VMware NSX pro vSphere 6.4 usnadňuje provoz a zvyšuje bezpečnost aplikací díky kontextu

Posted on 08/02/2018

Shrnutí: Řešení VMware NSX pro vSphere 6.4, které je ode dneška všeobecně dostupné, zvyšuje úroveň zabezpečení a plánování aplikací a zavádí kontextově řízenou mikrosegmentaci

Ti, kdo pracují v oblasti IT bezpečnosti, musí neustále přemýšlet a diskutovat o kybernetických hrozbách a počítat s nimi jako s nutným zlem. Připomeňme si na chvíli lepší časy a vzpomeňme si na doby, kdy jsme mohli klidně spát a nemuseli neustále myslet na průniky do sítí. Nad hlavami nám nevisela hrozba průniku jako Damoklův meč s potenciálními škodami v řádu milionů dolarů a narušením soukromí uživatelů. Pravda, takové hrozby ve skutečnosti existovaly, avšak nevyly zdaleka tak časté nebo veřejně známé, aby způsobovaly takový poprask jako dnes. Tehdy jsme na okraj sítě naistalovali firewall a modlili se, aby se útočníci nedostali dovnitř.

Ale zpět do současnosti. Dnešní situace je velmi odlišná – k lepšímu i horšímu. Pokusy o průnik jsou sice častější, ale naše obrana je účinnější a – co je nejdůležitější – neustále se vyvíjí (stejně jako hrozby). Jednou z hlavních součástí modernější obrany je mikrosegmentace. Díky mikrosegmentaci se bezpečnostní pravidla dříve uplatňovaná pouze na úrovni perimetru nyní posouvají na úroveň jednotlivých aplikací. Mikrosegmentace rychle získává na oblibě a stala se jednou z technologií hlavního proudu, kdy ji zavedla, zavádí nebo plánuje zavést většina provozovatelů cloudu a datových center. Existuje bezpočet případů úspěšné implementace, ale vyskytují se i určité problémy. Přesunutí zabezpečení na úroveň aplikace s sebou nese řadu zcela nových otázek: Kde začít? Jak se bude postupovat při změnách aplikací? Situaci navíc komplikuje větší distribuovanost aplikací. A, samozřejmě, jak se bude vyvíjet zabezpečení spolu s vývojem hrozeb?

Platforma VMware NSX je průkopníkem mikrosegmentace. Užívá virtualizační vrstvu jako ideální místo k implementaci této kriticky důležité obranné funkce. Je dostatečně blízko aplikaci, aby mohla získávat cenné informace o kontextu a uplatňovat podrobná bezpečnostní pravidla, avšak zároveň dostatečně od aplikaci izolovaná v případě útoku proti aplikaci.

Představujeme kontextově řízenou mikrosegmetaci

Výhody architektury NSX jsou pouze jedním aspektem. Koncept síťové bezpečnosti platformy NSX se neomezuje na IP adresu a číslo portu, ale již roky k vytváření pravidel v kontextu aplikací užívá i další atributy – název virtuálního stroje, verzi OS, regulatorní rámec a další. Tento přístup je nejen bezpečnější, ale také jednodušší na správu a lze snáze automatizovat v porovnání s bezpečnostními pravidly založenými např. na IP adresách, které se často mění. U VMware NSX pro vSphere 6.4 posouvá VMware tento přístup na novou úroveň v podobě kontextově řízené mikrosegmentace, která zlepšuje zabezpečení aplikací tím, že bere v úvahu jejich úplný kontext.

Co je nového?

Většina prvků kontextu aplikací, které NSX využívá, je podporována již déle. Co je tedy nového?

    • Detekce aplikací v síťovém toku a uplatňování pravidel na vrstvě L7 – nástroje NSX jako monitoring koncových bodů nahlíží do aplikace, síťová vrstva by ale měla být také schopná rozpoznat, která aplikace běží ze své vlastní unikátní pozice. NSX pro vSphere 6.4 provádí hloubkovou kontrolu paketů (za hlavičkou TCP/UDP) kvůli identifikaci aplikace v síťovém toku. Mikrosegmentační pravidla z pohledu sítě tak nemusí spoléhat na pětinásobnou informaci, aby zjistila, o jakou aplikaci se jedná. Začínáme se základním souborem více než 50 signatur aplikací, které se kterými se lze často setkat v horizontálním datacentrovém a cloudovém provozu, a jejich počet se bude dále rozrůstat. Patří mezi ně HTTP, SSH, DNS apod.
      • Zabezpečení virtuálních desktopů a vzdálených seancí (RDSH) podle uživatele – Jedním z nejoblíbenějších výchozích bodů mikrosegmentace je zabezpečení virtuálních desktopů. Je přímočaré a chrání jinak zranitelnou oblast – mezi virtuálními desktopy by neměl probíhat žádný provoz. V některých případech je implementace snadná. Ale v mnoha prostředích provozují různí uživatelé desktopové seance na jediném serveru. Ve svém nejnovějším vydání dokáže NSX vytvořit zabezpečení v takovýchto prostředích podle uživatele a podle toho, k čemu by měl mít přístup. Tím se také otevírají možnosti využití v řadě dalších typů prostředí, včetně prostředí Citrix a Microsoft.

