Nie zawsze mamy komfort wdrożenia nowego rozwiązania od podstaw w całkowicie izolowanym środowisku. Jak zatem bezboleśnie zaimplementować SDN w działającej sieci? Jak zapewnić ciągłość działania aplikacji w trakcie migracji, szczególnie w tak krytycznym obszarze jak DMZ? W trakcie sesji przedstawię krok po kroku możliwe scenariusze wdrożenia.
5. Problemy z infrastrukturą
6
Dział sieciowy #2
Dział sieciowy #1
Dział bezpieczeństwa
Wyzwania w DMZ :
• Architektura jest złożona i
nieelastyczna
• Zmarnowane zasoby z powodu
fizycznej sepatacji
• Uruchomienie nowej aplikacji
wymaga konfiguracji wielu stref
bezpieczeństwa
• Konfiguracja rozproszona na wielu
urządzeniach
• Utrzymywana przez wiele zespołów
• Trudność automatyzacji
Uruchomienie nowej aplikacji w DMZ jest powolne
6. Problemy z bezpieczeństwem
7
Wyzwania w DMZ :
• Ruch nie przechodzący przez DMZ
nie jest w pełni chroniony
• Komunikacja Wschód-Zachód w tej
samej strefie nie jest
zabezpieczona
• Duże, skomplikowane, reguły
firewalla
• Zmiany w konfiguracji sieci,
podłączeniu serwerów mogą
powodować „dziury” w polityce
bezpieczeństwa
• Trudność zarządzania
Architektura DMZ może stanowić ograniczenie dla pełnego bezpieczeństwa DC
7. Wyzwania w DMZ :
• Rozbudowa wydajności może
oznaczać całkowitą wymianę
infrastruktury bezpieczeństwa
• Brak widoczności środowiska
wirtualnego
Zwiększenie wydajności DMZ nie jest proste
Problemy ze skalowalnością
Obszary wymagające nowego
podejścia dla „Cloud Ready”
DMZ:
1. Bezpieczeństwo
2. Zarządzanie
3. Skalowalność i wydajność
4. Automatyzacja
8. Rekomendacje dotyczące bezpieczeństwa środowisk wirtualnych
NIST Special Publication 800-125B
„Secure Virtual Network Configuration for Virtual Machine (VM)
Protection”:
• VM-FW-R1: In virtualized environments with VMs running delay-
sensitive applications, virtual firewalls should be deployed for traffic
flow control instead of physical firewalls…
• VM-FW-R2: In virtualized environments with VMs running I/O
intensive applications, kernel-based virtual firewalls should be
deployed instead of subnet-level virtual firewalls…
• VM-FW-R3: For both subnet-level and kernel-based virtual firewalls,
it is preferable if the firewall is integrated with a virtualization
management platform rather than being accessible only through a
standalone console.
• VM-FW-R4: For both subnet-level and kernel-based virtual firewalls,
it is preferable that the firewall supports rules using higher-level
components or abstractions (e.g., security group) in addition to the
basic 5-tuple
Spełnie powyższych rekomendacji ma zapewnić
odpowiedni poziom ochrony sieciowej dla maszyn
wirtualnych i uruchomionych na nich aplikacji
10. Logiczna separacja stref bezpieczeństwa wewnątrz DC
Kroki:
• DMZ przeniesiony do
wewnątrz Data Center
• Izolacja i ochrona aplikacji z
wykorzystaniem wirtualnych
sieci i aplikacyjnych obiektów
bezpieczeństwa
Korzyści:
• Zwiększone bezpieczeństwo
• Optymalne wykorzystanie
zasobów
• Prostsza konfiguracja
• Mniejszy koszt – mniejsza
liczba urządzeń
• Łatwiejsza automatyzacja
„Collapsed” DMZ z mikrosegmentacją
12. Typowe środowisko IT…
13
• Częściowo zwirtualizowane: fizyczne i wirtualne serwery
• Połączenia typu P-V i V-V z wykorzystaniem VLANów
• Komunikacja L2/L3 zapewniana przez fizyczne przełączniki i routery
• Usługi bezpieczeństwa na fizycznych firewallach
• Zaawansowane usługi L4-L7 również na fizycznych urządzeniach (np. Load Balancer)
L3
L2
VM
VM
VMVM
VM
VM
Physical View
VM VM
VM VM
VM VM
External Network
Logical View
Web (VLAN 10)
App (VLAN 20)
DB (VLAN 30)
13. Uruchomienie mikrosegmentacji w istniejącym środowisku
Scenariusze wdrożenia
Rozproszony firewall z centralnym zarządzaniem
• Kontrolowana komunikacja lub izolacja między VM
w tym samym lub różnym VLAN
• Reguły dla ruchu Wschód-Zachód usunięte z
firewalla fizycznego
• Istniejący firewall odpowiedzialny tylko za ochronę
komunikacji Północ-Południe
• Wykrywanie mapy ruchu dla zbudowania
poprawnych reguł bezpieczeństwa
STOP
Controlled
Communication
STOP
Stateful DFW
Stateful DFW
Physical
Router
Policy
CONFIDENTIAL 16
14. Rozproszony firewall i zaawansowane usługi
bezpieczeństwa
• Uruchomienie mikrosegmentacji i zaawansowanych
usług bezpieczeństwa (NGFW, IPS) dla istniejących
aplikacji
• Ruch wymagający zaawansowej obsługi
przekierowany do dedykowanego wirtualnego
urządzenia
• Reguły z istniejącego fizycznego NGFW mogą
zostać przeniesione do DFW i wirtualnego NGFW
• Wirtualny firewall aplikacyjny może wykorzystywać
dynamiczne obiekty ze środowiska wirtualnego np.
