Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Решения для защиты корпоративных и коммерческих цод

495 views

Published on

Запись вебинара выложена на youtube https://youtu.be/JuSMcoF9E6k

Published in: Internet
  • Be the first to comment

Решения для защиты корпоративных и коммерческих цод

  1. 1. Решения Palo Alto Networks для защиты корпоративных и коммерческих ЦОД •Денис Батранков •консультант по ИБ •denis@paloaltonetworks.com
  2. 2. Предположение о защищенности и реальность •Source: The State of Application Security •A Research Study by Ponemon Institute, 2015 •Риски ≠ Затраты •Source: The State of Risk-Based Security Management, A Research Study by Ponemon Institute, 2015 •Есть ли у Вас корпоративный стандарт архитектуры безопасности? •Где Ваши риски безопасности и где Вы инвестируете в ИБ? •Мнение рук-ва ≠ Мнение тех. персонала
  3. 3. Взломы происходят постоянно •http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/
  4. 4. Приложения ЦОД являются желаемой целью для злоумышленников Защищенный периметр, доверенная зона внутри? 21% MS-RPC 15% Web Browsing 11% SMB 10% MS-SQL Monitor 10% MS-Office Communicator 4% SIP 3% Other 2% Active Directory 2% RPC 1% DNS 25% MS-SQL •10 из 1395 приложений создают 97% логов от IPS •Source: Palo Alto Networks, Application Usage and Threat Report. Jan. 2015. •9из них – приложения ЦОД •4 | ©2015, Palo Alto Networks. Confidential and Proprietary.
  5. 5. •Enterprise Network Трафик межсерверного взаимодействия («восток- запад») составляет 70% от всего трафика ЦОД
  6. 6. Трафик необходимый для работы приложений уже не такой примитивный Около 30% приложений используют шифрование SSL •80, 443, 135, 137, 139 •3200, 3300, 8000, 3600, 8100, 50013, 50014, 65000 •443, 3478, 5223, 50,000-59,999 •3389, 53, 42, 8, 13, 15, 17, 137, 138, 139, 445, 1025, 123, 507, 750, 88+464, 389, 636, 3268, 445, 161, 162, 42424, 691, 1024-65535 •Множество портов и множество данных внутри одного соединения для работы 80 443 135 137 139 139 3200 3300 3600 8100 5223 50000 – 59,999 53 3389 42 4424 8 13 15 17 445 1024 123 507 750 88+64 389 636 3268 42424 161
  7. 7. Пример: туннелирование поверх 53 порта Примеры  tcp-over-dns  dns2tcp  Iodine  Heyoka  OzymanDNS  NSTX Использование рекурсивных запросов для передачи инкапсулированных сообщений по TCP в запросах удаленному DNS серверу и ответах клиенту
  8. 8. •Пакет •Source •Address •TCP Port 80 •Данные приложения •Destination •Address •Source •Address •TCP Port 80 •Destination •Address •Пакет Какую часть сетевого пакета надо проверять? •Традиционно: Приложение = номер порта HTTP = 80 •Новое определение: Приложение = Специфические передаваемые данные flash = данные для анимации внутри браузера от Adobe •Данные приложения
  9. 9. Портовые межсетевые экраны не справляются Порты ≠ Приложения IP адреса ≠ пользователи Угрозы > Эксплойты ~30% трафика зашифровано SSL Сетевая безопасность основана на устаревших знаниях Может ли ваш портовый firewall показать: Какие приложения в вашем ЦОД? Что за информация/файлы идут внутри SSH/SSL? Кто использует RDP, Telnet? Существуют ли неизвестные вам соединения с ЦОД? *плюс случайные порты Port 135 Port 137 RPC SMS SQL SharePoint SMB Port 80 Port 139 Port 443 NetBIOS
  10. 10. Традиционно, лучше безопасность = хуже производительность Традиционная безопасность  Каждое доп. устройство безопасности снижает производительность  IPS / сетевые AV чаще всех получают жалобы  Идут трения между ИТ и безопасностью Коммутатор ядра (максимум) L3-L4 Firewall Anti-Virus IPS
  11. 11. Вывод: безопасность ЦОД возможна только с NGFW ! •До 200Гбит/сек. •в кластере А/А •в режиме «все включено» •(все приложения, •все сигнатуры угроз)
  12. 12. Сделайте межсетевой экран нового поколения важным инструментом для контроля бизнес процессов в сети Приложения: Классификация трафика приложений в сети - App-ID. Пользователи: Связать пользователей и устройства с приложениями которыми они пользуются - User-ID и GlobalProtect. Содержимое приложений: Сканировать контент - Content-ID and WildFire.
