Виртуализация сети с VMware NSX

Технологии
05.02.2021
346
6 min

Виртуализация сети с VMware NSX

#nsx #sd-wan
Анонс VMware NSX состоялся в августе 2013 года, и за прошедшее с момента выпуска первой версии время решение успело зарекомендовать себя как проверенный инструмент виртуализации сети и обеспечения сетевой безопасности для программного ЦОД. Сегодня мы расскажем, как появилось решение, обсудим его функционал и возможности, а также коснемся истории и эволюции.

VMware NSX как часть концепции программно-определяемого ЦОД

Как могли догадаться наши постоянные читатели, VMware NSX был представлен на конференции VMworld 2013. Тогда VMware продемонстрировала свое видение ЦОД будущего, согласно которому дата-центр должен был быть программно-определяемым, а слой ПО — полностью абстрагирован от аппаратного. Иными словами, почти восемь лет назад VMware озвучила актуальную для нашего времени тенденцию: непосредственно оборудование дата-центра выполняет роль фундамента, а все функции управления реализуются на уровне программного обеспечения.

Одним из четырех направлений концепции стали программно-определяемые сети, за построение которых и отвечает VMware NSX.

Эволюция безопасности сетей

Ранее за безопасность в облаке на базе VMware отвечало другое решение вендора — vCloud Networking and Security. Продукт позиционировался как универсальный инструмент по обеспечению безопасности для vSphere и в итоге сыграл важную роль в создании VMware NSX: рассматриваемая сегодня платформа появилась на базе двух продуктов — непосредственно vCNS и приобретенного Nicira NVP.

Сегодня программный подход к сетям позволяет операторам ЦОД достичь высокого уровня безопасности и адаптивности, что практически невозможно реализовать, когда сети дата-центра жестко привязаны к аппаратному уровню.

Ключевые возможности VMware NSX

Микросегментация

За реализацию микросегментации в продукте отвечает распределенный файрвол. Он позволяет точечно управлять политиками безопасности для конкретных рабочих нагрузок — приложений и отдельных ВМ. Микросегментация сети также существенно снижает риск распространения угроз внутри ЦОД по горизонтали.

Быстрая инициализация сети

Ограничения физических сетей и средств безопасности привязывали динамичную виртуальную среду к узкоспециализированному оборудованию, что создавало препятствия для оптимизации сетевой архитектуры и снижает эффективность использования ресурсов. С VMware NSX время инициализации сети снижается с нескольких дней или даже недель буквально до секунд. Сетевые службы инициализируются программно при развертывании виртуальных машин и перемещаются вместе с ними, а используемые приложения продолжают работать без каких-либо модификаций, воспринимая виртуальную сеть как обычную физическую.

Перемещение рабочих нагрузок

VMware NSX позволяет оперативно перемещать как сами ВМ, так и связанные с ними политики внутри одного дата-центра и между разными ЦОД вне зависимости от того, как реализована топология физической сети. При этом NSX предотвращает нарушение их работы, поддерживает схемы active-active и DR-сценарии.

Сценарии использовани

Обеспечение безопасности ЦОД

Благодаря возможностям микросегментации VMware NSX позволяет разделить ЦОД на множество сегментов безопасности вплоть до уровня конкретной рабочей нагрузки вне зависимости от того, где она выполняется, а также настраивать для каждой рабочей нагрузки политики безопасности на основе контекста пользователей и приложений. Это обеспечивает мгновенное реагирование на угрозы внутри ЦОД и снижает риск их горизонтального распространения даже после проникновения во внутрь периметра.

Автоматизация жизненного цикла приложений

Виртуализация сетевых служб и служб безопасности позволяет автоматизировать весь жизненный цикл приложений. С разработчиков снимается часть задач по развертыванию приложений и их эксплуатации, поэтому у специалистов появляется больше возможностей для оперативного реагирования на потребности бизнеса.

Миграция сервисов и приложений

VMware NSX реализует концепцию SDDC: отделяет уровень сети от уровня физического оборудования и связывает политики безопасности с соответствующими рабочими нагрузками. Это позволяет:

  • оперативно перемещать приложения и сервисы между разными ЦОД;
  • реплицировать данные на удаленные площадки для реализации DR-сценариев;
  • развертывать приложения в гибридных средах без взаимодействия с физическими сетями.

Гибкая настройка сетей и политик безопасности приложений

Компоненты VMware NSX включают полноценный набор инструментов и служб для обеспечения безопасности и контроля сетевого взаимодействия. В целом решение предлагает следующие возможности:

  • динамическая маршрутизация между виртуальными сетями;
  • балансировка нагрузки;
  • коммутация;
  • распределенный брандмауэр;
  • VPN;
  • шлюз NSX;
  • микросегментация с учетом контекста;
  • управление сетями и безопасностью в разных средах и ЦОД;
  • управление эксплуатацией — интерфейс командной строки, трассировка, SPAN и IPFIX для проактивного мониторинга инфраструктуры и устранения неисправностей.

VMware NSX также позволяет интегрировать множество дополнительных инструментов:

  • любые платформы управления и системы автоматизации через RESTful API;
  • vRealize Automation и OpenStack;
  • vRealize® Operations™ и vRealize Log Insight;
  • сторонние решения — брандмауэры, системы IDS/IPS, антивирусные средства, инструменты визуализации и пр.

Never trust, always verify

При обеспечении безопасности ЦОД немало внимания уделяется модели защищенного периметра. Однако необходимо понимать, что более 70% сетевого трафика ЦОД приходится на east-west трафик.

Чтобы проникнуть внутрь периметра, злоумышленники, как правило, атакуют наименее защищенные системы, а потом используют их для распространения угрозы внутри ЦОД по горизонтали.

Один из самых эффективных методов борьбы с такими атаками — реализация модели «Zero Trust Security». Кратко суть концепции нулевого доверия можно описать так:

  • в сети не существует доверенных сегментов и объектов;
  • для доступа к ресурсам используется подход минимальных привилегий и явного разрешения;
  • независимо от размещения ресурсов доступ к ним должен быть прозрачным и безопасным;
  • весь трафик в ЦОД контролируется и анализируется.

Именно этот подход и позволяет реализовать VMware NSX. Каждую ВМ можно заключить в отдельный сегмент безопасности. Микросегментация, о которой мы говорили выше, реализует принципы «нулевого доверия» и обеспечивает высокий уровень защищенности для каждой рабочей нагрузки.

Не нужно быть аналитиком, чтобы понять, как сильно увеличилось количество кибератак за последние несколько месяцев. В связи с этим мы хотели бы напомнить вам, что обеспечение безопасности — комплексный процесс, и, даже выбирая надежного провайдера, нужно всегда быть начеку.Необходимо регулярно анализировать и повышать уровень защищенности корпоративных систем, изучать доступные на рынке средства и внедрять их в тех случаях, когда это соответствует целям и задачам вашего бизнеса.



Екатерина Юдина
Профильный эксперт

Наш сайт использует cookie

Информацию о cookie, целях их использования и способах отказа от таковых, можно найти в «Политике использования файлов «cookie». Продолжая использовать наш Сайт, Вы выражаете согласие на обработку файлов «cookie», а также подтверждаете факт ознакомления с «Политикой использования файлов «cookie». Если Вы не хотите, чтобы ваши данные обрабатывались, покиньте сайт.