2. Z dedykacją dla wszystkich wystawców i uczestników tegorocznej konferencji #PLNOG
Oby Wasze serwerownie były bezpieczne!
CC Otwarte Systemy Komputerowe Sp. z o.o.
3. Agenda
Ewolucja Centrum Danych oraz do czego potrzebny jest
VMware NSX?
Kilka słów na temat Palo Alto Networks
Wyzwania i problemy w dzisiejszych Centrach Danych
Jak działa wspólne rozwiązanie?
Przykładowe scenariusze
5. Ewolucja architektoniczna w centrach danych
DB WebApp
Tradycyjne Centra Danych Obecne Centra Danych
DB WebApp
Centra Danych w Przyszłości
Dynamiczne, Zautomatyzowane, “Zorientowane na Usługi”
6. Wirtualizacja sieci za pomocą VMware NSX
Fizyczne zasoby sprzętowe i pamięć
(Dell, HP, IBM, Quanta,…)
Server Hypervisor
Wymaganie: x86
Virtual
Machine
Virtual
Machine
Virtual
Machine
Aplikacja Aplikacja Aplikacja
x86 Environment
Fizyczna sieć
(Arista, Cisco, HP, Juniper, Cumulus,…)
Platforma Wirtualizacji Sieci
Wymaganie: Transport IP
Virtual
Network
Virtual
Network
Virtual
Network
Workload Workload Workload
L2, L3, L4-7 Network Services
Rozdzielenie
7. VM1
VM2
Server 1
VM3
VM4
VM5
Server 2
VM6
VM7 VM8
Server 3
VM9
VXLAN VM IP VM MAC VTEP
5001 IP1 MAC1 10.20.10.10
5001 IP9 MAC9 10.20.10.11
Virtual networks:
VXLAN Transport network:
NSX Control Plane - inteligentna nakładka na sieć
8. Przeniesienie decyzji routingowych bliżej VM
Ochrona firewall wschód – zachód
Mniej przeskoków, bardziej wydajny i precyzyjny VM networking
6 wire hops 0 wire hop 6 wire hops 2 wire hops
12. 344 KB
file-sharing
kategoria URL
PDF
rodzaj pliku
kontrakt.pdf
nazwa pliku
mjacobsen
użytkownik
Finanse
grupa w AD
Korea Północna
państwo docelowe
172.16.1.10
źródłowy adres IP
64.81.2.23
docelowy adres IP
TCP/443
port docelowy
SSL
protokół
HTTP
protokół
slideshare
aplikacja
slideshare-uploading
funkcja w aplikacji
Głęboka analiza przesyłanych treści w HD
win7-finanse1
nazwa maszyny VM
13. Statystyki cd – aplikacje w DC celem ataków
Source: Palo Alto Networks, Security Lifecycle Report. Jan. 2015.
14. Cloud
ZREDUKOWAĆ I KONTROLOWAĆ
RYZYKO
UŁATWIAĆ DOSTĘP
Usunięcie zagrożeń z dozwolonego ruchu
Udostępnienie wymaganych aplikacji
per użytkownik, ograniczenie niebezpiecznych funkcji
Zapewnienie wglądu we wszystkie
aplikacje i wszystkich użytkowników w sieci
Bezpieczne Udostępnianie Aplikacji
16. Problem #1: Bezpieczeństwo wewnątrz DC
Zabezpieczenia brzegu sieci nie zdają egzaminu, a mikro-segmentacja
przy użyciu fizycznych urządzeń jest niewykonalna z operacyjnego punktu
widzenia
Brak lub ograniczona
kontrola wewnątrz DC
Internet Internet
Niewystarczające Operacyjnie praktycznie
niemożliwe do wykonania
17. Problem #2: Wgląd w ruch wschód - zachód
Fizyczne firewalle mogą nie widzieć ruchu wschód - zachód
Umiejscowienie fizycznych firewalli w
DC ma na celu zapewnienie
segmentacji na poziomie warstwy 3
Zmiany sieciowe wymagane przy
ochronie ruchu wschód – zachód
wykonywane są ręcznie, zabierają
czas i mogą być skomplikowane
Możliwość przezroczystego
wstrzyknięcia funkcji bezpieczeństwa
w ruch wschód – zachód jest
wymagana
Hypervisor
MS-SQL SharePoint Web Front End
VM VM VM
18. Problem #3: Zaawansowane funkcje bezpieczeństwa
Aplikacje o różnym poziomie zaufania korzystają z tych samych serwerów
Ruch VM-VM (wschód - zachód) musi być poddawany inspekcji
Zabezpieczenia bazujące na portach i protokołach są niewystarczające
Wirtualne rozwiązania NGFW są potrzebne aby zapewnić:
Bezpieczne udostępnianie ruchu aplikacyjnego pomiędzy maszynami wirtualnymi
Ochronę przed atakami cybernetycznymi
Niekompletne funkcje ochrony w dostępnych rozwiązaniach VM
MS-SQL SharePoint Web Front End
Hypervisor
VM VM VM
24. Statyczne polityki bezpieczeństwa nie nadążają za zmianami
środowiska wirtualnego
Przygotowanie nowych aplikacji zajmuje
minuty, tak samo jak dokonanie zmian w
istniejących
