Verschieben der Virtualisierung von Servern in das Netzwerk: Verteilte Firewalls

Eine der großen Ankündigungen von VMware auf der VMworld betraf den nächsten großen Schritt in der Virtualisierung - NSX (Netzwerk- und Sicherheitsvirtualisierung). NSX bringt das Modell der virtuellen Maschine auf Netzwerkebene. Ich hatte kürzlich die Gelegenheit, Brad Hedlund, Ingenieurarchitekt in der Business Unit VMware Networking and Security (NSBU), zu treffen, der eine Einführung in virtuelle Netzwerke - und insbesondere in verteilte Firewalls - gab.

Software-definiert

„Sobald Sie die virtuelle Maschine erstellt haben, haben Sie das Betriebsmodell des Rechnens im Rechenzentrum grundlegend geändert. Wir glauben, dass wir mit NSX und dem virtuellen Netzwerk dasselbe für das Netzwerk tun können“, sagt Hedlund. „Wir könnten ein gesamtes virtuelles Netzwerk als ganzheitliche Abstraktion behandeln, die auf jeder Hardware bereitgestellt werden kann. Es ist wirklich ein softwaregesteuertes System mit APIs. Ein Teil dieses virtuellen Netzwerks ist natürlich Sicherheit, oder? Anwendungen können also in allen Formen, Größen und Topologien vorliegen. “

Verteilte Firewalls eignen sich gut zum Sichern des Verkehrsflusses von einer Netzwerkebene zur anderen in mehrschichtigen Anwendungen. Abbildung A zeigt eine Übersicht über verteilte Firewalls:

Abbildung A.

Verteilte Firewalls

Von der physischen Firewall zur virtuellen Firewall

„In der Regel verwenden wir in der Vergangenheit das, was wir wissen, um Sicherheit zu bieten, und das ist eine Firewall“, so Hedlund. "Es ist eine Appliance mit Ports, die Sie irgendwo an einen Switch anschließen und das Netzwerk so gestalten, dass der Datenverkehr durch die Firewall gesteuert wird, um von einer Schicht zur nächsten zu gelangen."

Laut Hedlund ist die nächste Iteration der Firewall die virtuelle Firewall. „Sie nehmen die physische Box mit den physischen Ports und verwandeln sie in eine virtuelle Maschine. Es ist im Grunde das Gleiche, eine Firewall, die ich verwalten muss, aber es ist eine virtuelle Maschine. Wir müssen also immer noch den Datenverkehr durch die virtuelle Firewall steuern, und dies ist eine Überlegung zur Netzwerkarchitektur. Herausforderungen, die angegangen werden müssen, sind die Konfiguration und Bereitstellung des Netzwerks zur Verteilung des Datenverkehrs über diese Firewalls. “

VMware zielt darauf ab, den aktuellen Status Quo mit NSX, virtuellen Netzwerken und Sicherheit zu ändern, indem die Art und Weise, wie die Sicherheit für Anwendungen im Rechenzentrum bereitgestellt wird, grundlegend geändert wird, insbesondere wenn Sie versuchen, den Datenverkehr in Anwendungen von einer Schicht zur anderen zu sichern.

„Wir neigen dazu, diesen Ost / West-Verkehr aufzurufen, wenn der Verkehr von Server zu Server fließt, um das Backend der Anwendung zu erfüllen. In diesem Ost / West-Verkehr spielt genau die verteilte Firewall “, sagt Hedlund. „Sie haben auch Nord / Süd-Verkehr im Rechenzentrum. Das kommt im Allgemeinen vom Client zum Front-End der Anwendung und möglicherweise zu einem Webserver. Es gibt definitiv eine Rolle für eine Firewall als Perimeter-Firewall am Rande der Anwendung, die die Außenwelt berührt. Wir sehen immer noch die Rolle einer traditionellen virtuellen oder physischen Firewall, die dort passt. “

Grundsätzlich steuern Sie mit einer verteilten Firewall den Datenverkehr durch eine virtuelle Firewall, um die Ost / West-Sicherheit zu gewährleisten. Verteilte Firewalls implementieren die Firewall-Sicherheit direkt am Hypervisor, an den Sie die virtuellen Maschinen anschließen.

