Security and applications control in Next-Gen Data Center

1. Bezpieczeństwoikontrola
aplikacjiwnowoczesnym
centrumdanych
Seweryn Jodlowski
Senior Systems Engineer
CISSP, CNSE
+48 600 832 867
sjodlowski@paloaltonetworks.com

2. Z dedykacją dla wszystkich wystawców i uczestników tegorocznej konferencji #PLNOG 
Oby Wasze serwerownie były bezpieczne!
CC Otwarte Systemy Komputerowe Sp. z o.o.

3. Agenda
 Ewolucja Centrum Danych oraz do czego potrzebny jest
VMware NSX?
 Kilka słów na temat Palo Alto Networks
 Wyzwania i problemy w dzisiejszych Centrach Danych
 Jak działa wspólne rozwiązanie?
 Przykładowe scenariusze

4. EwolucjaCentrumDanych
orazdoczegopotrzebnyjest
VMwareNSX?

5. Ewolucja architektoniczna w centrach danych
DB WebApp
Tradycyjne Centra Danych Obecne Centra Danych
DB WebApp
Centra Danych w Przyszłości
Dynamiczne, Zautomatyzowane, “Zorientowane na Usługi”

6. Wirtualizacja sieci za pomocą VMware NSX
Fizyczne zasoby sprzętowe i pamięć
(Dell, HP, IBM, Quanta,…)
Server Hypervisor
Wymaganie: x86
Virtual
Machine
Virtual
Machine
Virtual
Machine
Aplikacja Aplikacja Aplikacja
x86 Environment
Fizyczna sieć
(Arista, Cisco, HP, Juniper, Cumulus,…)
Platforma Wirtualizacji Sieci
Wymaganie: Transport IP
Virtual
Network
Virtual
Network
Virtual
Network
Workload Workload Workload
L2, L3, L4-7 Network Services
Rozdzielenie

7. VM1
VM2
Server 1
VM3
VM4
VM5
Server 2
VM6
VM7 VM8
Server 3
VM9
VXLAN VM IP VM MAC VTEP
5001 IP1 MAC1 10.20.10.10
5001 IP9 MAC9 10.20.10.11
Virtual networks:
VXLAN Transport network:
NSX Control Plane - inteligentna nakładka na sieć

8. Przeniesienie decyzji routingowych bliżej VM
Ochrona firewall wschód – zachód
Mniej przeskoków, bardziej wydajny i precyzyjny VM networking
6 wire hops 0 wire hop 6 wire hops 2 wire hops

9. Kilkasłówo
PaloAltoNetworks

10. Source: http://www.idtheftcenter.org/images/breach/DataBreachReports_2015.pdf
450 liczba zgłoszonych
incydentów wycieku
danych w 2015
roku
135M
liczba
wykradzionych
rekordów
Garść statystyk

11. 172.16.1.10
źródłowy adres IP
64.81.2.23
docelowy adres IP
port docelowy

12. 344 KB
file-sharing
kategoria URL
PDF
rodzaj pliku
kontrakt.pdf
nazwa pliku
mjacobsen
użytkownik
Finanse
grupa w AD
Korea Północna
państwo docelowe
172.16.1.10
źródłowy adres IP
64.81.2.23
docelowy adres IP
TCP/443
port docelowy
SSL
protokół
HTTP
protokół
slideshare
aplikacja
slideshare-uploading
funkcja w aplikacji
Głęboka analiza przesyłanych treści w HD 
win7-finanse1
nazwa maszyny VM

13. Statystyki cd – aplikacje w DC celem ataków
Source: Palo Alto Networks, Security Lifecycle Report. Jan. 2015.

14. Cloud
ZREDUKOWAĆ I KONTROLOWAĆ
RYZYKO
UŁATWIAĆ DOSTĘP
Usunięcie zagrożeń z dozwolonego ruchu
Udostępnienie wymaganych aplikacji
per użytkownik, ograniczenie niebezpiecznych funkcji
Zapewnienie wglądu we wszystkie
aplikacje i wszystkich użytkowników w sieci
Bezpieczne Udostępnianie Aplikacji

15. Wyzwaniaiproblemy
wdzisiejszychcentrach
danych

16. Problem #1: Bezpieczeństwo wewnątrz DC
Zabezpieczenia brzegu sieci nie zdają egzaminu, a mikro-segmentacja
przy użyciu fizycznych urządzeń jest niewykonalna z operacyjnego punktu
widzenia
Brak lub ograniczona
kontrola wewnątrz DC
Internet Internet
Niewystarczające Operacyjnie praktycznie
niemożliwe do wykonania

17. Problem #2: Wgląd w ruch wschód - zachód
Fizyczne firewalle mogą nie widzieć ruchu wschód - zachód
 Umiejscowienie fizycznych firewalli w
DC ma na celu zapewnienie
segmentacji na poziomie warstwy 3
 Zmiany sieciowe wymagane przy
ochronie ruchu wschód – zachód
wykonywane są ręcznie, zabierają
czas i mogą być skomplikowane
 Możliwość przezroczystego
wstrzyknięcia funkcji bezpieczeństwa
w ruch wschód – zachód jest
wymagana
Hypervisor
MS-SQL SharePoint Web Front End
VM VM VM

