3. Co oznacza znacząca poprawa bezpieczeństwa?
App
Usługi
Współdzielone
DB
AD NTP DHCP DNS CERT
Inspekcja
Inter-VLAN
App 1 App 2
§ Automatyczna i
selektywna separacja
§ Integracja reguł FW z AD
§ Właściwy monitoring sieci
i przepływów
§ Narzędzia diagnostyczne
HTTP
SQL
DNS
DNS
§ Skalowalne i wydajne filtrowanie ruchu inter-VLAN oraz intra-VLAN
LDAP
4. App
Shared Services
DB
Perimeter
Firewall
AD NTP DHCP DNS CERT
Distributed
Firewall
DMZ
App 1 App 2
Zabezpieczenie wewnątrz segmentu sieci – Firewall na VM
§ Nieefektywna
zarządzalność
§ Operacyjnie kosztowne
§ Co w przypadku
przejęcia maszyny?
5. App
Shared Services
DB
Perimeter
Firewall
AD NTP DHCP DNS CERT
Distributed
Firewall
DMZ
App 1 App 2
Zabezpieczenie wewnątrz segmentu sieci – Firewall na vNIC
§ Firewall na poziomie
vNIC
§ Każda maszyna ma
swoją dedykowaną
ochronę i reguły
§ Reguły mogą być
uruchamiane dla grupy
§ Bezpieczeństwo
oddzielone od OS
6. Mikrosegmentacja – większe bezpieczeństwo
Każda maszyna wirtualna ma swój firewall. Pełna ochrona nawet w ramach jednego segmentu sieci.
App
Usługi
Współdzielone
DB
Firewall
brzegowy
AD NTP DHCP DNS CERT
Firewall
Rozproszony
DMZ
App 1 App 2
§ Każda maszyna VM
może być osobnym
obszarem
§ Polityki przypisane do
grup maszyn VM
§ Włamanie do jednej z
maszyn nie oznacza
włamania do innych VM
§ Automatyczna
kwarantanna VM
§ Reguły FW
poruszają się za VM
16. NSX – SpoofGuard
vSphere
VXLAN DR DFWSecurity
1.1.1.1 1.1.1.2 1.1.1.3
vSphere
VXLAN DR DFWSecurity
2.2.2.1 2.2.2.2 2.2.2.3
vSphere
VXLAN DR DFWSecurity
Nowy
IP:
1.1.1.2 1.1.1.2 1.1.1.3
vSphere
VXLAN DR DFWSecurity
2.2.2.1 2.2.2.2 2.2.2.3
Wszystkie przepływy
są przepuszczone
Przepływ z/do zmienionego adresu
IP jest zablokowany
Administrator sieci akceptuje ręcznie lub automatycznie zmiany adresów IP maszyn wirtualnych
20. Podsumowanie – Znacząca poprawa bezpieczeństwa
1. Separacja ruchu nawet w ramach tej samej podsieci.
2. Reguły bezpieczeństwa dla każdej maszyny wirtualnej.
3. Bardziej skalowalne bezpieczeństwo.
4. Bardziej wydajne bezpieczeństwo.
5. Automatyzacja konfiguracji i separacji.
Łatwiejsze zarządzanie.
6. Spełnienie norm i rekomendacji.
Internet
Operacyjnie
możliwe
21. Try NSX, Run NSX!
Laboratoria online: http://labs.hol.vmware.com
Dokumentacja do labów: http://docs.hol.vmware.com