VMware NSX – революция?

ФОТО: © pixabay.com

Системы обнаружения вторжений (IDS) как класс появились на границе нового тысячелетия. Идея, заложенная в основу нового класса продуктов, базировалась на анализе трафика. Уже к середине первого десятилетия нового века системы IDS эволюционировали в системы предотвращения вторжений (IPS). Решения класса IDS/IPS являются частью более широкого класса продуктов и сервисов кибербезопасности, который, по оценкам J’son&Partners Consulting, в период 2022–2025 годов обещает рост на уровне 11%.

Сейчас для IDS/IPS настало время новых вызовов. Которые, во-первых, являются следствием органического роста трафика в сетях, а во-вторых, вызваны трансформацией сетей на пути к микросервисным архитектурам. В самой VMware добавляют также, что граница гипотетического центра обработки данных стала размытой, а это хотя и несколько противоречит «замкнутой» концепции IDS/IPS, но говорит о том, что продукты этого класса могут выйти за пределы ЦОДа.

VMware NSX

Внутренняя безопасность в VMware NSX — это безопасность, уже встроенная в инфраструктуру, распределенная по IT-среде и учитывающая приложения, которые функционируют в этой сети. VMware Service-defined Firewall, построенный на платформе VMware NSX L2-L7, собственно, и является воплощением этой концепции, которая ориентирована на применение в центрах обработки данных.

Хакеры атаковали госорганы Казахстана

Об этом было сообщено в среду, 28 сентября →

NSX ориентируется на две основные задачи в периметре дата-центра: виртуализация сети и безопасность «восток-запад». Виртуализация сети, в свою очередь, отделяет управление потоками трафика от базовой физической сети. Безопасность «восток-запад» позволяет задавать и применять политики безопасности для ЦОДа с детализацией для каждого потока трафика (с помощью профайлов безопасности, которые размещаются в гипервизоре). Вместе виртуализация сети плюс безопасность как функция обеспечивают гибкость при проектировании сети дата-центра, одновременно обеспечивая и внутреннюю безопасность.

Благодаря своей конструкции NSX органично встраивает безопасность как функцию в инфраструктуру сетевой виртуализации, причем эти самые функции, как понятно из контекста, всегда присутствуют в инфраструктуре и не требуют отдельного развертывания. Сами элементы управления надежно защищены — их нельзя подделать в принципе, поскольку они находятся в гипервизоре.

К особенностям NSX следует отнести и распределенную архитектуру. На практике это означает, что фактически средства обеспечения безопасности расположены на виртуальном сетевом интерфейсе каждой рабочей нагрузки и обеспечивают детальный механизм контроля потоков трафика. То есть нет какого-то централизованного устройства, ограничивающего возможности безопасности, нет необходимости искусственно привязывать сетевой трафик к стеку сетевой безопасности.

Наконец, поскольку NSX интегрирован в инфраструктуру виртуализации, он обеспечивает видимость всех приложений и рабочих нагрузок. И это позволяет отслеживать жизненный цикл рабочих нагрузок и автоматизировать управление политиками безопасности.

Распределенная IDS/IPS NSX

Рабочими лошадками функциональности IDS/IPS являются механизмы, которые обнаруживают шаблоны трафика. Эти механизмы ориентированы на поиск известных паттернов вредоносного трафика. Кроме того, большинство IDS/IPS также реализуют методы безопасности, такие как проверки соответствия протоколов и портов и обнаружение аномального трафика в дополнение к обнаружению такового на основе сигнатур.

Практическая реализация IDS/IPS предлагается либо в виде автономных специализированных устройств, либо в виде части брандмауэра. В первом случае IDS/IPS функционирует на уровне канала. Во втором — проверяет трафик, который ранее был разрешен брандмауэром. В целом большинство традиционных реализаций IDS/IPS, существующих на рынке, будь то автономные или интегрированные с брандмауэром, представляют собой дискретные централизованные устройства. Операторы размещают эти устройства на определенных участках сети таким образом, что трафик, требующий проверки IDS/IPS, проходит через них.

