššího výkonu lze dosáhnout škálováním přidáním dalších ASA 1000V instancí

Maximum spojení

200,000

Počet spojení za vteřinu

10,000

Propustnost VPN (Mbps)

200 Mbps

Maximum VPN tunelů

750

Nároky na Cisco ASA 1000V

Minimální nároky pro každou instanci ASA 1000V

Nároky pro out-of-band management a HA

Požadované vCPU

1 vCPU - 1 Ghz

Požadované vRAM

1.5 GB

Požadované vHD místo

2.5 GB

Počet síťových rozhraní

2

Počet Management rozhraní

1

Počet rozhraní HA

1

Distribuované řízení provozu

Virtual Machine Attributes Port Profiles

Security Profiles

XML API

Management nástroje třetích stran

Vytváření pravidla na Cisco VSG a ASA 1000V

Source Condition

Destination Condition

Action

Operator

Operator

Attribute Type

VM Attributes

VM Attributes

Network Attributes

eq

Not-in-range

Network

Instance Name

Port Profile Name

IP Address

neq

Prefix

VM

Guest OS full name

Cluster Name

Network Port

gt

member

Custom

Zone Name

Hypervisor Name

lt

Not-member

range

Contains

Parent App Name

VMware vShield a vCloud Networking and Security •  Rodina produktů od VMware •  vShield se skládá ze 3 řešení: •  vShield Edge •  vShield App •  vShield Endpoint

•  Funkce vShield Edge a App jsou nově obsažené ve vCloud Networking and Security •  Řešení vyžaduje VMware licenci Enterprise Plus •  vShield Endpoint je již součástí vSphere 5.1

22

Řešení vCloud Networking and Security Abstrakce a sdílení zdrojů Integrated Management with vCenter/vCD

VDC 2

3rd party services

VDC 1

  Minimalizace dedikovaného HW   Optimalizace utilizace

Vytváření logických sítí

  Zrychlení poskytování aplikací   Škálovatelnost aplikace dle potřeby   Zjednodušená správa a provoz Doplňující služby

VMware Networking & Security

  Integrovaný management   Rozšíření pro služby třetích stran

vSphere

Automatizace na základě politik

  Dynamické poskytování zdrojů   Zvýšení efektivity 23

vCloud Networking and Security komponenty Integrated Management with vCenter/vCD

VDC 1

VDC 2

3rd party services

VMware Networking & Security

vCloud Ecosystem Framework: Integrace služeb třetích stran vShield Manager: Integrace s managementem datacentra pomocí pluginu Edge gateway: Zabezpečuje hranice virtuálního datacentra a poskytuje služby brány Data Security: Chrání proti únikům dat App Firewall: Izoluje a chrání aplikace a virtuální servery

vSphere

VXLAN: Základní technologie pro pružná datová centra

Edge Gateway – zabezpečení virtuálního perimetru sítě Přehled

Integrated Management with vCenter/vCD

  Integrované L4-7 služby pro hranice

VMware Networking & Security

VDC 1

virtuálního datacentra   Firewall / NAT / DHCP Server   IPSec and SSL VPN   Load Balancer   VXLAN Gateway   Virtual appliance s možností vysoké dostupnosti

VDC 2

Výhody

vSphere

  Jednotné řešení pro virtuální perimetr   Eliminace potřeby specializovaných

Firewall Firewall 25

Load balancer Load balancer

VPN VPN

zařízení   Zlepšení dostupnosti služeb   Integrace s řešením třetích stran   Centralizovaná správa a logování

App Firewall – ochrana definovaných aplikací Přehled VMware Networking & Security

VDC 1 PCI Zone

VDC 2

  Firewall pro vybrané virtuální servery   Integrace s vCenter objekty pro jednoduché vytváření politik   Adaptivní důvěryhodné zóny   Robustní flow monitoring

Finance Zone

Výhody

  Chrání vybrané datové toky před

vSphere

hrozbami   Izoluje virtuální servery   Zvyšuje viditelnost a kontrolu nad provozem mezi virtuálními servery   Zvyšuje bezpečnost a snižuje nároky na správy

VXLAN – mobilita VLAN mezi datacentry

Telephony

650.555.1212

650.555.1212

Mobile Telephony

Identifier = Location VXLAN 10

Networking

VLAN 10

VXLAN

Identifier = Location

VXLAN – mobilita VLAN mezi datacentry Segmenty   VXLAN segmenty jsou definovány

Cluster/Pod 1

Cluster/Pod 2

ve vCloud Director nebo vCenter   Vysoká škálovatelnost – až 16 miliónů VXLAN, což eliminuje limity klasických VLAN

