Rozważania wstępne
Środowisko wirtualne aktualnych Centrów Przetwarzania Danych podlega ciągłym zmianom. Coraz szersze wykorzystywanie modelu Centra Danych Definiowanego Programowo (SDDC- Software-Defined Data Center), pojawienie się środowisk w chmurach publicznych, urządzenia mobilne korzystające z zasobów (aplikacji) firmowego Centrum Przetwarzania Danych, implementacja nowych modelów wdrożenia i architektury środowiska Data Center jak mikroserwisy oraz konteneryzacja pozwoliły na pokazanie w sposób jednoznaczny i utrwalenie słusznego kierunku rozwoju wirtualnego Data Center. Jest nim zapewnienie obsługi usług, tak aby mogły działać w sposób jak najbardziej efektywny oraz gwarantujący wysoką elastyczność ich działania oraz wdrażania. Co to oznacza ? Centrum Przetwarzania Danych musi być ukierunkowane na aplikacje. Musi gwarantować możliwie najszybsze (błyskawiczne) ich wdrożenie (włączając to uruchomienie kompletnego środowiska wirtualnego pod właśnie aplikację). Ten paradygmat zrzuca na dalszy plan kwestie sieciowe oraz bezpieczeństwa tego środowiska, które realizowane były (i są) w dotychczasowym modelu. Wymienione rzeczy muszą być nastawione przede wszystkim na zapewnienie możliwości wdrożenia, działania pożądanych aplikacji oraz ich ochrony.
Mikrosegmentacja z VMware NSX. Gdzie ? Wszędzie !
Z uwagi na stopień złożoności samego środowiska wirtualnego Data Center oraz działających tam różnych aplikacji, a także infrastruktury wirtualnej zbudowanej pod te aplikacje konieczne jest wdrożenie podejścia do każdego z tych elementów na poziomie możliwie najbardziej granularnym. Rozwiązanie tego problemu jest mikrosegmentacja wprowadzana przez VMware NSX. W skrócie: mikrosegmentacja realizowana przez system VMware NSX działa na wszystkich komponentach Centrum Przetwarzania Danych tzn. począwszy od rdzenia- tzn. Hypervisora przez infrastrukturę wirtualną, którą wykorzystują uruchomione systemy, aplikacje, a skończywszy na chmurowej części Data Center. Przedstawia to poniższy zrzut ekranu:
Mikrosementacja umożliwia znaczącą poprawę elastyczności w operowaniu środowiskiem wirtualnym i podniesieniu efektywności, szybkości realizowanych działań.
Bezpieczeństwo we współczesnym Centrum Przetwarzania Danych
Dotychczasowy model budowy bezpieczeństwa sieciowego w Data Center opierał się na zbudowaniu swoistego muru wokół całej infrastruktury wirtualnej – był to niejako swoisty firewall brzegowy. Ten model niestety nie sprawdzał co się dzieje wewnątrz wirtualnego Centrum Przetwarzania Danych. Współcześnie model ten jest bardzo podatny na nowe typy ataków takie jak ataki wektorowe, które są inicjowane wewnątrz środowiska wirtualnego. Ataki tego typu analizują wspomniany mur, uczą się o wewnętrznej infrastrukturze wirtualnej serwerowni, a następnie atakują całe wirtualne Data Center.
Rozwiązaniem wydaje się zbudowanie innego modelu bezpieczeństwa. Model ten powinien badać ruch sieciowy wewnątrz środowiska wirtualnego i zezwalać tylko na ten niezbędny dla funkcjonowania aplikacji. Model, o którym mowa to model zerowego zaufania Zero Trust.
Utylizacja tradycyjnego firewall’a w celu częściowo pokrycia rozwiązania wymaga wyciągnięcia ruchu z całego wirtualnego Data Center i przekierowania go do centralnego, fizycznego urządzenia realizującego funkcję zapory ogniowej. Maszyny wirtualne muszą być rozmieszczone w osobnych VLAN-ach. Operacja ta to nic innego jak hair-pinning. Rozwiązanie jest nieoptymalne: maszyny wirtualne nie mogą się bezpośrednio ze sobą komunikować, ruch między nimi musi najpierw wyjść z serwera fizycznego, przejść przez zaporę ogniową w celu sprawdzenia, czy jest dozwolony, a następnie wrócić. W przypadku większych środowisk wirtualnych mamy ogromną ilość ruchu East-West opuszczającą Data Center. Jest możliwość zmiany tego stanu rzeczy.