Wenn eine virtuelle Maschine ein Paket an eine andere virtuelle Maschine sendet - bevor es irgendwohin geht oder sogar das Netzwerk berührt - kann sie die Firewall-Sicherheit auf allen Hypervisoren implementieren. Sicherheitsrichtlinien werden zentral verwaltet und an alle Hypervisoren weitergeleitet.

„Sie haben diese Drosselstellen also nicht mehr und müssen sich keine Gedanken mehr über die Größe und Leistung einer bestimmten virtuellen oder physischen Firewall machen, da sich die Firewall und ihre Prozesse direkt am Rand der virtuellen Maschinen befinden Sie haben keine Firewall, kein Gerät, das Sie verwalten und pflegen müssen “, sagt Hedlund.

Dieses Modell macht die Firewall zu einem einfach zu verwaltenden Dienst. Hedlund sagt: „Sie beschreiben im Grunde die Sicherheit, die Sie von einer Schicht zur nächsten wünschen, und Sie haben wirklich kein Gerät, sei es physisch oder virtuell, das Sie im Lebenszyklus der Umgebung konfigurieren und pflegen müssen.“

Vereinfachung der Anwendungsbereitstellung

"Dies wird die Bereitstellung einer Anwendung vereinfachen", erklärt Hedlund.

Derzeit konfigurieren Sie beim Bereitstellen einer Anwendung die Sicherheit als Teil der Anwendungstopologie von einem Satz virtueller Maschinen zu einem anderen Satz virtueller Maschinen, indem Sie eine Firewall in die Mitte dieser beiden virtuellen Maschinen stellen.

Die Verwendung eines Cloud-Verwaltungsportals, das eine virtuelle Firewall bereitstellt, ist aus Sicherheitsgründen weitaus besser als die Implementierung einer virtuellen oder physischen Firewall und die anschließende Steuerung des Datenverkehrs. Es ist fast eine Point-and-Click-Steuerung, wenn Protokolle zwischen Anwendungs- und Webservern festgelegt werden. Eine solche vereinfachte Verwaltung kann kaskadierende Vorteile für ein Projekt- und / oder Betriebsteam haben.

Verteilte Firewalls bieten außerdem eine bessere Leistung und eine vereinfachte Anwendungsarchitektur, was zu Kosteneinsparungen beiträgt.

Verkehrssteuerung

Verteilte Firewalls vereinfachen die Verkehrssteuerung im Vergleich zu herkömmlichen Netzwerkarchitekturen erheblich.

„Wenn Sie die Sicherheitsrichtlinie programmgesteuert am Rand des Hypervisors implementieren, müssen Sie zu diesem Zeitpunkt den Datenverkehr nicht mehr steuern“, so Hedlund. "Sobald das Paket den Hypervisor verlässt und den ersten Netzwerk-Switch erreicht, hat es bereits die Firewall durchlaufen, und wir müssen das Paket nicht irgendwo an eine Firewall verschieben, da wir die Sicherheitsrichtlinie bereits implementiert haben."

Fazit

Kunden können die verteilte Firewall-Technologie nutzen, wenn sie bei Kapazitätsplanungsentscheidungen neue Anwendungen im Voraus bereitstellen. Verteilte Firewalls, die programmgesteuert in der SDN-Architektur bereitgestellt werden, bedeuten, dass die Fehlerwahrscheinlichkeit bei der Bereitstellung einer Richtlinie geringer ist. Sie vereinfachen auch das Verschieben von Anwendungen in Disaster Recovery- und anderen Anwendungsmigrationsszenarien. Wenn Sie virtuelle Maschinen bereitstellen, wird die Konfiguration implizit mit weniger Platz für menschliche Fehler angewendet. Hedlund sieht in Zukunft weniger physische Firewalls, aber sie werden das tun, was sie am besten können, und den Verkehr am Rand und nicht zwischen Netzwerkebenen verarbeiten.

Siehe auch :
  • Fünf Dinge von VMworld, die das Rechenzentrum verändern werden (Rick Vanover)
  • Die Auswirkungen der Virtualisierung jedes einzelnen Rads (Chris Duckett)




© Copyright 2021 | pepebotifarra.com