18. Problem #3: Zaawansowane funkcje bezpieczeństwa
 Aplikacje o różnym poziomie zaufania korzystają z tych samych serwerów
 Ruch VM-VM (wschód - zachód) musi być poddawany inspekcji
 Zabezpieczenia bazujące na portach i protokołach są niewystarczające
 Wirtualne rozwiązania NGFW są potrzebne aby zapewnić:
 Bezpieczne udostępnianie ruchu aplikacyjnego pomiędzy maszynami wirtualnymi
 Ochronę przed atakami cybernetycznymi
Niekompletne funkcje ochrony w dostępnych rozwiązaniach VM
MS-SQL SharePoint Web Front End
Hypervisor
VM VM VM

19. Rozwiązanie #1-3: przezroczyste dodanie
zaawansowanej funkcji ochrony NGFW

20. Przepływ pakietów: NSX firewall

21. Przepływ pakietów: PANW NGFW jako serwis NSX

22. Przepływ pakietów: włączenie reguły przekierowującej

23. Przepływ pakietów: analiza wybranego ruchu

24. Statyczne polityki bezpieczeństwa nie nadążają za zmianami
środowiska wirtualnego
 Przygotowanie nowych aplikacji zajmuje
minuty, tak samo jak dokonanie zmian w
istniejących
 Pozwolenia i zmiany konfiguracji
zabierają dni/tygodnie/miesiące
 Potrzebne są dynamiczne polityki
bezpieczeństwa które rozumieją
środowisko wirtualne
Problem #4: Statyczne polityki w dynamicznym
środowisku

25. Rozwiązanie #4: Rozumienie środowiska wirtualnego

26. Przypisanie atrybutów do zasobów środowiska
wirtualnego

27. Wybrane atrybuty zamieniane są na Tagi PAN-OS

28. Tagi zostają wykorzystane do budowy dynamicznych
grup adresowych

29. Stworzone grupy synchronizują w czasie rzeczywistym
adresy IP

30. Grupy zostają użyte w politykach bezpieczeństwa

31. Stworzenie nowej instancji VM = aktualizacja polityk

32. Usunięcie instancji VM = aktualizacja polityk

33. Jakdziaławspólne
rozwiązanie?

34. Transformacja bezpieczeństwa sieciowego w DC
Wyzwanie Rozwiązanie
FW nie widzi ruchu wschód - zachód Automatyczna konfiguracja i tworzenie elementów ochronnych
Niepełne funkcje bezpieczeństwa Wirtualna wersja NGFW bazująca na PAN-OSTM
Statyczne polityki bezpieczeństwa Dynamiczna aktualizacja polityk bezpieczeństwa zintegrowana ze środowiskiem
wirtualnym

35. Jak to działa: komponenty wspólnego rozwiązania

36. Jak to działa: rejestracja PAN-OS jako serwis NSX

37. Jak to działa: włączenie usługi NGFW PAN-OS

38. Jak to działa: pobranie licencji i polityk bezpieczeństwa

39. Jak to działa: przekierowanie ruchu

40. Jak to działa: aktualizacji informacji NSX -> PAN-OS

41. Jak to działa: dynamiczna aktualizacja polityk

42. Przykładowescenariusze

43. Micro-segmentacja aplikacji typu „multi-tier” z włączoną
ochroną anty-malware – schemat fizyczny

44. Micro-segmentacja aplikacji typu „multi-tier” z włączoną
ochroną anty-malware – schemat logiczny

45. Micro-segmentacja aplikacji typu „multi-tier” z włączoną
ochroną anty-malware – konfiguracja

46. Micro-segmentacja aplikacji typu „multi-tier” z włączoną
ochroną anty-malware – konfiguracja

47. Micro-segmentacja aplikacji typu „multi-tier” z włączoną
ochroną anty-malware – konfiguracja
Zawansowana ochrona anty-malware

48. “Scale In / Scale Out” dla aplikacji dynamicznych – schemat
fizyczny

49. “Scale In / Scale Out” dla aplikacji dynamicznych – schemat
logiczny

50. “Scale In / Scale Out” dla aplikacji dynamicznych –
konfiguracja
Zmiana konfiguracji nie jest konieczna jeżeli nowe maszyny VM posiadają
nazwy zgodne z przyjętym standardem

51. Pytania?

52. Materiały dodatkowe
VMware NSX Primer
Palo Alto Networks Virtual Firewall Primer
VMware NSX and Palo Alto Networks Solution Brief
VMware NSX and Palo Alto Networks Technical White Paper
VMware HOL-PRT-1462 – Integrated Solution Hands-On Lab
Columbia Customer Video

53. Dziękuję