Wirtualizacja sposobem na bezpieczeństwo

Wirtualizacja sieci zazwyczaj kojarzy się z przyspieszeniem etapu tworzenia nowych sieci, łatwiejszym zarządzaniem, większą elastycznością i efektywniejszym wykorzystaniem zasobów. Ale zawiera jeszcze jeden ważny składnik – bezpieczeństwo.

Wirtualizacja sieci oraz sieci definiowane programowo SDN to stosunkowo nowe pojęcia. Wirtualizacja sieci często określana jest skrótem NFV (Network Functions Virtualization). Na rynku istnieje niewiele firm oferujących oprogramowanie realizujące tego typu funkcje. Na przykład VMWare jest jednym z kilku producentów, próbujących popularyzować takie rozwiązania na rynku systemów sieciowych. Flagowym produktem VMWare obsługującym wirtualizację sieci jest NSX. Na ostatniej konferencji VMWorld producent zapewniał, że platforma ta pracuje już u ponad 150 jego klientów, a wartość sprzedaży osiągnęła 100 milionów USD.

Co ciekawe, ponad 40% tych wdrożeń nie skupiało się na zarządzaniu sieciami. Głównym powodem wyboru takiego rozwiązania były jego funkcje związane z bezpieczeństwem sieci. Bo VMWare NSX ma zdolność do segmentowania ruchu sieciowego i wdrażania wirtualnych zapór w ramach rozwiązań dla centrów danych.

Zobacz również:

Warto podkreślić, że duże organizacje wykorzystują wirtualizację sieci przede wszystkim w celu łatwiejszego zarządzania środowiskiem. Natomiast mniejsze firmy dostrzegają korzyści płynące z możliwości wykorzystania mechanizmów bezpieczeństwa, które udostępnia wirtualizacja.

Wirtualne zapory sieciowe

Wykorzystanie wirtualnych funkcji sieci pozwala zaoferować zupełnie nowe możliwości dla administratorów bezpieczeństwa, skupiających się na zabezpieczeniu ruchu wewnątrz centrum danych. Technologia NFV pozwala łatwo tworzyć nowe sieci, realizując ochronę poprzez segmentację. Funkcje NFV pozwalają także przypisywać politykę bezpieczeństwa do konkretnej sieci wirtualnej co powoduje, że tylko określony przez administratora ruch może przez nią przepływać. Jeżeli niepożądany ruch będzie próbował realizować transmisję przez daną sieć, zostanie odrzucony. Zakładając indywidualną ochronę segmentów sieci, nawet jeżeli atakujący dostanie się do źle zabezpieczonej części sieci, nie uzyska dostępu do pozostałych zasobów, ponieważ będzie on ograniczony do danego segmentu infrastruktury.

Wraz z wykorzystaniem wirtualnych sieci w zakresie bezpieczeństwa, pojawiła się koncepcja tworzenia wirtualnych zapór sieciowych rozproszonych w ramach centrum danych. W tym przypadku fizyczne zapory nadal są wykorzystywane do ochrony sieci na jej brzegu. Wirtualizacja pozwala jednak umieścić wirtualne zapory wewnątrz centrum danych przypisując je do każdego elementu sieci. Możliwa jest także ochrona ruchu pomiędzy poszczególnymi serwerami. Wirtualne mechanizmy bezpieczeństwa potrafią także chronić wirtualne maszyny VM. Umożliwiają przypisane zestawu reguł bezpieczeństwa nie do specyficznej sieci, ale pojedynczej maszyny wirtualnej. W tym przypadku nawet, gdy jest ona przenoszona na serwer znajdujący się w innym obszarze sieci, polityka bezpieczeństwa wędruje za VM.

Wirtualizacja bezpieczeństwa w praktyce

Konfiguracja bezpieczeństwa maszyn wirtualnych jest możliwa tradycyjną metodą z wykorzystaniem sprzętu, ale w praktyce jest to rozwiązanie nieelastyczne. Za każdym razem, gdy nowa sieć jest tworzona lub nowa wirtualna maszyna jest umieszczana w sieci, standardowa zapora musi być aktualizowana. Jeżeli ktoś przenosi kilkaset maszyn VM w ciągu dnia, konieczna jest modyfikacja bardzo wielu reguł na zaporach sieciowych. W przypadku przypisania polityki do VM, problem znika. Wykorzystanie technologii wirtualizacji upraszcza też koncepcję budowy sieci. Wykorzystując graficzny interfejs, nową sieć można utworzyć w ramach kilku kliknięć. A każda wirtualna maszyna może być przypisana do grupy bezpieczeństwa z własną polityką. W przeciwieństwie do fizycznych zapór, wirtualna alternatywa pozwala przypisać zaporę do każdej niezależnej sieci czy VM. Prezentowany jest także centralny widok wszystkich sieci, a przydzielenie polityki bezpieczeństwa do różnych elementów systemu może być realizowane i modyfikowane w zależności od bieżących potrzeb.


TOP 200