Jak si zjednodušit práci…

      • Application Rule Manager – Vedle zavedení intuitivnějších a na aplikace zaměřených pravidel věnuje VMware značnou pozornost lidem a procesům ve vztahu k implementaci NSX mikrosegmentace. Postupně přidáváme nové nástroje, které pomáhají uživatelům s úspěšnou realizací. Například nástroj vRealize Network Insight se běžně užívá k získání celkového přehledu a pomáhá uživatelům a správcům získávat kompletnější obrázek o tom, co se odehrává datovém centru. Od verze NSX pro vSphere 6.3 je k dispozici nástroj Application Rule Manager, který vezme zaznamenané povolené toky v síti a na několik málo kliknutí předá příslušná pravidla přímo distribuovanému firewallu. Od verze NSX pro vSphere 6.4 nástroj Application Rule Manager nejen navrhuje pravidla, ale také bezpečnostní skupiny aplikací, čímž pomáhá vytvářet soudržnější a lépe řiditelnou strategii mikrosegmentace pro celé datové centrum. Jeden náš zákazníků v beta programu použil Application Rule Manager poprvé a zjistil, že zavést mikrosegmentaci pro aplikace trvalo pouhou třetinu času.

Demo: Application Rule Manager

Viz též: Praktické uplatnění nástroje Application Rule Manager – zdravotnictví

      • Zlepšení pro snadnější použití – V novém vydání nalezneme i integraci s grafickým rozhraním HTML5 vSphere. Rozhraní je zjednodušené a představuje významný pokrok pro práci s HTML5, dále je vylepšený kontrolní panel a přihlašování, zcela byl přepracován přechod softwaru NSX na vyšší verzi s pomocí nástroje Upgrade Coordinator a ještě existuje dlouhý seznam dalších provozních vylepšení, které najdete v poznámkách k vydání.

Demo: Upgrade Coordinator

A ještě mnohem více…

Podobně jako stoupají možnosti využití NSX pro zabezpečení, přidali jsem i celý soubor síťových funkcí. Ve zmiňovaných poznámkách k vydání si můžete všimnout nových funkcí pro směrování (překlad NAT64 mezi IPv6 a IPv4, BGP a statické směrování přes GRE), podpory JSON pro vlastní nastavení automatizace, vylepšení pro implementace s více lokalitami pomocí CDO, řady kapacitních vylepšení, zvýšení odolnosti (BFD, ESG failover, L3VPN failover), nástrojů pro kontrolu stavu a mnoha dalších. Nezapomeňte v příštích týdnech opět navštěvovat náš blog, protože si budeme představovat další novinky z NSX pro vSphere 6.4.

Bezpečnostní hrozby se vyvíjí a s nimi se musí vyvíjet i naše obrana. Zvýšení technické úrovně bezpečnostních prvků je však pouze jedním z předpokladů úspěchu. Musí být zároveň snadné na implementaci a správu, aby je bylo možné provozovat ve velkém rozsahu. Nová verze VMware NSX pro vSphere 6.4 z těchto kritérií vychází. Děkujeme našim zákazníkům, kteří s námi spolupracují a poskytují cennou zpětnou vazbu, která se stala základem mnoha inovací v nejnovějším vydání, které je nyní všeobecně dostupné. Těšíme se na další spolupráci s vámi se všemi na dalším rozvoji této platformy.


Category: Mobility, Virtualization

Tags: , ,

Related Articles

Posted on 24/05/2018 by marcoa

Savencia využívá virtualizaci pro zjednodušení IT

IT prostředí producenta mléčných výrobků Savencia je plně virtualizováno na VMware vSphere a centralizováno v pražském sídle firmy. Přesto je ale nutné technicky provozovat jednotlivé výrobní celky v celkem čyřech výrobních závodech rozmístěných napříč Českou republikou a Slovenskem. To vyžaduje nasazení moderní hyperkonvergované infrastruktury, která umožňuje spravovat všechny komponenty jako jednu. Savencia si vybrala virtualizaci […]

4 minute read
Posted on 16/03/2018 by marcoa

Od perimetru k celému podnikovému prostředí: bezpečnost musí držet krok s vývojem byznysu

Není tajemstvím, že podniky a organizace na bezpečnost vynakládají více prostředků než kdy dříve. Přesto jediné, co roste rychleji než výdaje na bezpečnost, jsou ztráty způsobené jejím narušením. Obchodní modely se transformují, lidé a zařízení se stále více propojují a podniky se pohybují v tradičním i digitálním prostředí. Kvůli udržení konkurenceschopnosti jich mnoho musí také […]

5 minute read
Posted on 21/02/2018 by blogsadmin

Dokonale fungující partnerství pomáhá vytvářet mimořádnou zákaznickou zkušenost

By Kirsten Cox, Vice President Marketing, EMEA, VMware Jedním z aktuálně nejvýznamnějších trendů digitální transformace je snaha o zajištění maximálního komfortu pro zákazníků i zaměstnance. Zkušenost zákazníků a interních uživatelů byla i stěžejním tématem na letošní konferenci VMworld Europe. Ukazuje se, že převratné moderní technologie – jako cloud, mobilita a nové přístupy k bezpečnosti – napomáhají takové […]

4 minute read

Comments

No comments yet

Add a comment

Your email address will not be published. Required fields are marked *

*

This site uses cookies to improve the user experience. By using this site you agree to the privacy policy