در قسمت اول مقاله در خصوص Micro-Segmentation و نقش آن در امنیت شبکه و پیادهسازی مدل Zero-Trust در آن صحبت کردیم. همچنین چالشهایی که در این مسیر بر سر راه مدیران IT قرار دارد را مورد بررسی قرار داده و در خصوص راهکار NSX Intelligence و توانمندی آن در کم کردن این چالشها صحبت شد. در این قسمت و در ادامه به دستورالعملهای گام به گام شیوه فعالسازی Micro-Segmentation از سوی رهکار NSX Intelligence اختصاص یافته است.
فعالسازی Micro-Segmentation با راهکار NSX-Intelligence
گام اول: ترسیم برنامههای کاربردی و جریانها
راهکار NSX Intelligence پس از فعالسازی، شروع به جمعآوری اطلاعات بارکاری و شبکه میکند. دادههای جمعآوری شده شامل جزئیات ماشینهای مجازی فعال و جریان ترافیک مرتبط آنهاست. همچنین راهکار NSX Intelligence از اطلاعات دریافتی اضافی برای تعیین گروهبندی منطقی ماشینهای مجازی استفاده میکند.
نتیجه آن یک apps & flows Map است که بطور خودکار طراحی شده است. این Map شامل یک دید دقیق و سلسله مراتبی از تمامی بارهای کاری قابل دسترس و جریان اتصال آنهاست. (شکل5).
سپس مدیران میتوانند یک دید جزئیتر از apps & flows Map را جستوجو و پیدا کنند. (شکل6). راهکار NSX Intelligence جزئیات زیادی درباره گروهها، جنبههای ماشین مجازی، جریانهای فعال و پالیسیهای امنیتی مرتبط را فراهم میکند.
داشتن یک «Navigate Map» مناسب برای تمامی شبکه، وابستگی به حدس و گمانها را از بین میبرد. اطلاعات آمده درapps & flows Map ممکن است برای تعیین پالیسیهای امنیتی مناسب Micro-Segmentation استفاده شوند. این اطلاعات را با فرآیند خستهکننده جستجو در میان گزارشات منسوخ و فایلهای Log خراب مقایسه کنید.
گام دوم: اجرای Micro-Segmentation هوشمند
زمانی که apps & flows Map به مدیران ارائه شد، آنها میتوانند از آن برای ایجاد پالیسیهای Micro-Segmentation استفاده کنند. با توجه به یک تصویر واضح و بروزرسانی شده از تمامی برنامههای کاربردی، پورتها و پروتکلها، پالیسیهای مناسب امنیتی میتوانند تعریف شوند.
جهت مشاوره رایگان و یا راه اندازی زیرساخت مجازی سازی دیتاسنتر با کارشناسان شرکت APK تماس بگیرید. |
داشتن یک Map از توپولوژی کنونی گامی مهم در رسیدگی به چالش شناسایی پالیسی است. با این حال راهکار NSX Intelligence میتواند گام بلندتری بردارد: یک موتور راهنمای درونی با استفاده از الگوریتمهای مدیریتنشده یادگیری ماشین اطلاعات جمعآوری شده را پردازش میکند و سپس بطور خودکار مجموعهای از پالیسیهای Micro-Segmentation را ایجاد میکند. پیشنهادات بر اساس تحلیل برنامههای کاربردی درحال اجرا، پروتکلها و Portهای ارتباطی و اجزای دقیق L2-L7 آنهاست.
پالیسیهای پیشنهادی برای مطالعه به مدیر ارائه میشوند (شکل7). تغییرات، اضافهکردن یا درخواست دوباره پالیسیها بسیار آسان است. زمانی که نتایج راضی کننده بود، مدیر تنها با یک کلیک پالیسیهای امنیتی پیشنهادی را اجرا میکند.
اجرای پالیسیهای امنیتی با یک کلیک، مستقیما از داخل NSX Manager UI صورت میگیرد. هیچ نیازی به ترجمه پالیسیها از یک ابزار شناسایی به ابزار اجرایی نیست.
زمانی که از پالیسیها برای کنترل جریان ارتباط میان خرده بخشها استفاده میشود، بطور خودکار به Service-defined Firewall توزیعی فرستاده میشوند. گام بعدی تایید این است که پالیسیهای امنیتی انتخابی حتما با جریانهای ارتباطی و توپولوژی واقعی برنامههای کاربردی همخوانی دارد.
بیشتر بخوانید: بررسی مزایا و سهولت به کارگیری تکنولوژی Micro-Segmentation در VMware NSX
گام سوم: تایید تطبیقپذیری پالیسی و تکرار آن
زمانی که پالیسیهای امنیتی پیشنهادی بکار گرفته شدند، NSX Intelligence تحلیل وضعیت جریانهای ارتباطی فعال را آغاز میکند. نتایج تحلیل بر Map ایجاد شده apps & flows قرا میگیرد.
