Gastblog: Integratie tussen VMware AirWatch en NSX, hoe werkt dat?

June 23, 2016
Gastblog: Integratie tussen VMware AirWatch en NSX, hoe werkt dat?

Onderstaand een gastblog van Sven Huisman van PQR:

De laatste jaren is het risico dat een bedrijf slachtoffer wordt van een cyberaanval of diefstal enorm gegroeid. De vraag is niet of, maar wanneer uw bedrijf ten prooi valt aan een kwaadwillende. Software Defined Networking, zoals VMware NSX, is één van de manieren om uw netwerk te beveiligen tegen dergelijke aanvallen. Met VMware NSX kunt u uw netwerk beter beveiligen dankzij microsegmentatie. Vanuit de IT-organisatie bekeken, wordt uw omgeving een stuk veiliger, want niet alleen van buitenaf wordt het netwerkverkeer gecontroleerd, ook het verkeer tussen de virtuele machines wordt gecontroleerd met behulp van virtuele firewalls. Op basis van regels kunnen virtuele machines rechten krijgen om bepaald verkeer wel of niet te versturen, dan wel te ontvangen. Maar hoe zit het met de gebruikers en hun (mobiele) apparaten? In dit artikel leg ik uit hoe VMware Airwatch integreert met VMware NSX. Op basis van NSX beveiligingsregels kan mobiele gebruikers toegang worden verleend tot de gegevens en diensten binnen het datacenter.

Het dilemma
Het beveiligen van uw netwerk wordt een steeds grotere uitdaging. Aan de ene kant zijn er steeds meer verschillende manieren waarop cybercriminelen proberen in te breken in uw netwerk en aan de andere kant verwachten uw gebruikers dat ze overal vandaan en vanaf elk (mobiel) apparaat toegang kunnen krijgen tot de zakelijke applicaties en data. Hoe kunt u er nu voor zorgen dat de IT-infrastructuur, uw datacenter, zo goed mogelijk is beveiligd en aan de andere kant u uw gebruikers de flexibiliteit en de vrijheid kunt bieden om overal en altijd te kunnen werken?

Enterprise Mobility Management
Mobiele apparaten worden tegenwoordig niet alleen maar gebruikt voor privédoeleinden of alleen voor zakelijke doeleinden. Een mobiel apparaat, zoals een smartphone of tablet, heeft in een zakelijke omgeving steeds vaker een mix van persoonlijke en zakelijke applicaties. Met een Enterprise Mobility Management (EMM)-oplossing, zoals VMware Airwatch, bent u in staat om het apparaat zelf goed te beveiligen. Persoonlijke en zakelijke applicaties en data worden op het apparaat zelf gescheiden. De IT-organisatie is in staat om het zakelijke deel van het mobiele apparaat te beheren en beveiligen en de gebruiker kan daarnaast nog steeds gebruik maken van zijn persoonlijke applicaties. Het beveiligen van het apparaat met behulp van EMM is niet voldoende.

1

De zakelijke applicaties hebben in veel gevallen toegang nodig tot gegevens en diensten (services) in het datacenter. Een veel gebruikte oplossing is het mobiele apparaat via een VPN-tunnel een verbinding te laten maken met het datacenter. Naast het feit dat het opzetten van een dergelijke VPN-verbinding voor een gebruiker lastig is, wordt er ook een onveilige situatie gecreëerd. De gebruiker moet zelf de configuratie van de VPN instellen en de verbinding opzetten (AirWatch kan hierbij overigens helpen) en het hele apparaat heeft toegang tot het datacenter en niet alleen de zakelijke applicaties.

2

Met VMware AirWatch kunt u ervoor zorgen dat er per applicatie een VPN-tunnel wordt opgezet. Dit wordt ook wel “Per-app VPN” of “micro-VPN” genoemd.
In plaats van dat het hele apparaat toegang krijgt tot het datacenter via een “per-device” VPN, wordt er per applicatie een VPN-tunnel opgezet. Alleen door IT beheerde applicaties krijgen hierdoor toegang tot het datacenter. Het probleem hierbij is echter dat wanneer een kwaadwillende gebruiker toegang heeft tot één van de zakelijke applicaties met een “Per-app” VPN-tunnel naar het datacenter, diegene toegang heeft tot het gehele datacenter. Met andere woorden, eenmaal binnen kan een kwaadwillende (gebruiker of virus) overal bij.

