e-mail
phone
mobile

Как защитить облачный ЦОД с помощью виртуальных межсетевых экранов Palo Alto Networks VM-Series

Безопасность
10.02.2016
3409
10 min
Как защитить облачный ЦОД с помощью виртуальных межсетевых экранов Palo Alto Networks VM-Series
#сети #paloalto
Как ускорить процесс развертывания критически важных бизнес-приложений без ущерба для безопасности? Как определить security policy для защиты от современных угроз, следуя в ногу с виртуализацией дата-центров?

Совместное использование решений VMware NSX и Palo Alto Networks дает ответы на эти и многие другие вопросы. В этой статье рассмотрим особенности межсетевого экрана нового поколения Palo Alto Networks серии VM, используемого в связке с решениями Palo Alto Networks Panorama и VMware NSX.

Особенности Palo Alto Networks серии VM

Межсетевые экраны Palo Alto Networks серии VM изначально были ориентированы на защиту виртуальной инфраструктуры от внешних и внутренних угроз, а сегодня активно используются как в программных дата-центрах, так и в облаках — частных, публичных, гибридных. Виртуальная Palo Alto Networks серии VM работает под управлением операционной системы PAN-OS, при этом логика управления и логика обработки трафика разнесены, что обеспечивает гарантированную управляемость межсетевым экраном при высоких потоках трафика. Стоит обратить внимание и на то, что VM-Series состоит из трех высокопроизводительных моделей: VM-100, VM-200, VM-300. Каждая из них использует однопроходную программную архитектуру, что позволяет повышать скорость обработки данных в условиях ЦОД.

Пример использования Palo Alto Networks Panorama

Рисунок 1. Пример использования Palo Alto Networks Panorama

Если же необходимо управлять множеством устройств Palo Alto Networks и делать это централизованно, с помощью консоли, можно воспользоваться специализированной платформой управления Palo Alto Networks Panorama.

Palo Alto Networks Panorama

Являясь надежным инструментом централизованного управления межсетевыми экранами, Panorama позволяет выполнять мониторинг сетевой активности. Примечательно, что Panorama может быть представлена в виде как аппаратного, так и виртуального устройства с возможностью разнесения функций управления и сбора логов на отдельные узлы Panorama, что помогает оптимизировать процессы внедрения. С помощью Panorama можно управлять распределенной сетью физических и/или виртуальных межсетевых экранов Palo Alto Networks централизованно, обеспечивая при этом возможность отслеживать трафик по каждому развернутому брандмауэру, управлять конфигурацией, создавать политики безопасности, генерировать отчеты по трафику и многое другое.

Операционная система Palo Alto Networks (PAN-OS)

 Palo Alto Networks (PAN-OS)

Рисунок 2. Palo Alto Networks (PAN-OS)

И несколько слов о самой операционной системе PAN-OS. Это программное обеспечение, управляющее аппаратными и программными составляющими брандмауэров Palo Alto Networks. PAN-OS поддерживает огромное количество функций и сервисов, обеспечивающих гарантированно надежную и защищенную среду.

VMware NSX

Что же касается VMware NSX — это платформа виртуализации сети для виртуального ЦОД, которая делает возможным создание сетей на существующем сетевом оборудовании. В результате чего можно формировать гибкий пул сетевых ресурсов, разворачивать программные сети, полностью независимые и изолированные друг от друга, применять принципы виртуализации к сетевой инфраструктуре. Важной составляющей VMware NSX являются компоненты VMware NSX service composer и VMware NSX distributed firewall (DFW). Поговорим о них подробнее.

Особенности VMware NSX Service Composer

Являясь практически сердцем VMware NSX, встроенный компонент VMware NSX Service Composer определяет новую модель использования сетей и сервисов безопасности. Он позволяет создавать многоуровневые политики безопасности, независимые от текущей инфраструктуры и заданной топологии. Политики безопасности назначаются на группы виртуальных машин и автоматически применяются к новым VM, добавленным в группу. С помощью VMware NSX Service Composer обеспечивается защита сети от начала до конца. В Service Composer вы можете создавать группы безопасности (Security Group) и политики безопасности (Policy Group).

# Группы безопасности (Security Group)

При создании групп безопасности администратор может выбирать между статическими и динамическими группами, которые включают или исключают такие объекты, как виртуальные машины, vNIC, vSphere-кластер, логические свитчи и прочее. Для создания групп безопасности используется опция Networking and Security -> Service Composer -> Security Group в vSphere Web Client.

Пример создания новой политики безопасности

Рисунок 3. Пример создания новой политики безопасности

# Политики безопасности (Security Policy)

Security Policy (SP) определяют сетевые политики и политики безопасности, которые применяются для конкретной группы безопасности. Например, SP может быть создана для перенаправления на Palo Alto Networks серии VM любого типа трафика. Чтобы политика безопасности заработала, ее необходимо привязать к группе или набору групп безопасности.

VMware NSX Distributed Firewall (DFW)

VMware NSX DFW является распределенным брандмауэром, реализованным в контексте самого NSX. Он обеспечивает возможности stateful-фильтрации и работает на уровне ядра гипервизора, что обеспечивает высокую производительность. Управление брандмауэром осуществляется через пользовательский интерфейс vCenter (закладка Home NSX). Правила, создаваемые в DFW, могут быть заданы на уровне VM, кластера, порт-группы DVS, логического свитча и так далее. NSX DFW поддерживает vMotion, а текущие активные соединения остаются нетронутыми в момент рабочей нагрузки.

Заключение

Сегодня мы познакомили наших читателей с особенностями Palo Alto Networks серии VM, используемого в связке с решениями Palo Alto Networks Panorama и VMware NSX. Следите за новыми материалами нашего блога. В следующей статье мы рассмотрим практический кейс, описывающий особенности конфигурации динамических политик безопасности.


Екатерина Юдина
Профильный эксперт
Наш сайт использует cookie
Информацию о cookie, целях их использования и способах отказа от таковых, можно найти в «Политике использования файлов «cookie». Продолжая использовать наш Сайт, Вы выражаете согласие на обработку файлов «cookie», а также подтверждаете факт ознакомления с «Политикой использования файлов «cookie». Если Вы не хотите, чтобы ваши данные обрабатывались, покиньте сайт.