IDS/IPS в NSX: как это работает

Механизмы в распределенной IDS/IPS NSX созданы в Suricata — известном проекте с открытым исходным кодом. NSX основывается на Suricata, совмещая функции IDS/IPS с брандмауэром, что обеспечивает однопроходную схему проверки трафика. Весь трафик сначала проходит через брандмауэр, после чего выполняется проверка IDS/IPS в зависимости от конфигурации. Такое совместное размещение функций IDS/IPS с брандмауэром упрощает/ускоряет определение и применение политик сетевой безопасности.

Конструктивно модули NSX Distributed IDS/IPS подключены к модулю брандмауэра, который находится в ядре гипервизора. Модуль IDS/IPS использует сигнатуры, декодеры протоколов с целью обнаружения аномалий и поиска признаков атак в потоке трафика. Если аномалий не обнаружено, трафик возвращается к брандмауэру для дальнейшей транспортировки к месту назначения. Соответственно, если атака обнаружена, генерируется и регистрируется уведомление.

Преимущества распределенной IDS/IPS NSX

Архитектура распределенной IDS/IPS NSX радикально отличается от традиционной IDS/IPS. Основное отличие в том, что в традиционных IDS/IPS проверка централизована в рамках отдельного виртуального или физического устройства, в то время как распределенная NSX полностью интегрирована в инфраструктуру виртуализации.

К плюсам такой реализации относят: оптимизированный поток трафика; отсутствие единого узкого места — реализация распределенной IDS/IPS NSX использует свободную емкость на серверах, таким образом, нет единого узкого места в пропускной способности; универсальное решение для всего трафика; гибкая работа с сигнатурами — реализация распределенной IDS/IPS NSX позволяет работать с сигнатурами для каждой рабочей нагрузки; автоматизированное управление жизненным циклом политик — традиционные IDS/IPS не знают о жизненном цикле приложений, которые они защищают. Кроме того, реализация распределенной IDS/IPS NSX позволяет автоматически настраивать политики безопасности при создании или выводе из эксплуатации рабочей нагрузки без вмешательства оператора.

Сценарии использования распределенной IDS/IPS NSX

Соответствовать регуляторным требованиям. В некоторых странах чувствительные наборы данных требуют соответствия отраслевым подзаконным актам (например, в здравоохранении, финансах). Применение распределенной IDS/IPS NSX позволяет гибко настроить политики в рамках одного дата-центра для разных наборов данных. Используя программный подход, NSX выполняет тяжелую работу, распространяя политики безопасности на все соответствующие рабочие нагрузки, избавляя от необходимости покупать и развертывать отдельные устройства или брандмауэры.

Багдат Мусин рассказал о сотрудничестве с Microsoft

Глава МЦРИАП – о том, чем конкретно могут помочь зарубежные компании Казахс... →

Виртуальные зоны. Некоторым организациям необходимо установить прямые сетевые соединения с партнерскими организациями. Другие организации рассматривают бизнес-подразделения и дочерние компании как арендаторов центрального IT-отдела. Сетевые операторы и операторы безопасности могут поддерживать эти модели через создание виртуальной зоны (используя брандмауэр и IDS/IPS для реализации виртуальной зоны).

Замена дискретных устройств IDS/IPS. Операторы, которые уже решили виртуализировать сети своих центров обработки данных, теперь могут заменить дискретные централизованные устройства IDS/IPS на распределенную реализацию NSX. При этом и сетевые операторы, и операторы безопасности могут управлять как своим брандмауэром, так и функциональностью IDS/IPS из единой консоли управления (VMware NSX Manager).

NSX Intelligence и распределенная IDS/IPS NSX. NSX Intelligence — это механизм распределенного сбора данных и анализа безопасности, доступный через NSX Manager. NSX Intelligence собирает метаданные от гипервизоров в среде NSX и сохраняет информацию для последующего использования, разрабатывает подробные карты зависимостей приложений с детализацией. Это позволяет визуализировать рабочие нагрузки и потоки в сети, позволяя операторам получить общее представление о среде. Кроме того, NSX Intelligence автоматически рекомендует политики безопасности брандмауэра на основе наблюдаемых шаблонов трафика.