Možnosti zabezpečení komunikace ve virtualizovaném prostředí Simac Technik ČR, a.s. Praha, 26.10. 2012 Jan Kolář Vedoucí Technického Oddělení Jan.kolar@simac.cz
Problémy, které musíme u virtualizace nejčastěji řešit Díky VMware vmotion virtuální servery cestují přes fyzické porty a bezpečnostní politiky je musí následovat Administrátoři potřebují aplikovat síťové a bezpečnostní politiky na lokálně přepínaný provoz Zachování zodpovědnosti administrátorů za provoz bez výpadků Nezávislost na VLAN při přesunu virtuálního serveru do jiného datacentra Security Administration Network Administration Server Administration 3
Situace z praxe Permit Only Port 80(HTTP) of Web Servers Permit Only Port 22 (SSH) to application servers Block all external access to database servers Web-zone Application-zone Database-zone Only Permit Web servers access to Application servers Only Permit Application servers access to Database servers
Možná řešení Cisco VSG a ASA 1000V VMWare vshield a vcloud Networking and Security Trend Micro Deep Security 5
Cisco VSG a ASA 1000V Řešení jak pro Cloud, tak pro lokální DC Dva rozdílné komplementární produkty Virtual Security Gateway (VSG) Adaptive Security Appliance (ASA) Virtual Lze použít pouze jeden z nich anebo oba současně Vyžadují instalaci virtuálního switche Nexus 1000V Instalace Nexus 1000V vyžaduje VMware Enteprise licenci Vyžadují instalaci dedikovaného Management nástroje 6
Cisco VSG a ASA 1000V Intra-Tenant Security Tenant-Edge Security Zabezpečení provozu mezi virtuálními servery L2 a L3 Firewall pro filtrování provozu mezi vnitřními zónami ACL mohou používat atributy síťové i atributy virtuálních serverů Kontroluje se pouze první paket spojení, ostatní provoz jde díky vpath přímo Zabezpečuje komunikaci mezi virtuálním světem a okolím Defaultní brána pro komunikaci do fyzické sítě, L3 Firewall Funkce klasického Firewall včetně síťových ACL, site-to-site VPN, NAT, DHCP, protokolových inspekcí a IP audit Všechny pakety spojení musejí jít skrze Cisco ASA 1000V 7
Cisco VSG a ASA 1000V Konzistence mezi virtualizovanou fyzickou a virtuální bezpečnosti Komplementární produkty Cisco Virtual Network Management Center (VNMC) Cisco Virtual Secure Gateway (VSG) pro zabezpečení uvnitř virtuálního prostředí Tenant A VDC Tenant B VDC vapp Cisco ASA 1000V pro zabezpečení komunikace mimo virtuální prostředí Cisco VSG Cisco VSG vapp Cisco VSG Transparentní integrace Integrace s Cisco Nexus 1000V Switch a Cisco vpath technologií Škálovatelnost Cisco ASA 1000V Cisco ASA 1000V Cisco VSG Lze přidávat další instance tak, jak roste potřeba Cisco Nexus 1000V
Funkce Cisco ASA 1000V IPsec VPN (site to site) NAT DHCP Default gateway Static routing Stateful inspection IP audit
Výkon Cisco ASA 1000V Skutečný výkon je závislý na množství přidělených systémových prostředků Maximum spojení 200,000 Počet spojení za vteřinu 10,000 Vyššího výkonu lze dosáhnout škálováním - přidáním dalších ASA 1000V instancí Propustnost VPN (Mbps) 200 Mbps Maximum VPN tunelů 750
Nároky na Cisco ASA 1000V Minimální nároky pro každou instanci ASA 1000V Požadované vcpu 1 vcpu - 1 Ghz Požadované vram 1.5 GB Požadované vhd místo 2.5 GB Počet síťových rozhraní 2 Nároky pro out-of-band management a HA Počet Management rozhraní 1 Počet rozhraní HA 1
Distribuované řízení provozu Virtual Machine Attributes XML API Management nástroje třetích stran Port Profiles Security Profiles
