VMware NSX как часть концепции программно-определяемого ЦОД
Как могли догадаться наши постоянные читатели, VMware NSX был представлен на конференции VMworld 2013. Тогда VMware продемонстрировала свое видение ЦОД будущего, согласно которому дата-центр должен был быть программно-определяемым, а слой ПО — полностью абстрагирован от аппаратного. Иными словами, почти восемь лет назад VMware озвучила актуальную для нашего времени тенденцию: непосредственно оборудование дата-центра выполняет роль фундамента, а все функции управления реализуются на уровне программного обеспечения.
Одним из четырех направлений концепции стали программно-определяемые сети, за построение которых и отвечает VMware NSX.
Эволюция безопасности сетей
Ранее за безопасность в облаке на базе VMware отвечало другое решение вендора — vCloud Networking and Security. Продукт позиционировался как универсальный инструмент по обеспечению безопасности для vSphere и в итоге сыграл важную роль в создании VMware NSX: рассматриваемая сегодня платформа появилась на базе двух продуктов — непосредственно vCNS и приобретенного Nicira NVP.
Сегодня программный подход к сетям позволяет операторам ЦОД достичь высокого уровня безопасности и адаптивности, что практически невозможно реализовать, когда сети дата-центра жестко привязаны к аппаратному уровню.
Ключевые возможности VMware NSX
Микросегментация
За реализацию микросегментации в продукте отвечает распределенный файрвол. Он позволяет точечно управлять политиками безопасности для конкретных рабочих нагрузок — приложений и отдельных ВМ. Микросегментация сети также существенно снижает риск распространения угроз внутри ЦОД по горизонтали.
Быстрая инициализация сети
Ограничения физических сетей и средств безопасности привязывали динамичную виртуальную среду к узкоспециализированному оборудованию, что создавало препятствия для оптимизации сетевой архитектуры и снижает эффективность использования ресурсов. С VMware NSX время инициализации сети снижается с нескольких дней или даже недель буквально до секунд. Сетевые службы инициализируются программно при развертывании виртуальных машин и перемещаются вместе с ними, а используемые приложения продолжают работать без каких-либо модификаций, воспринимая виртуальную сеть как обычную физическую.
Перемещение рабочих нагрузок
VMware NSX позволяет оперативно перемещать как сами ВМ, так и связанные с ними политики внутри одного дата-центра и между разными ЦОД вне зависимости от того, как реализована топология физической сети. При этом NSX предотвращает нарушение их работы, поддерживает схемы active-active и DR-сценарии.
Сценарии использования
Обеспечение безопасности ЦОД
Благодаря возможностям микросегментации VMware NSX позволяет разделить ЦОД на множество сегментов безопасности вплоть до уровня конкретной рабочей нагрузки вне зависимости от того, где она выполняется, а также настраивать для каждой рабочей нагрузки политики безопасности на основе контекста пользователей и приложений. Это обеспечивает мгновенное реагирование на угрозы внутри ЦОД и снижает риск их горизонтального распространения даже после проникновения во внутрь периметра.
Автоматизация жизненного цикла приложений
Виртуализация сетевых служб и служб безопасности позволяет автоматизировать весь жизненный цикл приложений. С разработчиков снимается часть задач по развертыванию приложений и их эксплуатации, поэтому у специалистов появляется больше возможностей для оперативного реагирования на потребности бизнеса.
Миграция сервисов и приложений
VMware NSX реализует концепцию SDDC: отделяет уровень сети от уровня физического оборудования и связывает политики безопасности с соответствующими рабочими нагрузками. Это позволяет:
- оперативно перемещать приложения и сервисы между разными ЦОД;
- реплицировать данные на удаленные площадки для реализации DR-сценариев;
- развертывать приложения в гибридных средах без взаимодействия с физическими сетями.
Гибкая настройка сетей и политик безопасности приложений
Компоненты VMware NSX включают полноценный набор инструментов и служб для обеспечения безопасности и контроля сетевого взаимодействия. В целом решение предлагает следующие возможности:
- динамическая маршрутизация между виртуальными сетями;
- балансировка нагрузки;
- коммутация;
- распределенный брандмауэр;
- VPN;
- шлюз NSX;
- микросегментация с учетом контекста;
- управление сетями и безопасностью в разных средах и ЦОД;
- управление эксплуатацией — интерфейс командной строки, трассировка, SPAN и IPFIX для проактивного мониторинга инфраструктуры и устранения неисправностей.
VMware NSX также позволяет интегрировать множество дополнительных инструментов:
- любые платформы управления и системы автоматизации через RESTful API;
- vRealize Automation и OpenStack;
- vRealize® Operations™ и vRealize Log Insight;
- сторонние решения — брандмауэры, системы IDS/IPS, антивирусные средства, инструменты визуализации и пр.
Never trust, always verify
При обеспечении безопасности ЦОД немало внимания уделяется модели защищенного периметра. Однако необходимо понимать, что более 70% сетевого трафика ЦОД приходится на east-west трафик.
Чтобы проникнуть внутрь периметра, злоумышленники, как правило, атакуют наименее защищенные системы, а потом используют их для распространения угрозы внутри ЦОД по горизонтали.
Один из самых эффективных методов борьбы с такими атаками — реализация модели «Zero Trust Security». Кратко суть концепции нулевого доверия можно описать так:
- в сети не существует доверенных сегментов и объектов;
- для доступа к ресурсам используется подход минимальных привилегий и явного разрешения;
- независимо от размещения ресурсов доступ к ним должен быть прозрачным и безопасным;
- весь трафик в ЦОД контролируется и анализируется.
Именно этот подход и позволяет реализовать VMware NSX. Каждую ВМ можно заключить в отдельный сегмент безопасности. Микросегментация, о которой мы говорили выше, реализует принципы «нулевого доверия» и обеспечивает высокий уровень защищенности для каждой рабочей нагрузки.
Не нужно быть аналитиком, чтобы понять, как сильно увеличилось количество кибератак за последние несколько месяцев. В связи с этим мы хотели бы напомнить вам, что обеспечение безопасности — комплексный процесс, и, даже выбирая надежного провайдера, нужно всегда быть начеку.Необходимо регулярно анализировать и повышать уровень защищенности корпоративных систем, изучать доступные на рынке средства и внедрять их в тех случаях, когда это соответствует целям и задачам вашего бизнеса.
