Když lidé přemýšlejí o virtualizaci sítí, uvažují obvykle o rychlejším provisioningu, networkingu, snadnější správě a dalším efektivnějším využití prostředků. Virtualizace sítí však přináší také další velkou výhodu, která není často příliš zmiňovaná – a tou je vyšší úroveň bezpečnosti.
VMware je jednou ze společností, které se snaží uvádět virtualizaci sítí na trh. Jejím produktem považovaným za vlajkovou loď v této oblasti je NSX. Na nedávné konferenci VMworld padla informace, že tato softwarová platforma má už stovky zákazníků a roční prodeje dosahují výše stamilionů dolarů.
Snad nejvíce překvapující ale je, že až 40 % z těchto instalací nebylo motivovaných agilitou NSX a výhodami správy sítí. Namísto toho byla hlavním faktorem pro implementaci právě bezpečnost.
Schopnost NSX dělat mikrosegmentaci síťového provozu a možnost nasadit všudypřítomné virtuální firewally v datovém centru se organizacím zjevně velmi líbí, prohlásili zástupci společnosti VMware.
Hodnotu agility a schopnosti zrychlit vytváření sítě a snadnější správu sítě získá každý, tvrdí Chris King, viceprezident produktového marketingu obchodní divize Sítě a zabezpečení ve VMwaru. „Problém ale spočívá v tom, že jde o poměrně velké sousto.“
Větší organizace, jako jsou například banky nebo některé úřady, používají NSX především k usnadnění správy sítě. Jiné, zejména menší firmy, nalezly výhodu vyplývající z vyšší úrovně zabezpečení. Ochrana dat se tak může stát důvodem pro prvotní využití NSX, uvádí King.
Ochrana vnitřku
Použití virtuální sítě vytváří celou řadu nových příležitostí pro bezpečnostní postupy, které se zaměřují nikoli na ochranu hranice, ale na zabezpečení provozu uvnitř datového centra.
Jedním ze způsobů, jak to NSX dělá, je mikrosegmentace. Část technologie NSX umožňuje snadnější vytváření nových sítí. Dovoluje také přiřadit sítím zásady a povolit v dané síti jen některé typy přenosů.
Pokud se tedy vyskytne hrozba a objeví se pokus o napadení sítě, nebude to možné, protože atak nebude mít potřebná oprávnění. Protože jsou sítě rozdělené do segmentů, tak i v případě, že se útočníkovi podaří dostat se do sítě, nezíská v rámci datového centra úplnou kontrolu a bude limitovaný jedním segmentem sítě.
Další bezpečnostní výhodou, která je spojená s virtuální sítí, je možnost mít virtuální firewally distribuované po celém datovém centru. V tomto nastavení se fyzické nebo virtuální firewally stále používají jako obrana hranice pro tzv. severojižní provoz – data přicházející do prostředí a odcházející z něj.
Pomocí NSX je možné umístit virtuální firewally kdekoliv v celém datovém centru, takže východozápadní provoz mezi servery se také chrání pomocí firewallů.
NSX také umožňuje využívat zabezpečení specifické pro virtuální stroje, při kterém se pravidla firewallů nastaví nejen pro sítě, ale také pro virtuální stroje. Když se tedy změní umístění virtuálních strojů v síti, přesunou se s nimi i odpovídající bezpečnostní zásady.
Konfigurace virtuálních firewallů pro východozápadní přenosy v datovém centru je v tradičnějších konfiguracích technicky možná, ale v praxi je to v podstatě neproveditelné.
Pokaždé, když dojde k vytvoření nové sítě nebo k umístění nového virtuálního stroje do sítě, musel by se hraniční firewall zaktualizovat o nové zásady. Pokud za den dojde ke stovce přesunů virtuálních strojů, muselo by se změnit velké množství pravidel firewallů.
Řešením je obvykle buď neaktualizování pravidel firewallů, nebo najmutí doslova armády správců firewallů. Druhou variantu si ale může dovolit jen velmi málo organizací, takže většina volí první možnost, popisuje King.
Příště se podíváme, jak tento přístup může vypadat v praxi.
Tento příspěvek vyšel v Security Worldu 4/2014
PŘEDPLATNÉ
ČLÁNKY DO MAILU