  13. 13. Снижаем возможности для атак »Мир приложений постоянно расширяется »Бизнес одобряет какому пользователю какое приложение нужно »Площадь атаки равна только тому что вы сами открыли »Не зависит от использования портов »Полный набор средств безопасности: IPS, AV В оба направления Внутри SSL и SSH В архивах В туннелях и прокси Тестировать неизвестные файлы Разреши только нужные приложения Очисти нужные приложения за один проход
  14. 14. Gartner: NGFW – ваш следующий IPS
  15. 15. Контроль приложений при помощи User-IDTM •Windows •Linux •MAC LDAP Radius NTLM 1. В политике безопасности: • Журналировать использования приложений группой • Разделить неизвестный трафик и известный трафик 2. В журналах: • Сортировать журнал по пользователям или группам • Посмотреть журналы по отдельным пользователям Пользователь domain1ivan использует MS SQL на 172.16.19.10 Соответствие IP и пользователя: • Active Directory • Captive Portal (NTLM) • XML API • LDAP • и другие •iOS •Android •Wireless VDI
  16. 16. Интеграция с другими системами для работы User-ID bash > ssh host Last login: 02/29/2013 from localhost [user@host ~]$ Unix Authentication Proxy Authentication 802.1x Authentication syslog feed syslog receiver
  17. 17. Функционал клиентов GlobalProtect • Пользователи всегда подключены в сеть независимо от их местоположения • Межсетевые экраны образуют «облако» сетевой безопасности • Сканирование подключаемых устройств на соответствие установленного ПО политике безопасности и допуск на этой основе (NAC) • Построение распределенных сетей VPN (IPSec и SSL) •Portal •Gateway •Gateway
  18. 18. Доступны клиенты GlobalProtect для настольных и мобильных ОС  Windows, Mac OS X  Apple iOS  Android  Автоматическое или ручное подключение
  19. 19. Безопасно разрешаем трафик в ЦОД КТО ГДЕ ЧТО КАК Пользователь/Группа Зона/Устройство Сервер/устройство Зона Приложение IPS AV DLP QoS Контент Security Profile Сегментация на основе - общего функционала - уровня доверия - соответствия нормативным документам •Проверять весь трафик между зонами по умолчанию •Управлять неизвестным трафиком
  20. 20. Пример: контроль за приложениями для управления ЦОД  Программы удаленного управления (RDP, Telnet, SSH) использует поддержка и администраторы  Другие пользователи и атакующие также могут использовать их для проникновения в ЦОД  Используя AppIDTM, рекомендуется создать группу приложений для администрирования и используя User-IDTM связать эти приложения только с администраторами соответствующей политикой МЭ. Пример: Разрешить SSH для управления Необходимые приложения (SCP, SFTP, SSH) могут быть разрешены только ИТ администраторам Сотрудники Администраторы ЦОД •SSH •SSH
  21. 21. Интеграция NGFW в инфраструктуру ЦОД  Tap режим - SPAN порт свитча для аудита или обзора приложений в сети  Virtual Wire - для прозрачного контроля и сохранения текущей топологии  На 2 уровне OSI идеально для фильтрации между VLAN  На 3 уровне OSI меняем портовые МЭ и HTTP прокси на NGFW Tap Layer 3 Поддерживает все текущие технологии сетей: OSPF RIP BGP PBF PIM-SM/SMM IGMP IPv6 NAT VLAN HA QoS Virtual Wire Layer 2
  22. 22. Устройства для ЦОД  Контроль приложений и блокировка вредоносных  Блокировка атак и вредоносного кода известного и неизвестного  Контроль доступа на основе ID пользователя  Гарантированная производительность разбора приложений 120 Гбит/с  Устройства разного формата для установки в стойку •Шасси PA-7050 6 лезвий NGFW каждое 20 Гбит/с •Линейка PA-5000 до 20 Гбит/с •Линейка PA-3000 до 4 Гбит/с