Vytváření pravidla na Cisco VSG a ASA 1000V Source Condition Destination Condition Action Operator Operator Attribute Type Network VM Custom VM Attributes Instance Name Guest OS full name Zone Name Parent App Name VM Attributes Port Profile Name Cluster Name Hypervisor Name Network Attributes IP Address Network Port eq neq gt lt range Not-in-range Prefix member Not-member Contains
VMware vshield a vcloud Networking and Security Rodina produktů od VMware vshield se skládá ze 3 řešení: vshield Edge vshield App vshield Endpoint Funkce vshield Edge a App jsou nově obsažené ve vcloud Networking and Security Řešení vyžaduje VMware licenci Enterprise Plus vshield Endpoint je již součástí vsphere 5.1 22
Řešení vcloud Networking and Security Integrated Management with vcenter/vcd VDC 1 VDC 2 3 rd party services Abstrakce a sdílení zdrojů Minimalizace dedikovaného HW Optimalizace utilizace Vytváření logických sítí Zrychlení poskytování aplikací Škálovatelnost aplikace dle potřeby Zjednodušená správa a provoz Doplňující služby VMware Networking & Security Integrovaný management Rozšíření pro služby třetích stran vsphere Automatizace na základě politik Dynamické poskytování zdrojů Zvýšení efektivity 23
vcloud Networking and Security komponenty Integrated Management with vcenter/vcd vcloud Ecosystem Framework: Integrace služeb třetích stran VMware Networking & Security VDC 1 VDC 2 3 rd party services vshield Manager: Integrace s managementem datacentra pomocí pluginu Edge gateway: Zabezpečuje hranice virtuálního datacentra a poskytuje služby brány Data Security: Chrání proti únikům dat App Firewall: Izoluje a chrání aplikace a virtuální servery vsphere VXLAN: Základní technologie pro pružná datová centra
Edge Gateway zabezpečení virtuálního perimetru sítě Integrated Management with vcenter/vcd VMware Networking & Security VDC 1 VDC 2 vsphere Přehled Integrované L4-7 služby pro hranice virtuálního datacentra Firewall / NAT / DHCP Server IPSec and SSL VPN Load Balancer VXLAN Gateway Virtual appliance s možností vysoké dostupnosti Výhody 25 Firewall Firewall Load balancer Load balancer VPN VPN Jednotné řešení pro virtuální perimetr Eliminace potřeby specializovaných zařízení Zlepšení dostupnosti služeb Integrace s řešením třetích stran Centralizovaná správa a logování
App Firewall ochrana definovaných aplikací Přehled VMware Networking & Security VDC 1 VDC 2 Firewall pro vybrané virtuální servery Integrace s vcenter objekty pro jednoduché vytváření politik Adaptivní důvěryhodné zóny Robustní flow monitoring PCI Zone vsphere Finance Zone Výhody Chrání vybrané datové toky před hrozbami Izoluje virtuální servery Zvyšuje viditelnost a kontrolu nad provozem mezi virtuálními servery Zvyšuje bezpečnost a snižuje nároky na správy
VXLAN mobilita VLAN mezi datacentry 650.555.1212 650.555.1212 Networking Telephony Identifier = Location VLAN 10 Identifier = Location Mobile Telephony VXLAN VXLAN 10
VXLAN mobilita VLAN mezi datacentry Cluster/Pod 1 Cluster/Pod 2 Segmenty VXLAN segmenty jsou definovány ve vcloud Director nebo vcenter Vysoká škálovatelnost až 16 miliónů VXLAN, což eliminuje limity klasických VLAN Packet Enkapsulace VXLAN Packet VXLAN 20 VXLAN enkapsulaci provádí vsphere Enkapsulované pakety jsou přenášeny jako UDP VDC VDC Flexibilita a elasticita Škálovatelné L2 sítě mezi datacentry pro vmotion a efektivní rozkládání zátěže VXLAN struktura je elastická a umožňuje cestovat provozu mezi clustery, virtuálními switchi a L3 sítěmi Žádné další investice stávající přenosová infrstruktura nevyžaduje upgrade