Pozwolenia i zmiany konfiguracji
zabierają dni/tygodnie/miesiące
Potrzebne są dynamiczne polityki
bezpieczeństwa które rozumieją
środowisko wirtualne
Problem #4: Statyczne polityki w dynamicznym
środowisku
34. Transformacja bezpieczeństwa sieciowego w DC
Wyzwanie Rozwiązanie
FW nie widzi ruchu wschód - zachód Automatyczna konfiguracja i tworzenie elementów ochronnych
Niepełne funkcje bezpieczeństwa Wirtualna wersja NGFW bazująca na PAN-OSTM
Statyczne polityki bezpieczeństwa Dynamiczna aktualizacja polityk bezpieczeństwa zintegrowana ze środowiskiem
wirtualnym
48. “Scale In / Scale Out” dla aplikacji dynamicznych – schemat
fizyczny
49. “Scale In / Scale Out” dla aplikacji dynamicznych – schemat
logiczny
50. “Scale In / Scale Out” dla aplikacji dynamicznych –
konfiguracja
Zmiana konfiguracji nie jest konieczna jeżeli nowe maszyny VM posiadają
nazwy zgodne z przyjętym standardem
52. Materiały dodatkowe
VMware NSX Primer
Palo Alto Networks Virtual Firewall Primer
VMware NSX and Palo Alto Networks Solution Brief
VMware NSX and Palo Alto Networks Technical White Paper
VMware HOL-PRT-1462 – Integrated Solution Hands-On Lab
Columbia Customer Video
Virtualization has become an integral part of the modern data center
In the traditional data center, everything has its place and purpose but with that dedication comes inefficient utilization of resources. The first wave was and still is virtualizing the application environment to get better efficiencies and utilization. This means that traffic is now flowing within virtualized environments and the traditional network and security controls like routers, switches, and firewalls might never even see the traffic. So you get a benefit, but it comes at a potential cost.
The challenge is magnified even more in the cloud model where IT is fully viewed as a service and networks as well as applications are rapidly provisioned and re-provisioned on the fly. One of the biggest inhibitors we hear to actually adopting this model is that the traditional network and security solutions cannot keep up with the dynamically changing environment. “I can redeploy my applications in a few minutes but it then takes me 2 weeks to get the routers and firewalls changed.” This is why you are starting to see large R&D commercial and open source investments in automation and orchestration technologies.
Data compiled from identity theft center for 2015
http://www.idtheftcenter.org/images/breach/DataBreachReports_2015.pdf
Attacks have evolved where they are targeted, stealthy, using sophisticated techniques. And of course, their final objective is to get to the heart of the enterprise – the data center, where all your important data and IP reside.
The frequency of these breaches have raised questions in many businesses as to whether or not there has been too much security focus on the perimeter and not enough internally.
IRS, and Anthem are just a few examples. But clearly company data is the target.
For comparison, 783 breaches occurred in 2014, 85M records. So this year looks to be similar in activity
Tried and true perimeter defense architectures leverage North-South control points at the perimeter, but provide little or no lateral control inside the perimeter, making it insufficient for addressing the explosion of East-West traffic.
Nirvana to most security teams is “micro-segmentation” or a “zero-trust” approach. However, even if your company can afford the capital expense for enough firewalls to deliver the throughput capacity required to achieve high availability micro-segmentation for East-West traffic in your data center, the operational complexity of managing changes, VM movement, policy granularity, unsustainable policy table changes across all of these firewalls quickly becomes operationally infeasible.
