Integrované řešení VMware NSX a Check Point vSEC nabízí dynamickou orchestraci ochrany proti hrozbám pro veškerý provoz v datových centrech.

1. pŘínOSY ŘeŠení
• Dynamická aplikace a orchestrace
vyspělých bezpečnostních
technologií Check Point
s prověřenou vysokou účinností
ochrany proti moderním útokům.
• Reálné nasazení mikrosegmentace
pro ochranu East-West provozu
uvnitř datových center.
• Granulární správa politik s využitím
objektů NSX Security Groups
a Virtual Machines.
• Unifikovaná správa a monitoring
bezpečnosti ve virtuálním a fyzickém
prostředí.
• Rychlé nasazení bezpečnosti
umožňuje rychlé zprovoznění
nových aplikací a služeb.
• Sdílený bezpečnostní kontext
VMware a Check Point pro
konzistentní řízení bezpečnosti.
• Izolace infikovaných virtuálních
systémů pro nápravu jejich stavu.
OChrana eaSt-weSt prOVOZu
Narůstající virtualizace a dynamika prostředí datových center s sebou nese dramatický
růst tzv. east-west (či horizontálního) síťového provozu uvnitř datových centrech.
V oblasti bezpečnosti byla doposud hlavní pozornost soustředěna na ochranu perimetru,
neboli north-south provoz, směřující směrem dovnitř a ven z datových center. East-west
provoz uvnitř datových center nebyl dosud příliš řízen. To, že se potenciální nebezpečný
provoz může v datacentru volně šířit, ale představuje značné bezpečnostní riziko.
Tradiční přistup k řešení tohoto problému – manuální segmentace s využitím funkcí
bezpečnostních bran perimetru (edge) – je složitý, pracný a provozně neefektivní.
Neumožňuje dostatečně rychle reagovat na dynamiku sítí a zavádění nových aplikací
ve virtualizovaném prostředí. Využívání bezpečnostních bran perimetru navíc vytváří
úzké hrdlo jak z pohledu jejich výkonu, tak z pohledu nároků na týmy spravující
bezpečnostní politiky.
autOMatiZaCe a OrCheStraCe ZaBeZpečení
Softwarově definovaná datová centra (SDDC) stojí na třech pilířích – virtualizovaných
výpočetních prostředcích, virtualizovaných datových úložištích a virtualizovaných
komunikačních sítích. VMware NSX zajišťuje virtualizaci na úrovni sítí.
VMware NSX je síťová virtualizační platforma, která přináší do komunikačních sítí
stejné výhody, jaké VMware již přinesl do oblasti výpočetních prostředků. NSX přináší
ekvivalent hypervisoru pro síťové prostředky. Softwarově zajišťuje všechny síťové služby
včetně funkcí switchů, routerů, firewallů, load-balancerů atd. Softwarově jsou virtuální
sítě vytvářeny i řízeny. Výsledkem je dramatické zjednodušení správy a bezpečnosti
sítí, nové síťové a bezpečnostní služby mohou být vytvářeny velmi rychle. Proces
zprovoznění služeb se zkrátil z týdnů na minuty.
Vlastní bezpečnostní a automatizační možnosti NSX jsou rozšiřitelné s využitím
řešení NSX partnerů jako je Check Point vSEC. Jde zejména o pokročilé, vícevrstvé
bezpečnostní funkce a jejich orchestraci. Segmentace a izolace sítí na NSX platformě
umožňuje praktické použití mikrosegmentace, či tzv. “zero trust” modelu. Politiky jsou
vynucovány na úrovni virtuálních síťových rozhraní a jsou svázány s objekty, kterým jsou
přiřazeny. To přináší zásadní posun v možnostech zabezpečení SDDC.