  23. 23. PA-7080 - самый производительный в мире NGFW !! PA-7050 NPC PA-7050 System PA-7080 System NGFW (L3-L7) Gbps 20 120 200 Threat Prev. Gbps 10+ 60+ 100+ Матрица коммутации 1.2 Тбит 1.2 Тбит Встроенная система логирования 4x1TB HDD = 2TB RAID1 4x1TB HDD = 2TB RAID1 • Лицензирование и техническая поддержка на шасси • Линейное масштабирование производительности • Снижение стоимости за защищенный Гбит • Интерфейсы 10 и 40 Гбит
  24. 24. Основной функционал операционной системы  Network  Динамическая маршрутизация (BGP, OSPF, RIPv2)  Режим мониторинга – подключение к  SPAN-порту  Прозрачный (L1) / L2 / L3 режимы  Маршрутизация по политикам (PBF)  IPv6  VPN  Site-to-site IPSec VPN  SSL VPN (GlobalProtect)  Функционал QoS  Приоритезация, обеспечение максимальной/гарантированной полосы  Возможна привязка к пользователям, приложениям, интерфейсам, зонам и т.д.  Мониторинг полосы в режиме реального времени  Зоновый подход  Все интерфейсы включаются в зоны безопасности для упрощения настройки политик  Отказоустойчивость  Active/active, active/passive  Синхронизация конфигурации  Синхронизация сессий (кроме РА-200, VM-series)  Path, link и HA мониторинг  Виртуальные системы  Настройка нескольких межсетевых экранов в одном устройстве (серии PA- 5000, PA-3000 и PA-2000)  Простое и гибкое управление  CLI, Web, Panorama, SNMP, Syslog, NetFlow, интеграция с SIEM/SIM
  25. 25. Кластеризация active/passive, active/active •HA1 •HA3 •HA2 •HA1 •HA2 •Active/Passive •Active/Active •Active •Passive •Active •Active •HA1 – синхронизация control plane (configuration, heartbeats) •HA2 – синхронизация data plane (session state, ARP cach, fib ) •HA3 – forwarding link (только для кластера active/active)
  26. 26. SSL расшифрование и отправка на внешний DLP Порт для зеркалирования расшифрованного трафика o Позволяет передавать расшифрованный трафик на внешние устройства для анализа (например Solera или NetWitness) o Может использоваться для сетевых решений DLP o Платформы серий PA-5000 и PA-3000 SSL/TLS Data Leakage Prevention www.google.com Plaintext SSL/TLS
  27. 27. Технологии Palo Alto Networks, применяемые для защиты от современных угроз App-ID URL IPS ThreatLicense Spyware AV Files Wildfire TRAPS Block high-risk apps Block known malware sites Block the exploit Prevent drive-by-downloads Detect / prevent unknown malware Block malware Block spyware, C&C traffic Block C&C on non-standard ports Block malware, fast-flux domains Correlate and block C&C: malware URL, DNS sinkholing Координи- рованное блокирование активных атак по сигнатурам, источникам, поведению Приманка •Эксплоит •Загрузка ПО для «черного хода» Установление обратного канала •Разведка и кража данных Anti-Exploitation – prevent 0-day Check e-mail links
  28. 28. Обнаружение Zero Day и предотвращение с WildFire  Вредоносные файлы выполняются в песочнице – специализированной виртуальной среде  Сигнатуры для вредоносного кода, DNS, URL и центров управления ботами создаются и распространяются автоматически  Легко размещается между виртуальными машинами для контроля скрытых угроз Не оставить шансов вредоносному коду: • Anti-malware signatures • DNS intelligence • Malware URL database • Inspect URLs within email • Anti-C2 signatures •WildFire Users •Global intelligence and protection delivered to all users •Command-and-control Staged malware downloads Host ID and data exfil •WildFire™ • Soak sites • Sinkholes • 3rd party sources
  29. 29. Технология WildFire Анализируем поведение – блокируем неизвестный вредоносный код Internet •Анализируем протоколы SMB, FTP, HTTP, SMTP, POP3, IMAP •Анализируем файлы exe, dll, bat, sys, flash, jar, apk, doc, pdf и т.д.
