.

1. © 2014 VMware Inc. All rights reserved.
Jak zwiększyć bezpieczeństwo w Data Center
Demo funkcjonalności NSX
Piotr Jabłoński
NSX Senior System Engineer
Network & Security Eastern Europe
pjablonski@vmware.com

2. Mikrosegmentacja

3. Co oznacza znacząca poprawa bezpieczeństwa?
App
Usługi
Współdzielone
DB
AD NTP DHCP DNS CERT
Inspekcja
Inter-VLAN
App 1 App 2
§ Automatyczna i
selektywna separacja
§ Integracja reguł FW z AD
§ Właściwy monitoring sieci
i przepływów
§ Narzędzia diagnostyczne
HTTP
SQL
DNS
DNS
§ Skalowalne i wydajne filtrowanie ruchu inter-VLAN oraz intra-VLAN
LDAP

4. App
Shared Services
DB
Perimeter
Firewall
AD NTP DHCP DNS CERT
Distributed
Firewall
DMZ
App 1 App 2
Zabezpieczenie wewnątrz segmentu sieci – Firewall na VM
§ Nieefektywna
zarządzalność
§ Operacyjnie kosztowne
§ Co w przypadku
przejęcia maszyny?

5. App
Shared Services
DB
Perimeter
Firewall
AD NTP DHCP DNS CERT
Distributed
Firewall
DMZ
App 1 App 2
Zabezpieczenie wewnątrz segmentu sieci – Firewall na vNIC
§ Firewall na poziomie
vNIC
§ Każda maszyna ma
swoją dedykowaną
ochronę i reguły
§ Reguły mogą być
uruchamiane dla grupy
§ Bezpieczeństwo
oddzielone od OS

6. Mikrosegmentacja – większe bezpieczeństwo
Każda maszyna wirtualna ma swój firewall. Pełna ochrona nawet w ramach jednego segmentu sieci.
App
Usługi
Współdzielone
DB
Firewall
brzegowy
AD NTP DHCP DNS CERT
Firewall
Rozproszony
DMZ
App 1 App 2
§ Każda maszyna VM
może być osobnym
obszarem
§ Polityki przypisane do
grup maszyn VM
§ Włamanie do jednej z
maszyn nie oznacza
włamania do innych VM
§ Automatyczna
kwarantanna VM
§ Reguły FW
poruszają się za VM

7. Integracja z systemami bezpieczeństwa

8. Isolation Explicit Allow Comm. Secure Communications
IPS
FIM
AM
WR
Service Insertion
Application A
Application B
App Tier
DB Tier
(e.gTCP,1433)
No Communication Path
Intrusion Protection
File Integrity
Anti-Malware
Web Reputation
Integracja z systemami bezpieczeństwa

9. Przykład integracji z NGFW Palo Alto
Internet
Security Policy
Security Admin
Traffic
Steering

10. Topologia labowa

11. Topologia labowa

12. Bezagentowe skanowanie
+ kwarantanna

13. Przykład integracji – Trend Micro Deep Security
Internet
Security Policy
Traffic
Steering

14. 14
Security Group = Quarantine
Members = {Tag = ‘ANTI_VIRUS.VirusFound’}
Security Group = Standard
Automatyczna kwarantanna
Standardowa polityka
þ Anti-Virus – Skanowanie
Polityka kwarantanny
þ Firewall – Blokada za wyjątkiem AV, TS
þ Anti-Virus – Skanowanie i reagowanie
Definicja polityki

15. Spoofguard

16. NSX – SpoofGuard
vSphere
VXLAN DR DFWSecurity
1.1.1.1 1.1.1.2 1.1.1.3
vSphere
VXLAN DR DFWSecurity
2.2.2.1 2.2.2.2 2.2.2.3
vSphere
VXLAN DR DFWSecurity
Nowy
IP:
1.1.1.2 1.1.1.2 1.1.1.3
vSphere
VXLAN DR DFWSecurity
2.2.2.1 2.2.2.2 2.2.2.3
Wszystkie przepływy
są przepuszczone
Przepływ z/do zmienionego adresu
IP jest zablokowany
Administrator sieci akceptuje ręcznie lub automatycznie zmiany adresów IP maszyn wirtualnych

17. Widoczność aplikacji

18. Widoczność aplikacji w NSX

19. Podsumowanie

20. Podsumowanie – Znacząca poprawa bezpieczeństwa
1. Separacja ruchu nawet w ramach tej samej podsieci.
2. Reguły bezpieczeństwa dla każdej maszyny wirtualnej.
3. Bardziej skalowalne bezpieczeństwo.
4. Bardziej wydajne bezpieczeństwo.
5. Automatyzacja konfiguracji i separacji.
Łatwiejsze zarządzanie.
6. Spełnienie norm i rekomendacji.
Internet
Operacyjnie
możliwe

21. Try NSX, Run NSX!
Laboratoria online: http://labs.hol.vmware.com
Dokumentacja do labów: http://docs.hol.vmware.com