Check Point vSEC využívá možností NSX. Integrace Check Point vSEC a VMware NSX
spojuje nejlepší technologie dvou dříve oddělených světů – nejpokročilejší prostředky
ochrany proti bezpečnostním hrozbám, dynamicky a koordinovaně aplikované v prostředí
softwarově definovaných datových center.
autOMatiZaCe pOkrOčilÉ BeZpečnOSti
V SOFtwarOVĚ DeFinOVanÝCh DatOVÝCh
CentreCh
Integrované řešení VMware NSX a Check Point vSEC nabízí dynamickou
orchestraci ochrany proti hrozbám pro veškerý provoz v datových
centrech
Check Point and VMware Solution | Solution Brief
©2015 Check Point Software Technologies Ltd. All rights reserved. [Protected] Non-confidential content. July 2015 1

2. Check Point and VMware Solution | Solution Brief
Reálná mikrosegmentace
Segmentace a izolace sítí v NSX reálně umožňuje aplikaci mikrosegmentace bez nutnosti
konfigurace vLAN, ACL, firewallů a routerů. Bezpečnostní pravidla mohou být aplikována
na úrovni nejmenších objektů, což umožňuje realizovat model minimálních oprávnění.
Základní možnosti NSX firewallingu mohou být zásadně rozšířeny o vícevrstvé bezpečnostní
technologie a granulárně definované politiky integrací s řešením Check Point vSEC.
Kontextem řízená bezpečnostní politika
Řešení NSX umožňuje sdílení informací o objektech mezi managementem VMware NSX,
VMware vCenter a Check Point vSEC. Objekty “Security Group” a “Virtual Machine” jsou
jednoduše importovány a následně vyžívány v bezpečnostních politikách Check Point
řešení. Tvorba pravidel politiky je pak otázkou vteřin. Jakékoli změny v Security Groups
nebo Virtual Machines se automaticky promítnou do bezpečnostních pravidel. Bezpečnost
je tak zajišťována na úrovni virtuálních aplikací a služeb bez ohledu na jejich umístění.
Předdefinované bezpečnostní šablony Check Point navíc automatizují zabezpečení nově
vzniklých virtuálních aplikací. Bezpečnostní politika dynamicky reaguje na změny v datovém
centru. Jednotné politiky mohou být aplikovány napříč virtuálními a fyzickými bezpečnostními
branami Check Point.
Komplexní bezpečnost
VMware NSX network hypervisor umožňuje vynucování politik na každém jednotlivém
virtuálním síťovém rozhraní. To snižuje nutnou komplexnost sítí a potřebu tvorby VLAN
uvnitř datového centra. Integrací s Check Point vSEC mohou v tomto bodě být dynamicky
aplikovány pokročilé bezpečnostní ochrany a na vysoké úrovni zabezpečena komunikace
mezi aplikacemi. Účinná vícevrstvá ochrana Check Point Advanced Threat Prevention
zastavuje činnost botnetů, chrání před cílenými útoky včetně zero-day útoků a tzv. Advanced
Persistent Threats.
Automatizace a orchestrace
Check Point vSEC využívá integrační možnosti NSX pro obousměrnou dynamickou distribuci
informací o prostředí a řízení bezpečnosti East-West provozu. Jakmile Check Point detekuje
virtuální systém infikovaný malwarem, označí jeho objekt a automaticky informuje NSX.
Tak je možná okamžitá izolace infikovaného virtuálního systému a náprava stavu.
V prostředí datových center je často pro automatizaci workflow potřebná integrace více
různých systémů. Totéž platí pro automatizaci opakujících se administračních kroků.
Administrační server Check Point nabízí integrační rozhraní (API), podporuje granularitu
přiřazování oprávnění a umožňuje omezení práv integrovaných automatických úloh až
na úroveň jednotlivých pravidel, takže přesně řídí, co může konkrétní úloha číst či měnit.
Bezpečnostní týmy se tak mohou spolehnout na důvěryhodnost a bezpečnost automatizace
svých procesů.