  30. 30. Основные техники работы WildFire •Анализ без исполнения •Найти неизвестный вредоносный код анализируя 130+ типов вредоносного поведения •Создать защиту •Подозрительные файлы идущие по различным приложениям отправляются сенсорами в сети в единую платформу анализа •Этап I •Точно хорошие? •Этап II •Статический анализ PDF, Microsoft Office, Java и Android APKs •Этап III •Динамический анализ •Этап IV •Списки хороших •Подписаны доверенным сертификатом •Внедренные файлы •Внедренный код •Аномалии структуры •Внедренный шелкод •Сетевой трафик •Файловая активность •Процессы и сервисы •Изменения реестра •Исполняем в спец среде •Создать защиту •… •…
  31. 31. Устройство для работы WildFire модель WF-500  Специальная версия WildFire для ЦОД  Анализ файлов в песочнице выполняется на устройстве  Опция отправлять файлы в облако WildFire  Сигнатуры для вредоносного кода создаются и отправляются в NGFW  Возможность забирать сигнатуры WildFire для вирусов найденных другими заказчиками
  32. 32. Что дает сервис WildFire NGFW отправляет файлы в WildFire и затем получает сигнатуры и начинает блокировать Отчеты по анализу работы вредоносного кода приходят в NGFW REST API для загрузки файлов на проверку в WildFire без NGFW
  33. 33. Решения Palo Alto Networks для защиты программного ЦОД
  34. 34. Варианты внедрения Palo Alto Networks VM-series NGFW в среде VMware • Гостевая вирт. машина • Модели VM-100/200/300, VM-1000-HV • 1 и более на ESXi / vDS • Кластеризация • Для перенаправления трафика требуется настройка vSwitch • Режимы работы L1/L2/L3 • Идеально для SSL/IPsec VPN • Отдельный NGFW для каждой задачи/ландшафта/департамента/клиента VM-series for VMware vSphere (ESXi) • Режим гипервизора • Модель VM-Series for NSX (VM-1000-HV) доступна как сервис • Автоматизированное развертывание • Неограниченная масштабируемость • Прозрачное перенаправление трафика без изменения логической сетевой топологии • Идеально для инспекции трафика «восток-запад» VM-series for VMware NSX
  35. 35. Варианты внедрения Palo Alto Networks VM-series NGFW на других платформах виртуализации • Гостевая вирт. машина • Модели VM-100/200/300 • Обеспечивает безопасность и multi- tenancy для среды Citrix XenApp/XenDesktop VM-series for Citrix NetScaler SDX Standard Hardware  Гостевая машина в режиме L3  Плагин OpenStack автоматизирует развертывание, лицензирование, настройку интерфейсов и работу динамических адресных групп VM VM-series for KVM and OpenStack
  36. 36. Интеграция с системами оркестрации  Системы оркестрации обеспечивают работу SDN/SDDC и автоматизируют развертывание систем и сервисов в ЦОД  NGFW и Panorama предоставляют REST XML API для интеграции с системами оркестрации (OpenStack/CloudStack/VMware/…) Операционная система Palo Alto Networks Оркестрация в Software-Defined Data Center Развертывание виртуальных машин Конфигурация сети Настройка политик безопасности и генерация отчетов API Развертывание, интерфейсы Создание VLAN/Zone, динамические адресные группы Политики, профили, App-ID, динамические отчеты Context Context API API
  37. 37. Совместное решение Palo Alto Networks + VMware NSX
  38. 38. •Palo Alto Networks и VMware – глобальные технологические партнеры •http://www.vmware.com/partners/global-alliances/ •https://www.paloaltonetworks.com/partners/vmware.html
  39. 39. Internet NSX – это «Network Hypervisor»
  40. 40. Internet Virtual Networks – виртуальные сетевые компоненты
  41. 41. Security Admin Как работает интегрированное решение VMware NSX + Palo Alto Networks Cloud Admin VMware NSX Регистрация PA-VM как сервис NGFW Автоматическое развертывание PA-VM на всех ESXi хостах Встраивание сервиса ИБ в виртуальной сети и перенаправление трафика на инспекцию в NGFW Обновление контекста VM в реальном времени Динамическое обновление контекста VM для применения в политиках Регистрация, получение лицензий и централизованных объектов и политик из Panorama
