اکثر افرادی که این مطلب را میخوانند، با VMware NSX به عنوان پلتفرمی برای امنیت داخلی دیتاسنتر، آشنایی دارند و میدانند که فایروال مبتنی بر سرویس NSX اپراتورهای امنیت و شبکه را قادر میسازد تا برای جایگزینی پیادهسازیهای متمرکز و مبتنی بر سختافزار، از راهکاری توزیعی (Distributed) و مبتنی بر نرمافزار استفاده کند. قابلیت سیستم شناسایی و پیشگیری از نفوذ یا IDS/IPS که با NSX-T 3.0 منتشر شد، قابلیتهای امنیتی فایروال مبتنی بر سرویس را بهبود بخشیده و به اپراتورها امکان استفاده از چندین کاربرد اضافه را میدهد.
کاربردهای NSX Distributed IDS/IPS
- دریافت سریع تطبیقپذیری مدیریتی (Regulatory Compliance): بسیاری از دیتاسنترها، برنامههای کاربردی حساس و لازم برای مواجهه با HIPAA و PCI-DSS و یا SOX را میزبانی میکنند. اپراتورهای امنیت و شبکه با استفاده از NSX میتوانند از طریق فعالسازی IDS/IPS، علاوه بر فایروال برای هر بار کاری که به تطبیقپذیری نیاز داشته باشد نیز تطبیقپذیری به دست آوردند.
- جایگزینی تجهیزات مجزای IDS/IPS: اپراتورهایی که شبکههای دیتاسنتر خود را مجازیسازی میکنند، میتوانند تجهیزات متمرکز و مجزای IDS/IPS خود را با پیادهسازی توزیعی NSX جایگزین کنند. به علاوه در طی فرآیند، با NSX مدیریت IDS/IPS و فایروال را نیز تجمیع میکنند. از آنجایی که قابلیتهای امنیتی NSX در Hypervisor جدا از بارهای کاری میباشند، مهاجمین نمیتوانند آنها را دستکاری کنند.
- پیادهسازی Zoneهای امنیت مجازی: برخی سازمانها نیاز دارند که با شرکا، اتصالات مستقیم شبکهای ایجاد کنند یا با واحدهای سازمان و شعب، به عنوان Tenantهای یک سازمان IT مرکزی برخورد کنند. اکنون اپراتورها میتوانند از IDS/IPS و فایروال NSX استفاده کنند تا Zoneهای امنیت مجازی را در مرزهای سازمانی پیادهسازی کنند در حالی که این بارهای کاری را روی کلاسترهای Hypervisor فیزیکی یکسان تجمیع میکنند.
- شناسایی حرکت جانبی تهدید: مهاجمین در دیتاسنتر از حرکت جانبی (Lateral Movement) استفاده میکنند تا به هدف خود برسند. NSX Distributed IDS/IPS مانند Distributed Firewall بر پورت منطقی هر بار کاری اعمال میگردد و مشتریان را قادر میسازد تا صرفنظر از اتصال شبکه، هر مرحله از حمله را شناسایی کنند.
مزایای فنی NSX Distributed IDS/IPS
در تضاد با تجهیزات قدیمی، پیادهسازی NSX IDS/IPS به صورت توزیعی و کاملا یکپارچه با زیرساخت مجازیسازی میباشد. این دو گزینهی طراحی، منجر به چند مزیت فنی میشوند:
جریان ترافیک بهینه
معمولا جریانهای ترافیک دیتاسنتری که به بررسی IDS/IPS نیاز دارند به یکAppliance متمرکز فرستاده شده و یا از آن بازمیگردد، همچنین یک الگوی Hair-Pin ایجاد کرده و منابع شبکه را در این فرآیند، به تکههای کوچکتر تقسیم میکند. پیادهسازی تجهیزات قدیمی و مبتنی بر شبکهی IDS/IPS در محیط موجود، مستلزم طراحی مجدد معماری شبکه بوده و پس از پیادهسازی ابتدایی، ممکن است لازم باشد بعد از هر تغییری در پیکربندی شبکهی IDS/IPS، هماهنگسازی مجدد انجام شود. NSX میتواند Hair-Pinها را از بین برده و ترافیک شبکه را از طریق Co-locate نمودن بررسی IDS/IPS با منبع یا مقصد جریان ترافیک، بهینهسازی کند
شکل 1. از بین بردن Hair-Pinهای ترافیک توسط NSX IDS/IPS
عدم وجود Bottleneck در ظرفیت بررسی
پیادهسازیهای قدیمی ظرفیت بررسی محدودی در کلاسترهای IDS/IPS و فایروال دارند. این امر باعث میشود که سازمانها مجبور شوند به طور مداوم میزان تجهیزات فیزیکی را در کلاسترهای خود افزایش داده یا IDS/IPS را فقط برای ترافیکهای مشخصی اعمال کنند. پیادهسازی NSX Distributed IDS/IPS از ظرفیت stranded در سرورهای موجود در دیتاسنتر استفاده میکند، بنابراین هیچگونه Bottleneckای برای ظرفیت بررسی وجود ندارد.