Jednotná, ucelená správa a dohled
Centrální konfigurace a monitorování virtuálních a fyzických bezpečnostních bran značně
usnadňuje administraci. Provoz ve virtuálním prostředí je centrálně logován a může být
analyzován stejnými nástroji jako logy z ostatních bran. Pro sledování stavu bezpečnosti
napříč prostředím jsou k dispozici bezpečnostní reporty včetně reportů specifických pro
virtuální prostředí. Systém vrstev pro správu politik umožňuje jednu politiku segmentovat
na menší části a rozdělit tak odpovědnosti např. podle částí sítě. Potřebná úroveň
bezpečnosti je aplikována jak pro virtuální, tak fyzické sítě. U všech aspektů řízení
bezpečnosti, jako je správa politik, správa logů, monitorování, analýza událostí a reportování,
získávají správci bezpečnosti díky jednotnému grafickému rozhraní vysoce ucelený pohled
na stav bezpečnosti napříč celým prostředím.
©2015 Check Point Software Technologies Ltd. All rights reserved. [Protected] Non-confidential content. July 20152

3. Shrnutí
Společné řešení VMware a Check Point, umožňující rychlé a jednoduché nasazení vyspělých bezpečnostních technologií v softwarově
definovaných datových centrech, zajišťuje zákazníkům stejnou úroveň bezpečnosti pro East-West provoz uvnitř datacentra, jako
na Check Point branách na perimetru. Bezpečnostní, síťové a aplikační týmy mohou efektivněji spolupracovat a mít plnou kontrolu nad
provozem ve virtuálních i fyzických sítích zároveň.
O společnosti Check Point
Check Point Software Technologies Ltd. (www.checkpoint.com)
je světově největší společností věnující se výhradně bezpečnosti.
Její řešení představují špičku v tomto odvětví. S prokázanou
vysokou účinností chrání zákazníky proti malware a ostatním
typům kybernetických útoků. Check Point nabízí kompletní
bezpečnostní architekturu, od zabezpečení podnikových sítí
po bezpečnost mobilních telefonů. Vše doplňuje jednotná,
komplexní a intuitivní centrální správa. Check Point chrání více
než 100 tisíc společností všech velikostí. Check Point chrání Vaši
budoucnost.
O společnosti VMware
VMware je vedoucí společností v oblasti “cloud infrastructure”
a “business mobility”. Její řešení vycházející ze špičkových
virtualizačních technologií představují zcela nový model IT,
které je flexibilní a bezpečné. Díky rychlému vývoji a zavádění
nových aplikací mohou zákazníci rychleji inovovat. VMware má
více než 500 tisíc zákazníků a 75 tisíc partnerů. Společnost má
ústředí v Silicon Valley a její kanceláře jsou rozmístěny po celém
světě. Online ji naleznete na www.vmware.com
Check Point and VMware Solution | Solution Brief
©2015 Check Point Software Technologies Ltd. All rights reserved. [Protected] Non-confidential content. July 2015 3
• Vysoká úroveň zabezpečení díky mikrosegmentaci
• Vícevrstvá ochrana „east-west“ provozu
• Automatizace a orchestrace bezpečnosti
VMware vCenter
and NSX Manager
Check Point
Management
Check Point
Security
Admin
Datacenter
Network
Admin
Check Point security automatically provisioned
NSX Security Groups & VM objects dynymically fetched
from NSX and VCenter
Check Point updates NSX on infected VMs for
quarantine and remediation
Context-aware
policy dynamically
tracks VM changes

4. ©2015 Check Point Software Technologies Ltd. All rights reserved. [Protected] Non-confidential content. July 20154
Check Point and VMware Solution | Solution Brief
Arrow ECS, a.s.
Tvorkovských 5
709 00 Ostrava-Mariánské Hory
+420 597 488 811
Arrow ECS, a.s.
U nákladového nádraží 10
130 00 Praha 3
+420 266 109 211
arrowecs.cz
Telefon
+420 597 488 811
E-mail
security.ecs.cz@arrow.com
Online
www.arrowecs.cz