  42. 42. Что Вы видите c VShield? Много трафика по порту 80 Много трафика по порту 53 Много трафика по порту 21 Много трафика по порту 25
  43. 43. VMware vCenter или ESXi Динамические адресные группы (DAG) и мониторинг VM Name IP Guest OS Container web-sjc-01 10.1.1.2 Ubuntu 12.04 Web sp-sjc-04 10.1.5.4 Win 2008 R2 SharePoint web-sjc-02 10.1.1.3 Ubuntu 12.04 Web exch-mia-03 10.4.2.2 Win 2008 R2 Exchange exch-dfw-03 10.4.2.3 Win 2008 R2 Exchange sp-mia-07 10.1.5.8 Win 2008 R2 SharePoint db-mia-01 10.5.1.5 Ubuntu 12.04 MySQL db-dfw-02 10.5.1.2 Ubuntu 12.04 MySQL PAN-OS Security Policy Source Destination Action PAN-OS Dynamic Address Groups Name Tags Addresses SharePoint Servers MySQL Servers Miami DC San Jose Linux Web Servers Name Tags Addresses SharePoint Servers SharePoint Win 2008 R2 “sp” MySQL Servers MySQL Ubuntu 12.04 “db” Miami DC “mia” San Jose Linux Web Servers “sjc” “web” Ubuntu 12.04 Name Tags Addresses SharePoint Servers SharePoint Win 2008 R2 “sp” 10.1.5.4 10.1.5.8 MySQL Servers MySQL Ubuntu 12.04 “db” 10.5.1.5 10.5.1.2 Miami DC “mia” 10.4.2.2 10.1.5.8 10.5.1.5 San Jose Linux Web Servers “sjc” “web” Ubuntu 12.04 10.1.1.2 10.1.1.3 IP 10.1.1.2 10.1.5.4 10.1.1.3 10.4.2.2 10.4.2.3 10.1.5.8 10.5.1.5 10.5.1.2 Name SharePoint Servers MySQL Servers Miami DC San Jose Linux Web Servers Source Destination Action San Jose Linux Web Servers SharePoint Servers ✔ MySQL Servers Miami DC  db-mia-05 10.5.1.9 Ubuntu 12.04 MySQL 10.5.1.9 46 | ©2014, Palo Alto Networks. Confidential and Proprietary.
  44. 44. Политики безопасности внутри ЦОД  Только «белые списки»:  Известные приложения  «Самописные» неизвестные приложения  Динамические группы адресов VM
  45. 45. Решение задач ИТ-администраторов и администраторов ИБ • Ускоренное развертывание сервисов по требованию бизнеса • Соответствие требованиям ИБ в новой модели • Повышение визуализации и защиты от кибер-атак • Обеспечение согласованных друг с другом политик безопасности во всем ЦОД Cloud Security
  46. 46. Экосистема Palo Alto Networks для защиты ЦОД Аппаратные серверы Виртуализированные серверы / Private Cloud Аппаратные NGFW (c вирт. системами) Виртуальные NGFW (Private Cloud) Оркестрация, автоматизация, SaaS, SECaaS с REST XML API Panorama: Централизованное управление всеми NGFW Data Center Perimeter Wildfire Public/Private Cloud Threat Intelligence Public Cloud AWS, vCloud AIR Аппаратные NGFW (c вирт. системами) Виртуальные NGFW (Public Cloud) Traps = Advanced Endpoint Protection (Windows) VMware, KVM, Citrix SDX Удаленный доступ с GlobalProtect
  47. 47. Пример крупнейшего внедрения NGFW + VMware NSX http://www.networksasia.net/article/security-and-micro-segmentation-one- compelling-adoption-arguments-sddc.1409100853 http://www.computerworlduk.com/news/i nfrastructure/how-columbia-sportswear- will-enhances-security-with-software- defined-data-centre-approach-3606103/
  48. 48. Защита рабочих станций и серверов, которая СРАЗУ БЛОКИРУЕТ эксплойты  Предотвращение эксплойтов сразу – включая zero-day!  Предотвращение вирусов – неизвестных и сложных  Сбор данных для доказательства атаки – для анализа  Быстро, просто, удобно – пользователь минимально участвует в работе агента  Интеграция с сетевой и облачной защитой – пользуемся данными от устройств защиты по всему миру Нужна защита от неизвестного кода сразу: TRAPS
  49. 49. Palo Alto Networks Next-Generation Threat Cloud Palo Alto Networks Next-Generation Endpoint Palo Alto Networks Next-Generation Firewall Next-Generation Firewall  Инспекция трафика  Контроль приложений и пользователей  Защита от угроз 0-ого дня  Блокировка угроз и вирусов на уровне сети WildFire - обнаружение Zero Day  Анализ подозрительных файлов в облаке  Распространение сигнатур безопасности на МЭ TRAPS - защита рабочих станций  Инспекция процессов и файлов  Защиты от известных и неизвестных угроз  Защиты стационарных, виртуальных и мобильных пользователей  Интеграция с облачной защитой от угроз Платформа безопасности нового поколения
