Надежная защита от атак «нулевого дня» с VMware NSX

July 13, 2017
Надежная защита от атак «нулевого дня» с VMware NSX

В свете недавних кибератак шифровальщиков WannaCry и Petya на коммерческие и государственные организации вопрос обеспечения безопасности сетей стал особенно актуальным. Несмотря на то, что в большинстве компаний применялись специализированные средства антивирусной защиты, они оказались бессильны против атак «нулевого дня». В этом посте мы расскажем о том, как концепция «нулевого доверия» и решение VMware NSX помогут обеспечить надежную защиту ваших бизнес-систем.

Один из самых передовых методов повышения уровня безопасности в организациях и уменьшения вероятности успеха подобных атак — это использование модели минимальных полномочий («нулевого доверия»). Она подразумевает интеграцию функций безопасности внутрь сетей центра обработки данных (ЦОД). Именно такой подход позволяет реализовать платформа VMware NSX.

Суть концепции «нулевого доверия» состоит в том, чтобы разрешать только необходимые коммуникации между системами, предполагая, что весь сетевой трафик является недоверенным. Такой подход значительно сокращает поверхность атаки и усложняет её горизонтальное распространение в случае заражения. Даже если один из компьютеров будет заражен, остальные системы в рамках сетевого сегмента будут в безопасности.

NSX — лучший способ защиты от угроз «нулевого дня»

В качестве прикладного инструмента реализации концепции Zero Trust VMware предлагает использовать решение VMware NSX. Каждая виртуальная машина может быть заключена в свой собственный контур безопасности, независимо от того, к какой виртуальной или физической сети она подключена. За счет распределенного межсетевого экрана NSX в виртуальном ЦОДе реализуется микросегментация сети. Это гибкая и гранулярная модель, которая следует принципам Zero Trust и обеспечивает надежную защиту для каждой виртуальной машины (ВМ) в ЦОДе.

NSX позволяет существенно повысить безопасность виртуальной платформы за счет комбинации двух подходов: изоляции и сегментации. Изоляция достигается благодаря использованию логических сетей, не привязанных к физической сетевой топологии. Создавая изолированные сетевые сегменты по требованию для новых приложений, можно повысить уровень контроля и затруднить горизонтальное распространение угроз внутри ЦОДа. Сегментация на уровне гипервизора позволяет создавать логические сегменты безопасности и помещать в них виртуальные машины вне зависимости от сетевых настроек или местоположения в ЦОДе.

VMware NSX интегрируется с партнерскими решениями, что позволяет внутри сети реализовать дополнительные функции защиты, например: IPS, IDS, DLP, безагентский антивирус, решения по управлению политиками безопасности.

Целевая архитектура

В качестве целевой архитектуры предлагается реализовать модель микросегментации на базе виртуального распределенного межсетевого экрана. Для разграничения доступа между информационными системами не потребуется менять сетевую топологию и схему сетевой адресации, поскольку распределенный межсетевой экран применяет прозрачную для гостевой операционной системы фильтрацию на уровне каждой ВМ.

Для определения принадлежности к той или иной информационной системе могут применяться различные критерии группировки:

  • Название ВМ или имя сервера;
  • Операционная система;
  • Кластер, ресурсная группа или виртуальный ЦОД;
  • Виртуальные сети;
  • Метки безопасности и др.

Наиболее гибким и в то же время надежным методом является использование меток безопасности для ВМ. При внедрении модели нулевого доверия каждой ВМ должна быть присвоена одна или несколько меток NSX, которые характеризуют эту ВМ как относящуюся к определенной группе защиты в рамках инфраструктуры.

На основании меток безопасности относящиеся к одной логической группе ВМ объединяются в группу безопасности NSX (NSX Security Group). К каждой группе безопасности применяется политика безопасности NSX (NSX Security Policy), которая определяет правила сетевого взаимодействия как внутри группы, так и с внешними системами и другими группами.

Для описания необходимых портов и протоколов в NSX применяются сервисные группы (NSX Service Groups), которые представляют собой группу сетевых сервисов (портов и протоколов), необходимых для работы приложения.

Для определения необходимых для работы приложения сетевых сервисов и направления коммуникаций между различными группами безопасности может быть использована система мониторинга VMware vRealize Network Insight (vRNI). Система vRNI позволяет собрать и проанализировать данные о сетевых потоках внутри виртуальной инфраструктуры, а также между виртуальными сетями и физической инфраструктурой. Для сбора необходимой информации применяется протокол IPFIX. После сбора и анализа данных vRNI позволяет получить список рекомендуемых правил для распределенного межсетевого экрана NSX, который можно использовать для настройки систем безопасности ЦОД в режиме нулевого доверия.

Схема общей архитектуры защиты ЦОД с использованием микро-сегментации решения приведена на следующем рисунке.

Продукт VMware NSX впервые был представлен в 2013 г. и насчитывает более 2600 заказчиков по всему миру. Более 900 заказчиков используют решение в промышленной среде.

Подписывайтесь на @VMware_rus в Twitter и на нашу страницу в Facebook, чтобы всегда быть в курсе анонсов и новостей.


 
Related Posts
 

Мы рады представить вам VMware vCloud Director 9.0 — второе …

Read More

Крис Вульф (Chris Wolf), директор по технологиям по всем регионам …

Read More

Мы рады сообщить о том, что с 28 августа 2017 …

Read More

Крис Вольф (Chris Wolf), CTO VMware, регулярно рассказывает заказчикам и …

Read More

 
 
Blog Archive