Shrnutí: Řešení VMware NSX pro vSphere 6.4, které je ode dneška všeobecně dostupné, zvyšuje úroveň zabezpečení a plánování aplikací a zavádí kontextově řízenou mikrosegmentaci

Ti, kdo pracují v oblasti IT bezpečnosti, musí neustále přemýšlet a diskutovat o kybernetických hrozbách a počítat s nimi jako s nutným zlem. Připomeňme si na chvíli lepší časy a vzpomeňme si na doby, kdy jsme mohli klidně spát a nemuseli neustále myslet na průniky do sítí. Nad hlavami nám nevisela hrozba průniku jako Damoklův meč s potenciálními škodami v řádu milionů dolarů a narušením soukromí uživatelů. Pravda, takové hrozby ve skutečnosti existovaly, avšak nevyly zdaleka tak časté nebo veřejně známé, aby způsobovaly takový poprask jako dnes. Tehdy jsme na okraj sítě naistalovali firewall a modlili se, aby se útočníci nedostali dovnitř.

Ale zpět do současnosti. Dnešní situace je velmi odlišná – k lepšímu i horšímu. Pokusy o průnik jsou sice častější, ale naše obrana je účinnější a – co je nejdůležitější – neustále se vyvíjí (stejně jako hrozby). Jednou z hlavních součástí modernější obrany je mikrosegmentace. Díky mikrosegmentaci se bezpečnostní pravidla dříve uplatňovaná pouze na úrovni perimetru nyní posouvají na úroveň jednotlivých aplikací. Mikrosegmentace rychle získává na oblibě a stala se jednou z technologií hlavního proudu, kdy ji zavedla, zavádí nebo plánuje zavést většina provozovatelů cloudu a datových center. Existuje bezpočet případů úspěšné implementace, ale vyskytují se i určité problémy. Přesunutí zabezpečení na úroveň aplikace s sebou nese řadu zcela nových otázek: Kde začít? Jak se bude postupovat při změnách aplikací? Situaci navíc komplikuje větší distribuovanost aplikací. A, samozřejmě, jak se bude vyvíjet zabezpečení spolu s vývojem hrozeb?

Platforma VMware NSX je průkopníkem mikrosegmentace. Užívá virtualizační vrstvu jako ideální místo k implementaci této kriticky důležité obranné funkce. Je dostatečně blízko aplikaci, aby mohla získávat cenné informace o kontextu a uplatňovat podrobná bezpečnostní pravidla, avšak zároveň dostatečně od aplikaci izolovaná v případě útoku proti aplikaci.

Představujeme kontextově řízenou mikrosegmetaci

Výhody architektury NSX jsou pouze jedním aspektem. Koncept síťové bezpečnosti platformy NSX se neomezuje na IP adresu a číslo portu, ale již roky k vytváření pravidel v kontextu aplikací užívá i další atributy – název virtuálního stroje, verzi OS, regulatorní rámec a další. Tento přístup je nejen bezpečnější, ale také jednodušší na správu a lze snáze automatizovat v porovnání s bezpečnostními pravidly založenými např. na IP adresách, které se často mění. U VMware NSX pro vSphere 6.4 posouvá VMware tento přístup na novou úroveň v podobě kontextově řízené mikrosegmentace, která zlepšuje zabezpečení aplikací tím, že bere v úvahu jejich úplný kontext.

Co je nového?

Většina prvků kontextu aplikací, které NSX využívá, je podporována již déle. Co je tedy nového?