  50. 50. Платформа Palo Alto Networks не создает пробок в сети •Обеспечиваем заданную производительность при всех включенных сервисах безопасности
  51. 51. Что дальше: Как вы можете защитить свой ЦОД? VoIP/Video Infrastructure B2B/Partner Services Network Segmentation Virtual Desktop Infrastructure Industry Specific Services Virtual Server Infrastructure Internet Data Centers Datacenter and Services Infrastructure •Applications in the cloud Cloud/SAAS •Palo Alto Networks подготавливает отчет о приложениях и рисках в ЦОД :  Запросите у любого партнера или локального офиса пилот  Установите Palo Alto Networks в сети  Мы покажем вам что невидимого есть в вашей сети и предоставим отчет
  52. 52. NSX Demos + Palo Alto Networks NGFW •http://www.projectnee.com/HOL/catalogs/catalog/134
  53. 53. LIVE - ответы на все вопросы •https://live.paloaltonetworks.com
  54. 54. Скачать Migration Tool 3.2. Последнее обновление 27.11.2015 •https://live.paloaltonetworks.com/t5/Migration-Tool-Articles/Download-the-Migration-Tool/ta-p/56582
  55. 55. •Денис Батранков •dbatrankov@paloaltonetworks.com
  56. 56. Пример: статистика по приложениям на периметре •Ссылка на диаграмму •http://researchcenter.paloaltonetworks.com/app-usage-risk-report-visualization-2014/
  57. 57. Validated Solutions
  58. 58. Securing FlexPod Deployments •61 | ©2014, Palo Alto Networks. Confidential and Proprietary. 1x10GbE 1x10GbE 1x10GbE 1x10GbE HA – A/P Qty 2: PA-5060 in HA – A/P Layer 3 mode • Palo Alto Networks next-generation firewalls protecting a “VMWare on FlexPod” architecture running • MS Sharepoint • MS SQL • MS Exchange Active Directory • Firewall Features: • Layer 3 mode • HA • App-ID, User-ID and Content-ID Validated secure, scalable, flexible architecture that evolves with data center needs
  59. 59. Scalable Firewalling with ADCs or Multi-Link Aggregation Citrix, Arista, Avaya/Nortel, Brocade •62 | ©2014, Palo Alto Networks. Confidential and Proprietary. • Ideal for networks that require more than 20Gbps firewall solution • Two Options: o Application delivery controllers provides load balancing and ensures symmetric routing for firewalls o Multi-link aggregation switches • Depending on the option, Palo Alto Networks Virtual-Wire or Layer 3 mode may be selected • More than 100GBps firewall capabilities tested and validated •70 Gbps•70 Gbps
  60. 60. Secure, High-Performance Data Center Applications Validated for MS SharePoint, Lync and Exchange  Step-by-step deployment guide on securing and optimizing the delivery of Microsoft SharePoint, Lync, Exchange applications  Application has multiple backend complex server components  Example:  Safely enable SharePoint and functions within SharePoint by user and content  Scan SharePoint content for threats  Integration with ADCs:  Optimize SQL database acceleration  Reduce SharePoint costs by optimizing bandwidth and content compression/caching  Automated with cloud orchestration •Zone 1 Front-End •Zone 2 Mid-Tier •Zone 3 Back-End •Database SQL Servers •SharePoint Application Server •SharePoint Web Servers •63 | ©2014, Palo Alto Networks. Confidential and Proprietary.
  61. 61. Citrix XenApp/XenDesktop Integration Safe Application Enablement for VDI Users •Remote User•Branch Office •Home Office •Tablet •Access Gateway •Desktop Delivery Controller •HQ Office •XenDesktop Farm •XenServer Resource Pool •Active Directory •Data Store License Server •DHCP •Infrastructure •Virtual Desktop 1 •Personalization: User A •Apps: Office •OS: Vista •Virtual Desktop 2 •Personalization: User B •Apps: Office •OS: XP •Virtual Desktop 3 •Personalization: •Apps: •OS: •Desktop Delivery Controller •Data Collector •Web Interface Firewall •malware •botnets •exploits Terminal Services or User- ID Agent for user identity validation Back-end safe application enablement NetScaler for load balancing access to VDI infrastructure •64 | ©2014, Palo Alto Networks. Confidential and Proprietary.
