Solution Overview

Über die letzten Jahre hinweg haben Unternehmen unterschiedlicher Größe die Vorteile und Möglichkeiten der Server-Virtualisierung verstanden und diese für die Erhöhung der operativen Flexibilität, zur Kostenreduktion, bzw. für eine verbesserte HA/DR Möglichkeiten eingesetzt, um schließlich der Software Defined Data Center (SDDC) Vision näher zu kommen. Eine große Hürde auf diesem Weg ist jedoch die Security, welche mit der Geschwindigkeit und Flexibilität der Server-Virtualisierung Schritt halten muss. NTS bietet mit VMware NSX nun eine Lösung an, die diese Herausforderungen meistern kann.

VMware NSX ist eine Plattform zur Netzwerkvirtualisierung, welche die Vorteile der Servervirtualisierung in die IP Welt bringen soll. Mit der ESXi-Kernel-basierten distributed Firewall haben die IT-Security-Verantwortlichen neue Wege und Möglichkeiten, um Ihre Umgebungen zu schützen und diese den Möglichkeiten der virtuellen Umgebung anzupassen. Security Objekte und Firewall-Regeln können aus dem vCenter Inventory abgeleiteten merkmalen bedienen und sind nicht mehr an die IP bzw. Netzwerkgrenzen limitiert.

Mit diesen Features gewappnet, können Security Perimeter schnell und ohne Änderungen am Netzwerk definiert werden und  Security-Verantwortliche endlich die notwendige Flexibilität haben.  Mit VMWare NSX werden die Vorteile einer Netzwerkfirewall mit den Vorteilen einer Hostfirewall vereint. Sie verwalten zentralisiert eine verteilt funktionierende Firewall.

 

Herausforderungen in den derzeitigen Umgebungen

Vorhandene Security Lösungen, unabhängig ob physikalisch oder virtualisiert bereitgestellt, sind komplex in der Bereitstellung und Betrieb und bieten nicht die gewünschte Flexibilität, die eine VMware Umgebung fordert. Das Hauptproblem der klassischen Lösungsansätze, welche über Jahre zwar verfeinert aber an der Basis nicht verändert wurden, ist, dass diese Security und Infrastrukturkomponenten (VLANs, Subnetze, Routing) sehr eng vermascht sind. Ist ein neuer Security Perimeter gefordert, muss/müssen

  • das Netzwerk zuerst dafür konfiguriert werden.
  • Applikationen ev. umadressiert bzw. migriert werden.
  • Funktionstests durchgeführt werden.
  • die notwendigen Kommunikationsparameter (Protokolle, Ports, Flows) definiert werden.

An dieser Stelle liegt der elementare Unterschied der VMware NSX Security Lösung zur klassischen Welt: Firewalls werden völlig losgelöst von der darunter liegenden Netzwerkinfrastruktur konfiguriert und können Netzwerkverkehr unabhängig vom VLAN, IP Adresse und Lokation der virtuellen Maschine reglementieren, selbst wenn diese sich am selben ESXi Host und im selben VLAN befinden.

 

VMware NSX Elemente

Die VMware Lösung auf Basis NSX bietet die notwendigen Funktionen, um die erwähnten Herausforderungen zu meistern. Das folgende Diagramm beschreibt diese und die Interaktionen untereinander.

 

 

Das Diagramm ist in zwei Bereiche unterteilt – Management Elemente und ESXi Cluster, wobei die Management Komponenten, die als VMs ausgeführt sind, auf dem ESXi Cluster laufen können.

  • vCenter Server | Platform Services Controller:

Das vCenter ist das Herzstück jeder VMware Implementierung und ist als Management- und Integrationspunkt für NSX sehr wichtig. Der Platform Services Controller (PSC) kann sowohl extern als auch integriert verwendet werden.

  • NSX Manager:

Der NSX Manager ist die zentrale Komponente der NSX Umgebung, welche mit dem vCenter integriert wird und das Management der NSX Funktionen darstellt. Außerdem ist dieser der API Zugriffspunkt für Automatisierungs- und Provisionierungsaufgaben. Neben der API wird vom NSX Manager ebenfalls ein zentrales GUI für die Verwaltung der Security und SDN Komponenten bereitgestellt.