Firewall dystrybucyjny – działający w warstwie oprogramowania (dokładnie w kernelu wirtualizatora) umożliwia dokonanie przebudowy dotychczasowego modelu bezpieczeństwa Data Center. Wykorzystuje on model Zero Trust. Model ten w skrócie podział architektury na małe, odizolowane od siebie strefy, politykę ograniczonych uprawnień oraz zakłada przede wszystkim realną możliwość naruszania bezpieczeństwa oraz weryfikuje każde żądanie jakby pochodziło z zasobu niezaufanego.
Dzięki temu możliwe jest ustalanie polityk bezpieczeństwa nie tylko w oparciu o adresy IP, MAC, numery portów i typ komunikacji, ale także dla poszczególnych maszyn wirtualnych w oparciu o ich typ (OS), nazwę, przynależność do domeny, segmentu sieci itd.
Software’owy firewall działający w warstwie wirtualizatora (hypervisora) umożliwia także optymalizację ruchu sieciowego między poszczególnymi maszynami wirtualnymi (ruch east- west). Optymalizacja polega na drastycznym zmniejszeniu ruchu wychodzącego do sieciowej infrastruktury fizycznej (firewall’a fizycznego) z maszyny wirtualnej, jeśli ta chce nawiązać komunikację z inną. Reguły sieciowe dzięki przeniesieniu do warstwy software’owej umożliwiają ograniczenie ruchu do danego hosta (np. ESXI w przypadku VMware). Obrazują to poniższe ekrany:
Definicja mikro segmentacji VMware NSX:
Mikrosegmentacja to w zasadzie połączenie poniższych możliwości, które kreują korzyści wymienione we wcześniejszej sekcji:
- Firewall dystrybucyjny dla segmentacji nieuwzględniającej aktualnej topologii środowiska – umożliwia redukcję możliwości ataków wewnątrz wirtualnego Data Center poprzez jego wykorzystanie oraz komponentów zwanych Application Layer Gateway (ALG, komponent oprogramowania zarządzający określonymi protokołami aplikacji. Działa jako pośrednik w komunikacji między aplikacją, a siecią zewnętrzną ukrywając aplikację, dzięki czemu nie jest możliwe przeprowadzenie ataku sieciowego bezpośrednio na tę aplikację).To wszystko jest realizowane z wykorzystaniem granularności na poziomie indywidualnych maszyn wirtualnych (polityki per maszyna wirtualna). Działanie wymienionych mechanizmów jest całkowicie niezależne od topologii, architektury czy też konfiguracji sieci fizycznej;
- Scentralizowany model kontroli polityk na dystrybuowanych (rozciągniętych pomiędzy hostami np. ESXI) usługami- umożliwia w sposób programowy i zautomatyzowany tworzenie oraz aplikowanie polityk bezpieczeństwa poprzez API, bądź poprzez integrację z dedykowaną centralną platformą zarządzającą CMP (Cloud Management Platform- VMware vRealize);
- Kontrola, której poziomem granularności są moduły infrastruktury wirtualnej poprzez imlementację polityk obiektów wysokopoziomowych – umożliwia wykorzystanie grup bezpieczeństwa (security groups) dla polityk aplikacji operujących właśnie na obiektach, którymi mogą być typ OS-u maszyny wirtualnej, jej nazwa, przynależność do grupy AD, przypisanie do logicznego switch’a, port grupa itp. Każda aplikacja ma swój indywidualny obwód bezpieczeństwa (niezależną strefę bezpieczeństwa) bez konieczności polegania na VLAN-ach;
- Izolacja poszczególnych sieci oraz segmentacja na poziomie sieci nakładkowych (overlay) – sieci logiczne (nakładkowe – segmenty) realizujące między innymi oddzielenie od siebie ruchu poszczególnych bytów wirtualnych (na przykład grup maszyn wirtualnych) mogą zostać bezproblemowo rozciągnięte na różne serwery rack’owe (hosty ESXI dla przykład) także znajdujące się w różnych Centrach Przetwarzania Danych. Nie ma znaczenia tutaj topologia, architektura, konfiguracja sieci fizycznej- jest ona tylko wykorzystywana do transportu danych w ramach sieci logicznych. Sieci logiczne (nakładkowe) to VXLAN-y, które tunelują ruch po sieci fizycznej. Dzięki temu możliwe jest wdrożenie centralnie zarządzanych polityk w ramach całego Data Center (w tym także lokalizacji rozproszonych);