Mit bezpieczeństwa w środowisku wirtualnym

Dodane 12/12/2016
OŚWIADCZENIE: ten artykuł jest starszy niż jeden rok i może nie być aktualny w przypadku ostatnich wydarzeń lub nowo dostępnych informacji.

Piotr Jabłoński, Senior Systems Engineer, VMware

Podczas spotkań z osobami zarządzającymi infrastrukturą Data Center często omawiamy wpływ wirtualizacji na bezpieczeństwo. Spotykam się wówczas z argumentem, że fizyczny firewall, który chroni ruch między VLAN-ami oraz na zewnątrz jest wystarczający do ochrony środowiska Data Center. Potrzebna jest w zasadzie tylko odpowiednia segmentacja przy użyciu VLAN-ów tak, aby każda aplikacja lub grupa aplikacji znalazła się w osobnym VLAN-ie.

Czy wirtualizacja zmienia coś w tym podejściu? Spójrzmy na poniższy rysunek. Są dwa VLAN-y: czerwony i żółty. Ruch z i do czerwonego VLAN-u jest blokowany całkowicie. Polityka firewalla dla ruchu z i do zółtego VLAN-u jest mniej restrykcyjna. Na zewnątrz udostępniony jest port www oraz z wnętrza sieci porty ssh, rdp, dns.

pjablonski03_1

Co może się teraz wydarzyć? Ktoś intencjonalnie lub nieświadomie może zmigrować maszynę wirtualną z czerwonego VLAN-u do żółtego. Spowoduje to pominięcie reguł bezpieczeństwa określonych dla VLAN-u czerwonego i zastosowanie mniej restrykcyjnych reguł dla VLAN-u żółtego. Wystarczy nadać czerwonej maszynie wirtualnej odpowiednie adresy IP z żółtej podsieci.

Firewall fizyczny, jak i wirtualny nawet najnowszej generacji, ale bez świadomości środowiska wirtualnego nie jest w stanie skutecznie przeciwdziałać takim sytuacjom. Można co prawda wskazać na firewallu konkretne adresy IP serwisów, bez podawania podsieci, jednak i tutaj jest możliwość obejścia reguł bezpieczeństwa. W świecie wirtualnym bardzo łatwo i bez kontroli działów sieciowego i bezpieczeństwa można zmienić adresy IP maszyn wirtualnych.

pjablonski03_2

Widać to na powyższym przykładzie, gdzie jednej z maszyn wirtualnych został zmieniony adres IP na ten sam, który posiada brama domyślna. Możliwe jest wówczas przekierowanie ruchu z innych maszyn w tym VLAN-ie do maszyny wirtualnej podającej się za bramę domyślną i zczytywanie przechodzącego ruchu.

Jak można zminimalizować ryzyko bezpieczeństwa? Rozwiązaniem jest firewall w VMware NSX, który pracuje w świecie wirtualnym, najbliżej jak się da maszyny wirtualnej, jest świadomy kontekstu VM. Ostatnia cecha sprawia, że reguły bezpieczeństwa można tworzyć na bazie atrybutów VM takich jak znaczniki maszyn, ich cech, jak system operacyjny, czy przynależności użytkownika do grupy Active Directory.

pjablonski03_3

Reguły bezpieczeństwa podążają w tym modelu za maszyną wirtualną. Nie ma więc możliwości pominięcia określonych reguł wraz ze zmianą VLAN-u. Ponadto funkcjonalność Spoofguard chroni przed podszywaniem się pod inne maszyny wirtualne, urządzenia lub bramy domyślne.

Warto zwrócić uwagę na świat wirtualny, który wnosi wiele zalet technicznych i biznesowych, ale również powoduje, że trzeba dostosować do niego swoje sposoby zabezpieczeń.

Spróbuj VMware NSX na labs.hol.vmware.com

—————————————–

Przeczytaj więcej postów Piotra Jabłońskiego >


Kategoria: SDDC

Tagi: , , ,

Podobne artykuły

Dodane 10/10/2017 przez blogsadmin

Dlaczego vSAN 6.6 jest najkorzystniejszą ofertą dla partnerów?

Mikołaj Wiśniak, Manager Systems Engineering VMware W kwietniu wprowadziliśmy na rynek najnowszą wersję rozwiązania vSAN ― vSAN 6.6. To jedna z najnowocześniejszych technologii używanych w infrastrukturze IT. Już ponad 8000 klientów zdecydowało się na modernizację swoich centrów przetwarzania danych poprzez wirtualizację pamięci masowej oraz wykorzystanie rozwiązania vSAN do obsługi najbardziej krytycznych aplikacji. W centrach tych, zastosowano […]

2 minuty czytania
Dodane 19/07/2017 przez blogsadmin

VMware Horizon Cloud na platformie Microsoft Azure

Roch Norwa, Lead Systems Engineer, VMware Jakie są główne cechy współczesnego biznesu? Mobilność, szybkość działania, rozproszenie oddziałów i pracowników. W takich środowiskach działy IT muszą zapewnić przyjazne dla użytkownika interfejsy, umożliwiające szybki i łatwy dostęp do danych oraz aplikacji firmowych, bez względu na lokalizację pracowników, dbając jednocześnie o bezpieczeństwo. Jakie jest zatem najważniejsze zadanie stojące […]

2 minuty czytania
Dodane 09/05/2017 przez blogsadmin

Jak zmodernizować infrastrukturę przy użyciu wirtualnego storage’u?

Przemysław Tomaszewski, Systems Engineer, VMware Zarządy firm często wywierają presję na działy IT, chcąc, by stały się one motorem napędowym cyfrowej transformacji przedsiębiorstw. W rzeczywistości swoją chęć wprowadzania zmian informatycy muszą konfrontować z koniecznością zmagania się z szarą codziennością i wyzwaniami technicznymi, z którymi mają do czynienia na bieżąco. By pozbyć się podobnych dylematów, przedsiębiorstwa […]

4 minuty czytania

Komentarze

Brak komentarzy

Dodaj komentarz

Your email address will not be published. Required fields are marked *

*

© 2018 VMware EMEA Blog
© 2018 VMware EMEA Blog
This site uses cookies to improve the user experience. By using this site you agree to the privacy policy