3

Dit probleem wordt aangepakt met de integratie tussen VMware Airwatch en NSX. Per applicatie wordt er niet alleen een VPN-tunnel opgezet, maar wordt er toegang verleend tot alleen de data en services die toegestaan worden door middel van beveiligingsregels (security policies). Op basis van applicaties, gebruikers en apparaten wordt er toegang verleend tot specifieke gegevens en services binnen het datacenter. Dit noemt men per-app VPN met Micro-segmentatie.

 

4

Hoe werkt het?
De configuratie van NSX wordt geregeld met de NSX Service Composer. Met de Service Composer worden “Security Groups” en “Security Policies” gedefinieerd. Een Security Group kan statisch zijn (bijvoorbeeld bepaalde virtuele machines) of dynamisch waarbij het lidmaatschap afhangt van:
• Welke vCenter container, zoals clusters, port groups, of datacenters.
• Security tags, bijvoorbeeld wanneer er een virus gevonden is, krijgt de virtuele machine de security tag “AntiVirus.virusFound”.
• Active Directory-groepen.
• Patronen, bijvoorbeeld virtuele machines waarvan de naam begint met VM1.

Een Security Policy bestaat uit één of meer:
• Firewall regels: welk verkeer is toegestaan tussen welke componenten
• Endpoint services: Data Security of service, zoals een anti-virus oplossing.
• Network introspection services: Een service om het netwerkverkeer te monitoren, zoals IPS.

Een Security Policy wordt gekoppeld aan een Security Group. Hierdoor ontstaat er een dynamische, flexibele en veilige netwerkinfrastructuur. Afhankelijk van de Security Group waarin een virtuele machine of gebruiker zich bevindt, wordt er toegang verleend (of juist niet) tot bepaalde services binnen het datacenter.

Om ervoor te zorgen dat Airwatch kan integreren met NSX dient er een aantal zaken geregeld te zijn. Binnen de beheerconsole van Airwatch moet het adres van de NSX manager worden opgegeven:

5

Vervolgens kunnen de Security Groups vanuit NSX gesynchroniseerd worden naar AirWatch. Door aan de beschrijving van een Security Group “@Airwatch” toe te voegen, worden alleen deze Security Groups gesynchroniseerd met AirWatch en niet allemaal.

6

Vervolgens is het een eenvoudige stap om per applicatie een “per-App” VPN-profiel op basis van de NSX security groepen in te stellen:

7

Op het moment dat de gebruiker deze applicatie start, kan de gebruiker via deze applicatie alleen bij de data en services in het datacenter die gedefinieerd zijn binnen de NSX Security Policy.

Doelgroep
Voor wie is dit interessant? Voor elke organisatie die de medewerkers toegang wil verlenen tot toepassingen, services en data in het datacenter vanaf mobiele apparaten. Naast NSX (Advanced of Enterprise) heeft u VMware Airwatch nodig (Blue of Yellow suite). U kunt ook kiezen voor VMware Workspace ONE. VMware Airwatch is onderdeel van Workspace ONE. U heeft dan Advanced of Enterprise nodig.

Met de integratie tussen AirWatch en NSX wordt een veilige toegang tot data en applicaties binnen het datacenter vanaf mobiele apparaten geleverd. Hierdoor wordt de kans op datalekken of een aanval van kwaadwillende gebruikers geminimaliseerd.

 

—–

8

Sven Huisman (twitter @SvenH) is sinds begin 2010 werkzaam bij PQR als senior consultant en heeft in zijn functie een sterke focus op het End User Computing portfolio van VMware. Sven is van 2009 tot en met 2016 benoemd tot VMware vExpert en in 2016 is hij geselecteerd als VMware EUC Champion, een selecte groep experts die in contact staat met VMware om de EUC-producten te verbeteren.


 
Related Posts
 

Onderstaand een gastblog van Sven Huisman van PQR:

Wanneer je in …

Read More

Onderstaand een gastblog van Rob Beekmans van PQR:

“De wet tegen …

Read More

Hieronder een gastblog van Robert Verdam, Virtualization Consultant bij bConn ICT en blogger …

Read More

 
 
Blog Archive