Packet

Enkapsulace VXLAN

  VXLAN enkapsulaci provádí

Packet

vSphere   Enkapsulované pakety jsou přenášeny jako UDP

VXLAN 20

VDC

VDC

Flexibilita a elasticita   VXLAN struktura je elastická a

Škálovatelné L2 sítě mezi datacentry pro vMotion a efektivní rozkládání zátěže

umožňuje cestovat provozu mezi clustery, virtuálními switchi a L3 sítěmi   Žádné další investice – stávající přenosová infrstruktura nevyžaduje upgrade

vCloud Ecosystem Framework Možnosti integrace třetích stran pro bezpečnost a networking Uvnitř virtuálního serveru Přístup do síťového toku serveru Eliminace agentů

VDC 1

Hranice virtuálního systému Přístup z/do sítě na/z virtuální server Izolace a ochrana kritických aplikací

VDC 2

Hranice virtuální sítě Přístup z/na data mimo virtuální datacentrum Vkládání hraničních služeb

VDC 3

VMware vShield Endpoint

Zvýšení výkonu a efektivity existujících řešení na ochranů koncových systémů •  Offload funkcí Antiviru •  Dedikovaný, virtuální security server Funkce • Offload Antivirové aktivity na security VM • Správa Antivirových služeb přes více VM • Vynucení nápravy pomocí ovladače ve VM • Integrace třetích stran pomocí EPSEC API - Trend Micro, Symantec, McAfee • Policy Management: Zabudovaný anebo vlastní pomocí REST APIs • Logování aktivity Antiviru

VMware vShield Endpoint komponenty Security VM

Security Admin

Partner Management Console

Partner Agent

VM VM Guest VM

EPsec Interface

vShield Endpoint Library

APPs APP APP APPs APPs

REST

On Access Scans

OS OS OS

On Demand Scans Status Monitor

Kernel Kernel

Remediation

Guest Driver BIOS BIOS

Caching & Filtering

vShield Manager 4.1

VI Admin

vCenter

ESX 4.1

vShield Endpoint ESX Module vSphere Platform

Legend Partner Components

Partner Facing Components and APIs

vShield Endpoint Components

VMware Platform

VMware

Partner

Internal

Accessible

Interfaces

Interfaces

VMware vCloud Networking and Security edice vCloud Networking and Security vCloud Networking and Security Standard

vCloud Networking and Security Advanced

$150

$250

• List Price (license only)

$3,750

$6,250

• Included Licenses

25 VMs

25 VMs

Pricing and Licensing • Price Per VM

Products & Features • Firewall • Virtual Private Network(VPN) • VXLAN • vCloud Ecosystem Framework • Network Address Translation(NAT) • Dynamic Host Config. Protocol • High Availability(HA) • Load Balancing • Data Security • Endpoint

( Bundled in vSphere 5.1 )

Přehled

  vCloud Networking and Security je nový produkt se dvěma edicemi: Standard a Advanced   vCloud Networking and Security bude dostupný per VM   VDS je prerekvizitou a je dostupný až v vSphere Enterprise+   Endpoint security je již zahrnuta ve všech edicích vSphere5.1 a bundlech, kromě Essential

Trend Micro Deep Security •  Existující Endpoint security produkt rozšířen do virtuálního prostředí •  Jeden ze 3 produktů podporovaných VMware pro endpoint security •  Není pouze Firewall, má celkem 5 modulů •  Jednotná konfigurační a reportingová konzole pro celé prostředí (fyzické servery, virtuální servery, desktopy) •  Má za sebou již několik verzí, funkčně a integračně vyspělý

36

Trend Micro Deep Security 5 bezpečnostních modulů Deep Packet Inspection Detekuje a blokuje známé I zeroday útoky na cílené zranitelnosti

IDS / IPS

Štít proti zranitelnostem ve webových aplikacích

Web Application Protection Application Control

Chrání proti síťovým útokům, proti DoS útokům, a odhaluje skenovací útoky Optimalizuje identifikaci důležitých bezpečnostních údálostí zapadlých v logu

Firewall

Anti-Virus

Log Inspection

Integrity Monitoring

Poskytuje detailnější pohled a kontrolu nad aplikacemi, které přistupují k síti Detekuje a blokuje malware (webové hrozby, viry & červy, Trojské koně) Detekuje zlomyslné a neoprávněné změny v adresářích, souborech, registrech, atd

Řešení ochrany pomocí agenta anebo virtualního serveru

Závěr – pro jaké řešení se rozhodnout? •  Jak a co provozuji ve virtualizovaném prostředí? •  Jaké funkce virtualizovaného prostředí chci používat?

•  Co chci s provozem ve virtálním prostředí dělat? •  Pouze filtrovat/řídit provoz mezi virtuálními aplikacemi •  Plnohodnotný firewall •  Kontrola obsahu a zabezpečení virtuálních stanic •  Balancovat provoz •  Propojit datová centra na L2

•  Jakou virtualizační, síťovou a serverovou platformu provozuji?

42

Dotazy?

43