Map مورد نظر با رنگ کدگذاری میشود که نمایش میدهد کدام جریانها به درستی مورد محافظت قرار گرفتند و کدام اینگونه نیستند. آن جریانهایی که طبق پالیسیهای امنیتی مجاز هستند با vنگ سبز نمایش داده میشوند. جریانهایی که بلاک شدهاند با رنگ آبی مورد نمایش قرار گرفتند. در نهایت، جریانهایی که با پالیسی امنیتی همخوانی ندارند با قرمز مشخص شدهاند.
کدگذاری رنگی به مدیران کمک میکند تا محدودیتهای Micro-Segmentation که به درستی تعریف شدهاند را به سادگی تایید کنند (شکل8). این کار همچنین مشکلات انطباق پالیسی را برجسته میکند، مانند پیکربندیهای اشتباه یا استثناها (پالیسیهای گم شده).
هر مورد عدم تطابق پالیسی میتواند به سادگی با استفاده از NSX Manager تصحیح شود. مدیران ممکن است پالیسیهای جدید اضافه کرده یا پالیسیهای موجود را ویرایش کنند و سپس آن را به فایروال Service-Defined بفرستند. پالیسیهای جدید بروزرسانیشده و سریعا بکار گرفته میشوند و Map apps & flows دوباره بروزرسانی میشود. مدیر میتواند تاثیر پالیسی بر Map را در لحظه مشاهده کند و تعیین کند که آیا تغییرات اضافی مورد نیاز است یا خیر. این فرآیند تا زمانی ادامه پیدا میکند که هیچ مشکل انطباقی شناسایی نشود.
راهکار NSX Intelligence فرآیندی یکپارچه و تکراری را فعال میکند که Micro-Segmentation را برای عملیاتی کردن آسان میکند. این تکنولوژی گامهای تحلیل توپولوژی، شناسایی پالیسی، اجرا و تایید آنها را به هم مرتبط میکند. برخلاف رویکرد «Hit and Miss» دستی راهکار NSX Intelligence فرآیندی Closed-Loop را ارائه میدهد که اطمینان حاصل میکند پالیسیهای درستی شناسایی و اجرایی شدهاند و در همین حین عدم قاطعیت را به شدت کاهش میدهد.
بیشتر بخوانید: راهکار NSX Intelligence: مدیریت، تحلیل و تطبیقپذیری Policy امنیتی همراه با دید گسترده دیتاسنتر
رفع چلش شناسایی پالیسی با راهکار NSX Intelligence
سازمانها باید از دیتاسنتر خود در مقابل حملات امنیتی دفاع کنند. برای دستیابی به این مهم باید یک مدل امنیتی Zero Trust اتخاذ شده و جریانهای ارتباطی میان بارهای کاری را کنترل شود. Micro-Segmentation گامی مهم برای دستیابی به این هدف است.
در گذشته، شناسایی مناطق امن مناسب و پالیسیهای Micro-Segmentation مانعی بزرگ در اجرایی کردن آن بود. چالشهای شناسایی مدیران را مجاب کرد تا از یک رویکرد «Hit and Miss» استفاده کنند که بخش مهمی از شبکه را در معرض حملات امنیتی East-West قرار میداد.
راهکار NSX Intelligence چالشهای شناسایی پالیسی را رفع میکند و این کار طریق گامهای زیر صورت میگیرد:
- تحلیل برنامههای کاربردی درحال اجرا و جریانهای ارتباطی آنها
- ایجاد یک Map «apps & Flows» جامع
- ایجاد الزامات پالیسیهای امنیتی
- فعالسازی ارسال پالیسیها با یک کلیک به Nodeهای فایروال Service-Defined توزیعی
- فراهمسازی کدگذاری رنگی، نمای تصویری و انطباق واقعی Micro-Segmentation
اضافهکردن قابلیتهای راهکار NSX Intelligence به فایروال Service-Defined منجر به فرآیند ساده و مکرری میشود که مدیران را قادر میسازد تا سریعا با پالیسیهای مناسب Micro-Segmentation همسو شده، یک مدل Zero Trust را اجرا کرده و شبکه را بطور کامل ایمن سازند.
راهکار NSX Intelligence بطور Native در بالای پلتفرم VMware NSX قرار دارد و نیاز به پیادهسازی تجهیزات و Agentهای اضافی را از بین میبرد و از Mirror کردن اضافی ترافیک شبکه خودداری میکند. این رویکرد تجلی دیگر رویکرد Intrinsic Security از VMware است که در آن ایجاد امنیت زیرساختی در کاهش پیچیدگی و هرینهها موثر است و وضعیت امنیتی سازمان را شدیدا بهبود میبخشد.