vcloud Ecosystem Framework Možnosti integrace třetích stran pro bezpečnost a networking Uvnitř virtuálního serveru Přístup do síťového toku serveru Eliminace agentů Hranice virtuálního systému Přístup z/do sítě na/z virtuální server Izolace a ochrana kritických aplikací Hranice virtuální sítě Přístup z/na data mimo virtuální datacentrum Vkládání hraničních služeb VDC 1 VDC 2 VDC 3
VMware vshield Endpoint Zvýšení výkonu a efektivity existujících řešení na ochranů koncových systémů Offload funkcí Antiviru Dedikovaný, virtuální security server Funkce Offload Antivirové aktivity na security VM Správa Antivirových služeb přes více VM Vynucení nápravy pomocí ovladače ve VM Integrace třetích stran pomocí EPSEC API - Trend Micro, Symantec, McAfee Policy Management: Zabudovaný anebo vlastní pomocí REST APIs Logování aktivity Antiviru
VMware vshield Endpoint komponenty Security VM Security Admin Partner Management Console Partner Agent vshield Endpoint Library On Access Scans EPsec Interface VM VM Guest VM APPs APPs APPs REST Status Monitor On Demand Scans Remediation Caching & Filtering OS OS OS Kernel Kernel Guest Driver BIOS BIOS VI Admin vshield Manager 4.1 vcenter ESX 4.1 vsphere Platform vshield Endpoint ESX Module Legend Partner Components Partner Facing Components and APIs vshield Endpoint Components VMware Platform VMware Internal Interfaces Partner Accessible Interfaces
VMware vcloud Networking and Security edice Pricing and Licensing vcloud Networking and Security vcloud Networking and Security Standard vcloud Networking and Security Advanced Price Per VM $150 $250 List Price (license only) $3,750 $6,250 Included Licenses 25 VMs 25 VMs Products & Features Firewall Virtual Private Network(VPN) VXLAN vcloud Ecosystem Framework Network Address Translation(NAT) Dynamic Host Config. Protocol High Availability(HA) Load Balancing Data Security Přehled vcloud Networking and Security je nový produkt se dvěma edicemi: Standard a Advanced vcloud Networking and Security bude dostupný per VM VDS je prerekvizitou a je dostupný až v vsphere Enterprise+ Endpoint security je již zahrnuta ve všech edicích vsphere5.1 a bundlech, kromě Essential Endpoint ( Bundled in vsphere 5.1 )
Trend Micro Deep Security Existující Endpoint security produkt rozšířen do virtuálního prostředí Jeden ze 3 produktů podporovaných VMware pro endpoint security Není pouze Firewall, má celkem 5 modulů Jednotná konfigurační a reportingová konzole pro celé prostředí (fyzické servery, virtuální servery, desktopy) Má za sebou již několik verzí, funkčně a integračně vyspělý 36
Trend Micro Deep Security 5 bezpečnostních modulů Štít proti zranitelnostem ve webových aplikacích Chrání proti síťovým útokům, proti DoS útokům, a odhaluje skenovací útoky Optimalizuje identifikaci důležitých bezpečnostních údálostí zapadlých v logu Deep Packet Inspection IDS / IPS Web Application Protection Firewall Log Inspection Application Control Anti-Virus Integrity Monitoring Detekuje a blokuje známé I zeroday útoky na cílené zranitelnosti Poskytuje detailnější pohled a kontrolu nad aplikacemi, které přistupují k síti Detekuje a blokuje malware (webové hrozby, viry & červy, Trojské koně) Detekuje zlomyslné a neoprávněné změny v adresářích, souborech, registrech, atd Řešení ochrany pomocí agenta anebo virtualního serveru
Závěr pro jaké řešení se rozhodnout? Jak a co provozuji ve virtualizovaném prostředí? Jaké funkce virtualizovaného prostředí chci používat? Co chci s provozem ve virtálním prostředí dělat? Pouze filtrovat/řídit provoz mezi virtuálními aplikacemi Plnohodnotný firewall Kontrola obsahu a zabezpečení virtuálních stanic Balancovat provoz Propojit datová centra na L2 Jakou virtualizační, síťovou a serverovou platformu provozuji? 42
Dotazy? 43