grupy VM
STOP
STOP
Stateful DFW
Stateful DFW
Controlled
Communication
Policy
Traffic Steering
Partner Advanced
Services
17
Uruchomienie mikrosegmentacji w istniejącym środowisku
Scenariusze wdrożenia
15. Rozproszony firewall i sieci nakładkowe
• Logiczne przełączniki na bazie technologii VXLAN
tworzące izolowane wirtualne segmenty sieci nakładkowej
niezależne od transportowej sieci fizycznej
• Rozproszone logiczne routery do optymalizacji routingu
ruchu Wschód-Zachód
• Wirtualne urządzenie brzegowe z funkcją routingu i
firewallingu dla ruchu Północ-Południe N-S, load
balancera, NAT i VPN
• Migracja VM z sieci VLAN do sieci nakładkowej VXLAN
• Po migracji VM istniejący firewall brzegowy obsługuje tylko
ruch Północ-Południe
Traffic Steering
Partner Advanced
Services (L4-L7)STOP
STOP
Stateful DFW
Stateful DFW
Controlled
Communication
Distributed
Logical Router
Policy
• Możliwość rozszerzenia o zaawansowane usługi
bezpieczeństwa warstwy 7
Uruchomienie mikrosegmentacji w istniejącym środowisku
Scenariusze wdrożenia
To overlay or not to overlay
„Sieci nakładkowe w Data Center – uproszczenie czy
utrudnienie” by Piotr Jabłoński
17. Plan wdrożenia
Stan początkowy i cele migracji
21
Dowolna istniejąca architektura sieciowa w DC
np. klasyczne rozwiązanie 3-warstwowe (dostęp,
agregacja, szkielet)
Wirtualizacja serwerów VM połączone do
portów VLAN
Routing i polityka bezpieczeństwa wykonywana
na fizycznym FW dołączonym do urządzeń
warstwy agregującej
Fizyczny FW jest również domyślną bramą dla maszyn
wirtualnych
Cele migracji
Wykorzystanie rozproszonego firewalla (DFW) dla
optymalnego wykonania polityki bezpieczeństwa dla
komunikacji Wschód-Zachód (mikrosegmentacja)
Przeniesienie domyślnej bramy dla VM do urządzeń
agregujących (dla lepszej skalowalności routingu Wschód-
Zachód)
Utrzymanie fizycznego FW do obsługi komunikacji Północ-
Południe
18. Plan wdrożenia
Krok 1 – Uruchomienie konsoli zarządzającej bezpieczeństwem
22
Możliwość wykorzystanie istniejących
logicznych klastrów zarządzających i typu
„Compute”
System zarządzania polityką bezpieczeństwa
i rozproszonym firewallem uruchomiony w
klastrze zarządzającym
L3
L2
Mgmt Cluster
Compute
ClusterCompute
Clusters
Compute
Clusters VM
VM
VM
VM
VM
VM
VM
VM VM
VDS
19. Plan wdrożenia
Krok 2 – Instalacja modułów firewalla i konfiguracja polityk bezpieczeństwa
23
Instalacja modułów rozproszonego firewalla w
kernelu wirtualizatora serwerów
Proces bez wpływu na pracę działających maszyn
wirtualnych
Rozproszony firewall (DFW) jest dostępny i
uruchomiony bezpośrednio po instalacji
Domyślna polityka FW akceptuje cały ruch
Konfiguracja pożądanej polityki DFW do
obsługi ruchu Wschód-Zachód
Domyślną bramą dla VM jest cały czas
fizyczny FW i jest on nadal odpowiedzialny za
routing ruchu Wschód-Zachód jak i
wykonanie wcześniejszych polityk
bezpieczeństwaand (w tym dla ruchu
Wschód-Zachód)
Krok ten umożliwia weryfikację istniejących polityk i
zapewnienie ciągłości ochrony w trakcie migracji
VM VM
VM VM
VM VM
External Network
VLAN 10
VLAN 20
VLAN 30
Centralized security
policies (N-S and E-W
traffic) and routing
.1
.1
.1
Distributed DFW
security policies (E-W
traffic)
Distributed DFW
security policies (E-W
traffic)
20. Plan wdrożenia