بررسی تمام ترافیک
محدودیت تجهیزات IDS/IPS درونبرنامهای یا فایروالهای قدیمی تنها به حجم ترافیک قابل بررسی آنها بستگی ندارد، بلکه به معماری شبکه بستگی دارد تا Packetها را از طریق آنها هدایت کند. این بدین معناست که نمیتوان IDS/IPS درونبرنامهای را به ترافیک بین بارهای کاری در VLAN یا بخش شبکهی یکسان اعمال کرد. با پیادهسازی توزیعی NSX، میتوان بررسی IDS/IPS را در مسیر هر جریان ترافیکی برای هر بار کاری قرار داد و از اپراتور برای ایجاد تهدید در بررسی ترافیک بینیاز شده و توپولوژی شبکه را نیز تسهیل نمود.
توزیع Curated Signature و شناسایی تهدید مبتنی بر ساختار
تجهیزات شناسایی و پیشگیری از نفوذ شبکهی قدیمی درک ساختاری بسیار کمی داشته و معمولا تمام ترافیک را با تمام Signatureها، صرفنظر از اینکه آیا این Signatureها با بارهای کاری پیادهسازیشده مرتبط هستند، تطبیق میدهند. این کمبود ساختار باعث میشود که تیمهای امنیتی سختتر بتوانند نویز را از رویدادهای حیاتی که نیاز به عملیات فوری دارند، تفکیک کنند. این اعمال گستردهی Signatureها تاثیر مهم دیگری نیز روی عملکرد دارد. NSX Distributed IDS/IPS، از طریق ابزار VMware و چارچوب Guest Introspection، به بستری غنی درباره هر Guest دسترسی دارد و این بستر را برای رویدادهایی که امکان پاسخدهی سریعتر دارند فراهم کرده، همچنین قابلیت فعالسازی گزینشی Signatureهای مرتبط به هر بار کاری را بر مبنای آنچه که در مورد بار کاری میدانیم، مقدر میسازد.
پشتیبانی از تحرکپذیری بار کاری
با IDS/IPS قدیمی، هیچ راه سریع و مستقیمی برای پیکربندی مجدد پالیسیهای امنیتی برای بار کاری در حال انتقال (به خاطر vMotion) وجود ندارد. با NSX، وضعیت و پالیسیهای امنیتی با ماشین مجازی (VM) بار کاری منتقل میشوند و در نتیجه، صرفنظر از اینکه VM به کجا انتقال مییابد، از ترافیک در حال ورود به به آن یا در حال خروج از آن، محافظت میشود. به علاوه، هیچ ترافیکی در حین انتقال Drop نمیشود.
مدیریت چرخهی عمر پالیسی خودکار
پیادهسازیهای قدیمی IDS/IPS از چرخهی عمر برنامههای کاربردی تحت محافظت خود آگاه نیستند. بنابراین اپراتورهای امنیت و شبکه باید زمانی که بار کاری جدیدی ساخته میشود، به صورت دستی پالیسیهای امنیتی جدیدی ایجاد نموده و زمانی که بار کاری از کار میافتد، این پالیسیها نیاز به اصلاح و تغییر دارند. در NSX، با بهرهگیری از گروههای Dynamic مبتنی بر Tagها، چرخهی عمر یک پالیسی امنیتی مستقیما به چرخهی عمر برنامهی کاربردی گره خورده و مرتبط میگردد. زمانی که یک بار کاری پیادهسازی میگردد، پالیسی IDS/IPS و فایروال مناسب فورا و به صورت خودکار اعمال شده و زمانی که یک برنامهی کاربردی از کار میافتد، گروهها و قواعد برای پاسخ به آن هماهنگ میشوند. لازم به ذکر است که هیچ یک از این موارد به دستکاری پالیسی به صورت دستی، نیاز ندارند. این امر به میزان قابل توجهی زحمت پیکربندی مجدد و همچنین ریسک مرتبط با پیکربندی دستی را کاهش میدهد.
پیادهسازی NSX Distributed IDS/IPS اپراتورهای امنیت و شبکه را قادر میسازد تا عملیات و معماری شبکه را تسهیل کنند و از ظرفیت سرور درگیر، بهره ببرند. از آنجایی که صرفنظر از اتصال شبکه، IDS/IPS Distributed و فایروال مبتنی بر سرویس NSX به هر vNIC از هر بار کاری اعمال شدهاند، امنیت ژرف و عمیقی در Granularity یک بار کاری و نیز مقیاس دیتاسنتر مبتنی بر نرمافزار ارائه میکنند.