Automated deployment and dynamic policies without having to change existing infrastructure
Visibility into VM-VM traffic
Applications may behave differently – port hop, encryption, non-standard ports
Application aware security needed, port/protocol based security is not sufficient
The only traffic between SharePoint and SQL should be:
MSSQL-MON
MSSQL-DB
MS-DS-SMB
Talk track: Without NSX, traffic flows from the VM directly to the vSwitch
Talk track: When NSX Firewall is deployed, a Filter is also deployed on each Guest VM. This filter can be used to perform basic port/protocol-based firewalling, it is also used to redirect select traffic to the VM-Series
Talk track: the VM-Series deployed as an advanced service to perform micro segmentation based on NSX application re-direct policies .
Talk track: we configure rules in NSX to re-direct a segment of traffic to the VM-Series for added inspection. Note that the other portion of traffic continues to flow through the vSwitch – we are not scanning all traffic, just what the admin team dictates through the redirect policies.
Talk track: traffic is inspected by the VM-Series based on policy, if it passes policy it is forwarded to the vSwitch.
Automated deployment and dynamic policies without having to change existing infrastructure
One of the challenges with datacenter security is the lag that occurs between compute resource provisioning and security policy creation or update. You all have a pool of compute resources that may virtualized, physical or a mix thereof. Each of those servers has an IP address but they also have a wide range of attributes…
….things like the OS, the location, and the application running on them that are known by the resource mgmt. tools in use [ESXi, NSX, OpenStack, SDX, API]. Wouldn’t it be great if you could tie the context generated by the compute resource attributes to the security policy so that when your compute resources change, the security policy is updated, in an automated manner.
Using dynamic address groups and VM-monitoring, we can enable this automation. First, VM-monitoring collects the compute resource attributes from vCenter, ESXi and AWS-VPC or via the XML-API and converts them into PAN-OS Tags. Those tags can then be used within a Dynamic Address Group – such as New York web servers – to automate security policy updates.
Within the NY web server address group, we can now select a series of Tags (attributes) to determine group membership. Here we are using Linux, Web front end, and NY as the location.
The address group will then “learn” the specific IP addresses for all of the compute resources that fall into the group membership. In this case, 2 specific servers.
The address group will then deliver an update to the security policy. Automatically. [pause] Now when you talk to security teams, one of the things they will begrudgingly admit to is less than stellar policy hygiene. Adding policies is relatively straight forward, changing or removing them is more difficult – you’ve got change control challenges, other tasks to manage, a security incident to investigate. In a virtualized environment – these challenges are amplified and they may slow the business. Why else do you here a security guy say “no one knows what that rule is, but we do not want to remove it – it may break something.” Automation is of significant value not only because it helps improve policy hygiene, but it also eliminates the need for manual oversight associated with a policy commit. Lets say a new workload is introduced that falls into the New York web servers group.
Lets say a new workload is introduced that falls into the New York web servers group.
The address group membership will show a new IP address and the policy is then updated. And when a workload is removed or changes…
And when a workload is removed, and no longer fits within the group membership, it is automatically removed from the group membership and the policy is updated. [pause] Now the really cool thing here is that this functionality is not only supported in the virtualized editions, it is also supported in all of our physical form factor appliances.
The joint integration includes:
VMware NSX – The NSX network virtualization platform automates the delivery of the VM-Series and transparently inserts it in the traffic flows without requiring manual network configuration changes.
Palo Alto Networks VM-Series – The virtualized next-generation firewall offers the same consistent visibility, safe enablement and threat protection capabilities as hardware platforms. The VM-Series for VMware NSX (VM-1000-HV) was specifically designed for the VMware NSX integration.
Palo Alto Networks Panorama – The centralized management platform for next-generation security manages a distributed network of virtualized and physical firewalls from a centralized location. VMware NSX dynamically shares VM context changes with Panorama to ensure security policies are aware of the latest application status and location.
Once NSX, Panorama and the VM-Series are initially configured, Panorama will register as a service with NSX
NSX will then deploy a VM-Series to the host as a guest.
Note, VM-Series is running in SW, as opposed to the native FW running on the kernel.
The VM-Series will then pull down the subscriptions and policies.
Once the VM-Series is deployed, NSX will begin steering traffic to the VM-Series for inspection
As workloads change, those changes are communicated to panorama for any policy updates. This enables your security policies to keep pace with your workload changes. here are some more details….[click]