PLNOG14: Vectra i Infoblox Advanced DNS Protection, historia sukcesu pewnego...PROIDEA
Similar to infraxstructure: Piotr Jabłoński "SDN w praktyce. Znacząca poprawa bezpieczeństwa wewnątrz Data Center dzięki sieci sterowanej programowo." (20)
2. Kilka słów o prowadzącym sesję
Piotr Jabłoński, pjablonski@vmware.com
Inżynier systemowy w VMware
• Wirtualizacja sieci, komunikacja aplikacji poprzez NSX.
Wcześniej architect i konsultant w Cisco Systems
• Projekty Data Center dla firm w kraju i zagranicą.
Security: SP Sec, Ent Sec, DC Sec, FW, IPS
Wirtualizacja: VLAN -> VRF -> VNF -> VMware
Sieci nakładkowe: IPSec -> MPLS -> FabricPath -> OTV -> VXLAN
Certyfikacje: CCDE 2012::7, CCIE#19476 SP/RS
5. Co oznacza znacząca poprawa bezpieczeństwa?
App
Usługi
Współdzielone
DB
AD NTP DHCP DNS CERT
Inspekcja
Inter-VLAN
App 1 App 2
§ Automatyczna i
selektywna separacja
§ Integracja reguł FW z AD
§ Właściwy monitoring sieci
i przepływów
§ Narzędzia diagnostyczne
HTTP
SQL
DNS
DNS
§ Skalowalne i wydajne filtrowanie ruchu inter-VLAN oraz intra-VLAN
LDAP
6. Podział na podsieci nie zawsze jest możliwy
App1
App 2
Inspekcja
Inter-VLAN
na firewallu
App 1
App 2
HTTP
§ Separacja w VRF lub translacja adresów konieczna w przypadku nakładania się adresów
Routing do WAN
lub Internetu
Separacja w VRF lub translacja adresów
jeżeli adresy App1 i App2 się nakładają
HTTP
7. KNF Rekomendacja D
• 9.9. […] – ustalając sposób konfiguracji komponentu, bank powinien kierować się zasadą
minimalizacji udostępnianych przez dany komponent usług (w tym np. otwartych portów,
obsługiwanych protokołów itp.), z jednoczesnym zapewnieniem planowanej funkcjonalności.
• 9.15 Konfiguracja systemu zapór sieciowych powinna zapewniać rejestrowanie
niestandardowych aktywności w celu umożliwienia dokonywania ich analizy pod kątem
wykrywania ataków zewnętrznych i wewnętrznych. System zapór sieciowych powinien także
zapewniać kontrolę ruchu wychodzącego w celu blokowania prób nawiązania sesji z wewnątrz
sieci przez szkodliwe oprogramowanie.
• 9.16. Bank wykorzystujący technologię wirtualizacji serwerów powinien przeprowadzać analizę
ryzyka związanego z tą technologią w odniesieniu do własnych uwarunkowań. Na podstawie
wyników powyższej analizy, bank powinien zapewnić poprawne funkcjonowanie odpowiednich
mechanizmów kontrolnych.
9. "Nie miałem ataków. Mój kaskadowy NG-FW wszystko odfiltrowuje."
"Nie można zapewnić separacji sieci, zawsze znajdzie się luka."
"Ataki z Internetu?
To ja muszę chronić Internet przed moimi użytkownikami."
"Wnętrze DC powinno być rozpatrywane jako świat zewnętrzny."
13. Co wziąć pod uwagę przy wyborze rozwiązania?
DC Fabric
Front-end segment
segment 2
segment 3
web
app
db
IPA
p
p
O
S
A
p
p
O
S
WAN/DCI
Branch/
Campus
Front-end segment
segment 2
segment 3
web
app
db
IPA
p
p
O
S
A
p
p
O
S
• Stabilna sieć
• Brak trwałych pętli
• Szybsza konwergencja
• Ograniczenie ruchu rozgłoszeniowego
• Łatwiejszy upgrade oprogramowania
• Większa skalowalność
• Szybkość wprowadzanych zmian
• Bezpieczeństwo
• Prostota architektury
• Łatwość diagnostyki
• Wymagania aplikacji
• Widoczność aplikacji
• Cena
• Sympatie i antypatie
14. DC Fabric
Front-end segment
segment 2
segment 3
web
app
db
IPA
p
p
O
S
A
p
p
O
S
WAN/DCI
DC 2
EVPN/VXLAN
Front-end segment
segment 2
segment 3
web
app
db
IPA
p
p
O
S
A
p
p
O
S
L3
L2
VLAN
L2
Logiczny
przełącznik
vSphere
Haczyki na stykach sieci
DC Fabric
Front-end segment
segment 2
segment 3
web
app
db
IPA
p
p
O
S
A
p
p
O
S
WAN/DCI
DC 2
Front-end segment
segment 2
segment 3
web
app
db
IPA
p
p
O
S
A
p
p
O
S
NSX VXLAN
L3
L2
Logiczny
przełącznik NSX
L2 VLAN
EVPN/VXLAN
L3
L2 VLAN
15. DC Fabric
Front-end segment
segment 2
segment 3
web
app
db
IPA
p
p
O
S
A
p
p
O
S
WAN/DCI
DC 2
EVPN/VXLAN
Front-end segment
segment 2
segment 3
web
app
db
IPA
p
p
O
S
A
p
p
O
S
L3
L2
VLAN
L2
Logiczny
przełącznik
vSphere
Haczyki na stykach sieci
DC Fabric
Front-end segment
segment 2
segment 3
web
app
db
IPA
p
p
O
S
A
p
p
O
S
WAN/DCI
DC 2
Front-end segment
segment 2
segment 3
web
app
db
IPA
p
p
O
S
A
p
p
O
S
NSX VXLAN
L3
L2
Logiczny
przełącznik NSX
17. App
Shared Services
DB
Perimeter
Firewall
AD NTP DHCP DNS CERT
Distributed
Firewall
DMZ
App 1 App 2
Zabezpieczenie wewnątrz segmentu sieci – Firewall na VM
§ Nieefektywna
zarządzalność
§ Operacyjnie kosztowne
§ Co w przypadku
przejęcia maszyny?