  62. 62. VM-Series – L2 Deployment •65 | ©2014, Palo Alto Networks. Confidential and Proprietary. ESXi Host •Production Network •Virtual Switch 2 PortGroup3 VLAN 100 PortGroup4 VLAN 100 (P) PortGroup5 VLAN 200 (P) PortGroup6 VLAN 200 PortGroup 2- ProdNet (P) MGMT •Virtual Switch 3 •Virtual Switch 1 PortGroup 1 - MGMT Eth1/1 Eth1/2 Eth1/3 Dev01 Dev02 Prod02Prod01 •VM-Series Configuration • Mgmt Interface in dedicated vSwitch • Single layer 3 network across all VMs • All interfaces are layer 2 in same VLAN • Promiscuous PortGroups • Security Policy Protects Inter-Zone Traffic •vSphere Configuration • PortGroup VLANs are only within vSwitch3 and are not extended to the physical network • Only ProdNet and MGMT networks are connected
  63. 63. VM-Series – L2 Distributed Deployment •66 | ©2014, Palo Alto Networks. Confidential and Proprietary. ESXi Host •Production Network Distributed PortGroup3 VLAN 100 Distributed PortGroup4 VLAN 100 (P) Distributed PortGroup5 VLAN 200 (P) Distributed PortGroup6 VLAN 200 Distributed Port Group 2- ProdNet (P) Eth1/1 Eth1/2 Eth1/3 Dev01 Dev02 Prod02Prod01 ESXi Host Virtual Distributed Switch 2 Virtual Distributed Switch 3 Virtual Distributed Switch 1 PortGroup 1 - MGMT Dev03 Dev04 Prod04Prod03 Distributed PortGroup3 VLAN 100 Distributed PortGroup4 VLAN 100 (P) Distributed PortGroup5 VLAN 200 (P) Distributed PortGroup6 VLAN 200 Distributed Port Group 2- ProdNet (P) MGMT External VLAN
  64. 64. VM-Series – L2 Distributed HA Deployment •67 | ©2014, Palo Alto Networks. Confidential and Proprietary. ESXi Host •Production Network Distributed PortGroup3 VLAN 100 Distributed PortGroup4 VLAN 100 (P) Distributed PortGroup5 VLAN 200 (P) Distributed PortGroup6 VLAN 200 Distributed Port Group 2- ProdNet (P) Eth1/1 Eth1/2 Eth1/3 Dev01 Dev02 Prod02Prod01 ESXi Host Virtual Distributed Switch 2 Virtual Distributed Switch 3 MGMT Virtual Distributed Switch 1 PortGroup 1 - MGMT Eth1/1 Eth1/2 Eth1/3 Dev03 Dev04 Prod04Prod03 Distributed PortGroup3 VLAN 100 Distributed PortGroup4 VLAN 100 (P) Distributed PortGroup5 VLAN 200 (P) Distributed PortGroup6 VLAN 200 Distributed Port Group 2- ProdNet (P) MGMT External VLAN
  65. 65. VM-Series – Layer 3 Intra-ESXi Segmentation •68 | ©2014, Palo Alto Networks. Confidential and Proprietary. ESXi Host •Internet Virtual Switch 1 PortGroup3 – DevNet PortGroup4 - ProdNet PortGroup1- ExternalNet MGMT Virtual Switch 3 Virtual Switch 1 PortGroup2 - MgmtNet Eth1/1 Eth1/2 Eth1/3 Dev01 Dev02 Prod02Prod01 VM-Series Configuration • All interfaces are layer 3 • Each interface connects to a different vSwitch • Management interface is part of dedicated MgmtNet • VM-Series is default gateway for each network vSphere Configuration • Each vSwitch is a separate layer3 network • vSwitch1 – 10.1.1.0/24 • vSwitch2 – 10.1.2.0/24 • vSwitch3 – 10.1.3.0/24 • vSwitch4 – 10.1.4.0/24 • Must change the MAC Address in ESXi host to match VM-Series •Virtual Switch 4 Eth1/4
  66. 66. Segmenting the Modern Datacenter Tap Layer 2 Layer 3 Virtual Wire app Corp Net Users app web ta p ta p Corp Net Users DB PCI VLAN 100 VLAN 100 VLAN 1100 VLAN 1100 Bridge 100 to 1100 DBapp DG web 10.1.1.0/24 10.1.2.0/24 172.16.0.0/16 Corp Net DB app 10.1.3.0/24 Users

×