• • Detekce aplikací v síťovém toku a uplatňování pravidel na vrstvě L7 – nástroje NSX jako monitoring koncových bodů nahlíží do aplikace, síťová vrstva by ale měla být také schopná rozpoznat, která aplikace běží ze své vlastní unikátní pozice. NSX pro vSphere 6.4 provádí hloubkovou kontrolu paketů (za hlavičkou TCP/UDP) kvůli identifikaci aplikace v síťovém toku. Mikrosegmentační pravidla z pohledu sítě tak nemusí spoléhat na pětinásobnou informaci, aby zjistila, o jakou aplikaci se jedná. Začínáme se základním souborem více než 50 signatur aplikací, které se kterými se lze často setkat v horizontálním datacentrovém a cloudovém provozu, a jejich počet se bude dále rozrůstat. Patří mezi ně HTTP, SSH, DNS apod.
    • Zabezpečení virtuálních desktopů a vzdálených seancí (RDSH) podle uživatele – Jedním z nejoblíbenějších výchozích bodů mikrosegmentace je zabezpečení virtuálních desktopů. Je přímočaré a chrání jinak zranitelnou oblast – mezi virtuálními desktopy by neměl probíhat žádný provoz. V některých případech je implementace snadná. Ale v mnoha prostředích provozují různí uživatelé desktopové seance na jediném serveru. Ve svém nejnovějším vydání dokáže NSX vytvořit zabezpečení v takovýchto prostředích podle uživatele a podle toho, k čemu by měl mít přístup. Tím se také otevírají možnosti využití v řadě dalších typů prostředí, včetně prostředí Citrix a Microsoft.

Jak si zjednodušit práci…

• • • Application Rule Manager – Vedle zavedení intuitivnějších a na aplikace zaměřených pravidel věnuje VMware značnou pozornost lidem a procesům ve vztahu k implementaci NSX mikrosegmentace. Postupně přidáváme nové nástroje, které pomáhají uživatelům s úspěšnou realizací. Například nástroj vRealize Network Insight se běžně užívá k získání celkového přehledu a pomáhá uživatelům a správcům získávat kompletnější obrázek o tom, co se odehrává datovém centru. Od verze NSX pro vSphere 6.3 je k dispozici nástroj Application Rule Manager, který vezme zaznamenané povolené toky v síti a na několik málo kliknutí předá příslušná pravidla přímo distribuovanému firewallu. Od verze NSX pro vSphere 6.4 nástroj Application Rule Manager nejen navrhuje pravidla, ale také bezpečnostní skupiny aplikací, čímž pomáhá vytvářet soudržnější a lépe řiditelnou strategii mikrosegmentace pro celé datové centrum. Jeden náš zákazníků v beta programu použil Application Rule Manager poprvé a zjistil, že zavést mikrosegmentaci pro aplikace trvalo pouhou třetinu času.

Demo: Application Rule Manager

Viz též: Praktické uplatnění nástroje Application Rule Manager – zdravotnictví

• • • Zlepšení pro snadnější použití – V novém vydání nalezneme i integraci s grafickým rozhraním HTML5 vSphere. Rozhraní je zjednodušené a představuje významný pokrok pro práci s HTML5, dále je vylepšený kontrolní panel a přihlašování, zcela byl přepracován přechod softwaru NSX na vyšší verzi s pomocí nástroje Upgrade Coordinator a ještě existuje dlouhý seznam dalších provozních vylepšení, které najdete v poznámkách k vydání.

Demo: Upgrade Coordinator

A ještě mnohem více…

Podobně jako stoupají možnosti využití NSX pro zabezpečení, přidali jsem i celý soubor síťových funkcí. Ve zmiňovaných poznámkách k vydání si můžete všimnout nových funkcí pro směrování (překlad NAT64 mezi IPv6 a IPv4, BGP a statické směrování přes GRE), podpory JSON pro vlastní nastavení automatizace, vylepšení pro implementace s více lokalitami pomocí CDO, řady kapacitních vylepšení, zvýšení odolnosti (BFD, ESG failover, L3VPN failover), nástrojů pro kontrolu stavu a mnoha dalších. Nezapomeňte v příštích týdnech opět navštěvovat náš blog, protože si budeme představovat další novinky z NSX pro vSphere 6.4.

Bezpečnostní hrozby se vyvíjí a s nimi se musí vyvíjet i naše obrana. Zvýšení technické úrovně bezpečnostních prvků je však pouze jedním z předpokladů úspěchu. Musí být zároveň snadné na implementaci a správu, aby je bylo možné provozovat ve velkém rozsahu. Nová verze VMware NSX pro vSphere 6.4 z těchto kritérií vychází. Děkujeme našim zákazníkům, kteří s námi spolupracují a poskytují cennou zpětnou vazbu, která se stala základem mnoha inovací v nejnovějším vydání, které je nyní všeobecně dostupné. Těšíme se na další spolupráci s vámi se všemi na dalším rozvoji této platformy.

Kategorie: Novinky a hlavní zprávy

Tagy: IT bezpečnost, NSX, vSphere