Krok 3 – Przeniesienie domyślnej bramy
24
Usunięcie polityk dla ruchu Wschód-Zachód z
fizycznego FW
Konfiguracja routingu (statycznego lub
dynamicznego) pomiędzy urządzeniem warstwy
agregującej i fizycznym firewallem
VM VM
VM VM
VM VM
External Network
VLAN 10
VLAN 20
VLAN 30
.1
.1
.1
Centralized security
policies (N-S traffic)
Static/Dynamic
Routing
21. 25
VM VM
VM VM
VM VM
External Network
VLAN 10
VLAN 20
VLAN 30
N-S Communication
.1 .1
.1 E-W Communication
Plan wdrożenia
Krok 3 – Przeniesienie domyślnej bramy
Usunięcie polityk dla ruchu Wschód-Zachód z
fizycznego FW
Konfiguracja routingu (statycznego lub
dynamicznego) pomiędzy urządzeniem warstwy
agregującej i fizycznym firewallem
Usunięcie domyślnej bramy z fizycznego firewalla i
rzeniesienie do wastwy agregującej
Operacja powodująca przerwę w ruchu. Wymaga
odświeżenia wpisów ARP maszyn wirtualnych
wskazujących domyślną bramę
Powinna być przeprowadzona w trakcie okna
serwisowego
23. 27
Dowolna istniejąca architektura sieciowa w DC
np. klasyczne rozwiązanie 3-warstwowe
(dostęp, agregacja, szkielet)
Wirtualizacja serwerów VM połączone do
portów VLAN
Routing i polityka bezpieczeństwa wykonywana
na fizycznym FW dołączonym do urządzeń
warstwy agregującej
Fizyczny FW jest również domyślną bramą dla maszyn
wirtualnych
Może obejmować również fizyczne serwery
(bare-metal servers), typowo dla aplikacji DB
Cele migracji
Migracja VM do nakładkowych sieci logicznych celem
wykorzystania zalet rozproszonego routingu
Zachowanie istniejącej komunikacji do serwerów
fizycznych
Uproszczenie konfiguracji sieci fizycznej (usunięcie
VLANów dla VM i konfiguracji bramy domyślnej)
VXLAN VXLAN
Plan wdrożenia
Stan początkowy i cele migracji
24. Plan wdrożenia
Krok 1- Uruchomienie systemu zarządzania siecią i bezpieczeństwem oraz
kontrolerów sieci logicznych
28
Możliwe wykorzystania istniejących klastrów
zarządzających oraz obliczeniowych
(Compute). Mogą być potrzebne dodatkowe
zasoby dla wirtualnych urządzeń brzegowych
(Edge)
Dodatkowe zasoby serwerowe mogą być
dodawane później w ramach potrzeb
System zarządzania siecią wirtualną i
bezpieczeństwem oraz kontrolery logicznych
sieci nakładkowych uruchamiane są jako
część klastra zarządzającego
L3
L2
Mgmt Cluster
Edge Cluster
Compute
Clusters
Compute
Clusters
VM
VM
VM
VM
VM
VM
25. Plan wdrożenia
Krok 2 – Uruchomienie logicznych przełączników oraz „mostu” dla migracji VM
29
Instalacja rozproszonych modułów sieciowych
w kernelu wirtualizatora serwerów
Przygotowanie VXLAN dla klastrów
serwerowych i brzegowych
Uruchomienie konfiguracji VTEP na każdym
serwerze z siecią logiczną
Konfiguracja w sieci fizycznej VLANu
odpowiedzialnego za transport ruchu VXLAN
Konfiguracja na fizycznych przełącznikach
domyślnej bramy dla VLANu transportującego
komunikację VXLAN
External Network
.1
.1
.1
VM VM
VM VM
VM VM
26. 30
Instalacja rozproszonych modułów sieciowych
w kernelu wirtualizatora serwerów
Przygotowanie VXLAN dla klastrów
serwerowych i brzegowych
Uruchomienie konfiguracji VTEP na każdym
serwerze z siecią logiczną
Konfiguracja w sieci fizycznej VLANu
odpowiedzialnego za transport ruchu VXLAN
Konfiguracja na fizycznych przełącznikach
domyślnej bramy dla VLANu transportującego
komunikację VXLAN
Przygotowanie reguł rozproszonego FW
