Unikalne funkcjonalności VMware NSX – Część 1: Natywne szyfrowanie ruchu Ethernet.

Dodane 15/02/2017
OŚWIADCZENIE: ten artykuł jest starszy niż jeden rok i może nie być aktualny w przypadku ostatnich wydarzeń lub nowo dostępnych informacji.

Piotr Jabłoński, Senior Systems Engineer, VMware

Nikt nie chciałby, aby ktoś niepowołany mógł zmienić nasze dane, zrobić ich kopię lub je podsłuchać. Dotyczy to zwłaszcza danych przesyłanych między ośrodkami obliczeniowymi. Nie każdy ma własne światłowody, a nawet jeśli, to i tak nie gwarantuje to uniknięcia wycieku danych. Zdarza się, że przy łączeniu data center ze sobą pozostaje skorzystanie z usługi operatora lub innego zewnętrznego usługodawcy. Co w takim przypadku? Spróbujmy szyfrowania.

Jakie jest stan obecny na rynku? Czy rozwiązania SDN mogą nas jakoś w tym temacie wspomóc?

Domyślnie ruch w warstwie 2 nie jest szyfrowany, niezależnie, czy stosujemy VLAN-y, MPLS, czy VXLAN. Wymusza to użycie dodatkowych szyfratorów. Można wykorzystać MACsec do szyfrowania ruchu w warstwie 2. Wadą rozwiązania jest konieczność posiadania bezpośredniego łącza między ośrodkami lub zastosowanie port-based EoMPLS. Zawęża to mocno zastosowanie takiego szyfrowania poprzez sieci rozległe. Innym sposobem jest przesłanie ramki Ethernet w L2TPv3 i zaszyfrowanie jej jako ruchu IP. Niestety z uwagi na wsparcie protokołów EoIP oraz ich wydajność może się skończyć na zbudowaniu enkapsulacji Ethernet over MPLS over GRE over IPSec lub na zastosowaniu zewnętrznych szyfratorów. Zwiększy to koszt rozwiązania.

Co unikalnego oferuje nam VMware NSX? Wraz z rozwiązaniem otrzymujemy natywne szyfrowanie ruchu Ethernet w warstwie 2 bez konieczności używania zewnętrznych szyfratorów lub dodatkowych tuneli. Można łączyć ze sobą nie tylko sieci VXLAN, ale również VLAN-y z VXLAN oraz innymi sieciami VLAN. Zapewnia to automatycznie bridging między siecią klasyczną działającą w oparciu o VLAN-y, a nową infrastrukturą z segmentami VXLAN.

Przykład połączenia jest pokazany na poniższym rysunku.

Urządzenia fizyczne widzą ruch L2VPN, jako zwykły ruch IP. Z kolei maszyny wirtualne lub maszyny fizyczne podpięte do VLAN-ów widzą odszyfrowany ruch bez zmian nagłówków Ethernet. Nie ma konieczności wymiany posiadanych urządzeń. Co ciekawe węzły brzegowe NSX Edge terminujące połączenia L2VPN mogą jednocześnie pełnić funkcję bramy domyślnej dla ruchu wyjściowego na zewnątrz np. do sieci Internet.

NSX wspiera również klienta SSLVPN z przydziałem pul IP, wyznaczeniem dostępu do zasobów, uwierzytelnieniem oraz monitoringiem. Umożliwia to uzyskanie dostępu bezpośrednio do wyznaczonych zasobów sieciowych z zewnątrz Data Center dla użytkowników usług i aplikacji oraz administratorów sieci. Klienta SSL można wystawić dla użytkowników poprzez stronę www.

W Polsce aktualnie wdrażany jest projekt NSX, gdzie Centra Przetwarzania Danych (CPD) połączone są poprzez sieć strony trzeciej. Dzięki zastosowaniu L2VPN możliwe stało się tanie i elastyczne zabezpieczenie integralności danych. Według mojej wiedzy, żadne inne rozwiązanie SDN na rynku poza NSX nie ma natywnego szyfrowania ruchu Ethernet. Jeżeli to nie jest już prawda lub masz pytania do wspomnianej technologii napisz komentarz pod tym wpisem. Z chęcią odpowiem.

————————————–

Zobacz inne posty Piotra Jabłońskiego >


Kategoria: SDDC

Tagi: , , ,

Podobne artykuły

Dodane 11/09/2017 przez blogsadmin

Transformacja zabezpieczeń: teraz jest najlepszy moment

Bartłomiej Ślawski, Country Manager VMware Polska Gospodarka cyfrowa wciąż ewoluuje, a zespoły informatyków z trudem nadążają za zmieniającymi się wymaganiami. Trudno jest zaspokoić wszystkie potrzeby dotyczące szybkości, dokładności, elastyczności i wydajności, a jednocześnie utrzymać wysoki poziom bezpieczeństwa. Ewolucja centrów przetwarzania danych wiąże się między innymi z następującymi wyzwaniami: Zmieniający się charakter aplikacji, infrastruktury i ataków. […]

2 minuty czytania
Dodane 09/01/2017 przez blogsadmin

Czym VMware vSAN 6.5 zaskoczył nas w 2016 roku?

Przemysław Tomaszewski, Systems Engineer, VMware Na tegorocznej konferencji VMworld Europe 2016 miała miejce zapowiedź najnowszego VMware vSAN. Nowy vSAN to wersja 6.5, a skoro nowa wersja to i nowe jej funkcjonalności. Dzisiaj skupimy się właśnie na tychże nowościach, które według mnie po raz kolejny poszerzają możliwości zastosowania vSAN w produkcyjnych warunkach i powodują, że vSAN […]

4 minuty czytania
Dodane 12/12/2016 przez blogsadmin

Mit bezpieczeństwa w środowisku wirtualnym

Piotr Jabłoński, Senior Systems Engineer, VMware Podczas spotkań z osobami zarządzającymi infrastrukturą Data Center często omawiamy wpływ wirtualizacji na bezpieczeństwo. Spotykam się wówczas z argumentem, że fizyczny firewall, który chroni ruch między VLAN-ami oraz na zewnątrz jest wystarczający do ochrony środowiska Data Center. Potrzebna jest w zasadzie tylko odpowiednia segmentacja przy użyciu VLAN-ów tak, aby […]

2 minuty czytania

Komentarze

Brak komentarzy

Dodaj komentarz

Your email address will not be published. Required fields are marked *

*

© 2018 VMware EMEA Blog
© 2018 VMware EMEA Blog
This site uses cookies to improve the user experience. By using this site you agree to the privacy policy