  • Distributed Firewall:

Dies ist die interessanteste Komponente in dieser Architektur und wird als Kernel Modul (VIB) auf den ESXi Hosts installiert. Anschließend bietet sie die Möglichkeit, pro Netzwerkkarte einer virtuellen Maschine eine Firewall-Instanz zu betreiben, welche zentral vom NSX Manager konfiguriert wird (über GUI oder API). Da die Firewall im Hypervisor untergebracht ist, besteht keine Notwendigkeit, den Traffic mittels Routing oder Redirects umzurouten. Jeder Traffic, welcher die VM verlässt, oder zur VM transportiert wird, kann mittels Firewall-Regeln reglementiert werden. Hierfür können nicht nur wie gewohnt IP Adressen und Subnetze, sondern auch abstrakte Objekte (vCenter Inventory) oder dynamische Gruppen verwenden werden.

  • vRealize Log Insight:

Eine distributed Firewall bedeutet auch verteilte Log-Dateien. Um diese Herausforderung zu meistern, bietet VMware NSX mit vRealize Log Insight eine Search Appliance an, welche zusätzlich mit vorkonfigurierten Dashboards und Views bereits gut an die neuen Anforderungen angepasst ist.

  • vRealize Network Insight:

vRealize Network Insight (vRNI) bedient sich der Netflow Daten und stellt ein ausgezeichnetes Tool, sowohl für die Planung der Micro-Segmentierung als auch für die Day-2-Operations, dar. Nach einer mehrtägigen Analysephase können detaillierte Informationen zu den Datenflüssen der unterschiedlichen VMs präsentiert und Vorschläge für die notwendigen Firewall Regeln gemacht werden. Durch die Integration mit dem NSX Manager können laufend Optimierungen für die Konfiguration und Hilfestellungen beim Troubleshooting und Analysen geboten werden. vRNI ist sowohl für die Planung und Konzeption, in der Integrationsphase als auch im Betrieb ein sehr wichtiges Werkzeug.

 

Micro-Segmentation mit “relax, we care” Faktor

Selbst in der hochautomatisierten VMware-Welt fehlt leider der One-Click Knopf, mit dem ich die Mikrosegmentierung einschalten kann und all meine Sorgen und Aufwände der Vergangenheit angehören. Der Weg zur Micro-Segmentation ist – wie alles in der Security – ein Prozess, bei dem NTS Unterstützung bietet. Der genannte Weg sieht aus NTS Sicht wie folgt aus:

  • Konzept-Workshop bei dem die Eckdaten (Ziele, Nicht-Ziele, Konventionen, … ) besprochen und definiert werden – es werden die ersten, zu schützenden Applikationen und ein möglicher Zeitplan festgelegt
  • Installation und Integration der Lösung in die vorhandene (oder auch neue) Landschaft
  • Detaillierte Auswertungen aus dem vRNI werden herangezogen, um die Kommunikationswege zu definieren bzw. zu verifizieren
  • Erstellung der notwendigen Konfiguration für die erste(n) Applikation(en).
  • Optional: Einrichtung weiterer Applikationen
  • Funktionstests
  • Übergabe der Dokumentation

Nach erfolgreich umgesetzten Projekt stehen die NTS Experten mit der jahrelangen Erfahrung natürlich weiterhin mit Rat und Tat zur Verfügung.

 

Summary

Mit VMware NSX erlangen die Security Teams endlich die Flexibilität, die sie sich immer gewünscht haben – unabhängig vom darunter liegenden Server-Betriebssystem und Netzwerk-Design, sowie Applikationsadressierung können Access Policies durchgesetzt und sehr einfach an die dynamischen Erfordernisse angepasst und zentralisiert überwacht werden. Tools wie vRealize Log Insight und vRealize Network Insight liefern die gewohnten Visibility-Möglichkeiten (und darüber hinaus) trotz der verteilten Architektur der neuen Lösung. Der Automatisierung steht aufgrund der zentralen API Schnittstelle auch nichts mehr im Wege.

Für eine erfolgreiche Implementierung steht das NTS Team mit Rat und Tat zur Verfügung, frei nach dem Motto RELAX, WE CARE.