18. App
Shared Services
DB
Perimeter
Firewall
AD NTP DHCP DNS CERT
Distributed
Firewall
DMZ
App 1 App 2
Zabezpieczenie wewnątrz segmentu sieci – Firewall na vNIC
§ Firewall na poziomie
vNIC
§ Każda maszyna ma
swoją dedykowaną
ochronę i reguły
§ Reguły mogą być
uruchamiane dla grupy
§ Bezpieczeństwo
oddzielone od OS
19. Mikrosegmentacja – większe bezpieczeństwo
Każda maszyna wirtualna ma swój firewall. Pełna ochrona nawet w ramach jednego segmentu sieci.
App
Usługi
Współdzielone
DB
Firewall
brzegowy
AD NTP DHCP DNS CERT
Firewall
Rozproszony
DMZ
App 1 App 2
§ Każda maszyna VM
może być osobnym
obszarem
§ Polityki przypisane do
grup maszyn VM
§ Włamanie do jednej z
maszyn nie oznacza
włamania do innych VM
§ Automatyczna
kwarantanna VM
§ Reguły FW
poruszają się za VM
29. NSX
Dystrybucyjny firewall
Przed NSX
Bardziej wydajne filtrowanie z NSX
6 przeskoków
Fabric A Fabric B
Blade 1 Blade 2
vswitch vswitch
Fabric A Fabric B
Blade 1 Blade 2
Ochrona East-West
2 przeskoki
NSX vSwitch
Problem z wydajnością
Mniej przeskoków, bardziej efektywne połączenia.
30. Automatyczna kwarantanna
Security Group = Quarantine Zone
Members = {Tag = ‘ANTI_VIRUS.VirusFound’, L2
Isolated Network}
Security Group = Web Tier
Definicja polityki
Standardowa polityka
þ Anti-Virus – Skanowanie
Polityka kwarantanny
þ Firewall – Blokada za wyjątkiem AV, TS
þ Anti-Virus – Skanowanie i reagowanie
32. NSX – SpoofGuard
vSphere
VXLAN DR DFWSecurity
1.1.1.1 1.1.1.2 1.1.1.3
vSphere
VXLAN DR DFWSecurity
2.2.2.1 2.2.2.2 2.2.2.3
vSphere
VXLAN DR DFWSecurity
Nowy
IP:
1.1.1.2 1.1.1.2 1.1.1.3
vSphere
VXLAN DR DFWSecurity
2.2.2.1 2.2.2.2 2.2.2.3
Wszystkie przepływy
są przepuszczone
Przepływ z/do zmienionego adresu
IP jest zablokowany
Administrator sieci akceptuje ręcznie lub automatycznie zmiany adresów IP maszyn wirtualnych
37. Traceflow
• Traceroute między światem wirtualnym,
a fizycznym
• Wsparcie dla warstwy 2 i 3
• Może być zainicjalizowane na poziomie
GUI lub API
• Pakiety definiowane przez użytkownika
• Rozszerzona diagnostyka
VM VM
App1Web1
Pakiet IP
…
…
1
3 4
5
2
39. Podsumowanie – Znacząca poprawa bezpieczeństwa
1. Separacja ruchu nawet w ramach tej samej podsieci.
2. Reguły bezpieczeństwa dla każdej maszyny wirtualnej.
3. Bardziej skalowalne bezpieczeństwo.
4. Bardziej wydajne bezpieczeństwo.
5. Automatyzacja konfiguracji i separacji.
Łatwiejsze zarządzanie.
6. Spełnienie norm i rekomendacji.
Internet
Operacyjnie
możliwe