Utworzenie logicznych przełączników i
„mostów” (bridging instance) dla migracji VM
Niezależnie dla różnych par VLAN <-> VXLAN
Początek migracji VM do segmentów VXLAN
External Network
VXLAN 5000 <->VLAN 10
VXLAN 5001 <->VLAN 20
.1
.1
.1
VM VM
VM VM
VM VM
VLAN 30 <-> VXLAN 5002
Plan wdrożenia
Krok 2 – Uruchomienie logicznych przełączników oraz „mostu” dla migracji VM
27. Plan wdrożenia
Krok 3 – Dokończenie migracji VM i uruchomienie logicznego routingu
31
Dokończenie migracji VM do logicznych
przełączników VXLAN
Uruchomienie rozproszonego routingu
logicznego (DLR) i wirtualnych routerów
brzegowych (Edge)
Logiczne przełączniki są czały czas odłączone od
rozproszonych routerów logicznych
Brama domyślna nadal na fizycznym FW i osiągalna
przez bramę L2 (bridging VLAN-VXLAN)
Uruchomienie routingu między logicznym
routerem rozproszonym i brzegowym
Konfiguracja routingu (statycznego lub
dynamicznego) między wirtualnym urządzeniem
brzegowym a fizycznym firewallem
External Network
.1
.1
.1
VM VM
VM VM
VM VM
Static/Dynamic
Routing
Dynamic
Routing
28. Plan wdrożenia
Krok 4 – Przeniesienie bramy domyślnej na rozproszony router
32
Usunięcie bramy L2 (bridging) z wyjątkiem tych
segmentów, gdzie konieczne jest zachowanie
komunikacji L2 do serwerów fizycznych BMS
Usunięcie domyślnej bramy z fizycznego FW
(krok powodujący przerwę w ruchu)
Podłączenie logicznych sieci VXLAN do
rozproszonego routera (DLR)
Routing Wschód-Zachód jest obsługiwany w sposób
rozproszony
Tylko komunikacja Północ-Południe przez wirtualny
router brzegowy i fizyczny FW
External Network
VXLAN 5000
VXLAN 5001
.1
.1
.1
VM VM
VM VM
VM VM
VXLAN 5002
N-S Communication
E-W Communication
VXLAN 5003
30. Model polityki bezpieczeństwa
CONFIDENTIAL 34
Management
Trusted RestrictedDMZ
Infrastructure
Outside
Default Allow
Default Block
Inspekcja L7
Inspekcja L4
Mikrosegmentacja
31. Polityki i grupy bezpieczeństwa
• Grupa bezpieczeństwa umożliwia grupowanie VM w logiczne kontenery.
• Polityka bezpieczeństwa kontroluje ruch między grupami i zapewnia przekierowanie do
zaawansowanych usług.
WHAT you
want to
protect
HOW you want
to protect it
SECURITY GROUP
SECURITY POLICY
Przynależność do
grupy (VM, vNIC) i
kontekst (grupa
użytkownika, poziom
bezpieczeństwa)
“Standard Web”
Firewall – allow
inbound HTTP/S,
allow outbound ANY
IPS – prevent DOS
attacks, enforce
acceptable use
Usługi (firewall,
antivirus, IPS etc.) i
Profile (etykiety i
znaczniki
reprezentujące polityki)
32. Mikrosegmentacja – tworzenie polityki bezpieczeństwa
Wykorzystanie istniejącej polityki
firewalla
Wykrywanie ruchu aplikacyjnego
Logi rozproszonego firewalla
Netflow / IPFIX zbierany z logicznych
elementów sieciowych
Możliwe podejścia
?
CONFIDENTIAL 36
33. Podsumowanie
• Nowa architektura DMZ zwiększa bezpieczeństwo środowiska wirtualnego
• Umożliwia podejście Zero-Trust i kontrolę ruchu Wschód-Zachód
• Możliwa do zastosowania w istniejącym środowisku z/bez sieci nakładkowych
• Bez konieczności zmiany adresacji IP
• Polityka bezpieczeństwa tworzona na podstawie istniejących reguł firewall lub wykrywania
aplikacji
• Rozproszony firewall wykorzystuje dynamiczne obiekty
• Możliwe dynamiczne przekierowanie ruchu do bardziej zaawansowanej inspekcji
58