Flytte virtualisering fra servere til nettverket: Distribuerte brannmurer

En av VMwares store kunngjøringer på VMworld handlet om det neste store trinnet i virtualisering - NSX (nettverks- og sikkerhetsvirtualisering). NSX tar den virtuelle maskinmodellen opp til nettverksnivå. Jeg hadde nylig en sjanse til å få tak i Brad Hedlund, ingeniørarkitekt i VMware Networking and Security Business Unit (NSBU), som ga en introduksjon til virtuelle nettverk - og distribuerte brannmurer spesielt.

Programvare-definerte

"Når du har opprettet den virtuelle maskinen, har du grunnleggende endret driftsmodellen for databehandling i datasenteret, så vi tror at vi med NSX og det virtuelle nettverket vil kunne gjøre det samme for nettverksbygging, " sier Hedlund. "Vi vil kunne behandle et helt virtuelt nettverk som en helhetlig abstraksjon som kan distribueres på toppen av all maskinvare. Det er virkelig et programvaredrevet system med APIer. Så en del av det virtuelle nettverket, selvfølgelig, er sikkerhet, ikke sant? Så applikasjoner kan komme i alle former, størrelser og topologier. ”

Distribuerte brannmurer fungerer godt med å sikre trafikkstrømmer fra ett nettverksnivå til et annet i flerlagsapplikasjoner. Figur A viser en oversikt over distribuerte brannmurer:

Figur A

Distribuerte brannmurer

Fra fysisk brannmur til virtuell brannmur

"Det vi har gjort tidligere, er at vi bruker det vi vet for å gi sikkerhet, og det er en brannmur, " sier Hedlund. "Det er et apparat med porter på, og du kobler det til en bryter et sted og arkitekterer nettverket for å styre trafikken gjennom brannmuren for å komme fra et nivå til det neste."

I følge Hedlund er den neste iterasjonen av brannmuren den virtuelle brannmuren. “Du tar det som var den fysiske boksen med fysiske porter og gjør den til en virtuell maskin. Det er i utgangspunktet den samme typen ting, en brannmur som jeg trenger å administrere, men det er en virtuell maskin. Så vi har fortsatt behov for å styre trafikk gjennom den virtuelle brannmuren, og det er en nettverksarkitekturhensyn. Utfordringer som må løses er hvordan du konfigurerer og distribuerer nettverket for å distribuere trafikk gjennom disse brannmurene. "

VMware tar sikte på å endre gjeldende status quo med NSX, virtuelle nettverk og sikkerhet ved å endre måten sikkerheten blir distribuert for applikasjoner i datasenteret, spesielt når du prøver å sikre trafikk som går fra et nivå til et annet i applikasjoner.

"Vi pleier å ringe denne øst / vest-trafikken når du har fått trafikk fra server til server for å oppfylle backend av applikasjonen. At øst / vest-trafikken er akkurat der vi ser den distribuerte brannmuren spille, sier Hedlund. “Du har også nord / sør-trafikk i datasenteret. Det kommer vanligvis fra klienten til fronten av applikasjonen og kanskje en webserver av noe slag. Det er definitivt en rolle for en brannmur der som en omkretsbrannmur i utkanten av applikasjonen og berører omverdenen. Vi ser fortsatt rollen som en tradisjonell virtuell eller fysisk brannmur som passer der. ”

I utgangspunktet styrer du trafikken gjennom en virtuell brannmur med en distribuert brannmur for å få øst / vest sikkerhet. Distribuerte brannmurer implementerer brannmur-sikkerhet rett ved hypervisoren der du kobler til de virtuelle maskinene.

Når en virtuell maskin sender en pakke til en annen virtuell maskin - før den går hvor som helst, eller til og med berører nettverket, er den i stand til å implementere brannmur-sikkerhet på tvers av alle hypervisorene. Sikkerhetspolicyer styres sentralt og skyves til alle hypervisorer.

"Så du har ikke disse choke-poengene lenger, og du trenger ikke å bekymre deg for størrelsen og ytelsen til en bestemt virtuell eller fysisk brannmur fordi brannmuren og prosessene er rett i utkanten av der de virtuelle maskinene er og du har ikke en brannmur- ting, en enhet å administrere og ta vare på, sier Hedlund.

Denne modellen gjør brannmuren til en enkel å administrere tjeneste. Hedlund sier: "Du beskriver i utgangspunktet sikkerheten du ønsker fra et nivå til det neste, og du har egentlig ikke en enhet, det være seg fysisk eller virtuell, som du trenger å konfigurere og ta vare på i livssyklusen til miljøet."

Forenkle distribusjon av applikasjoner

"Dette kommer til å forenkle måten du distribuerer en applikasjon, " hevder Hedlund.

For øyeblikket, når du distribuerer et program, konfigurerer du sikkerhet som en del av applikasjonstopologien fra ett sett virtuelle maskiner til et annet sett med virtuelle maskiner ved å plassere en brannmur i midten av de to virtuelle maskinene.

Å bruke den slags skyadministrasjonsportalen som en virtuell brannmur gir, er mye mer å foretrekke enn å implementere en virtuell eller fysisk brannmur for sikkerhet og deretter styre trafikken gjennom den. Det er nesten pek- og klikk-kontroll når du setter protokoller mellom applikasjon og webservere. Slik forenklet ledelse kan ha fordypende fordeler på tvers av et prosjekt- og / eller operasjonsteam.

Distribuerte brannmurer gir også bedre ytelse og forenklet applikasjonsarkitektur, som bidrar til kostnadsbesparelser.

Trafikkstyring

Distribuerte brannmurer forenkler trafikkstyringen i stor grad sammenlignet med hvordan det gjøres i tradisjonelle nettverksarkitekturer.

"Når du implementerer sikkerhetspolitikken programmatisk på kanten av hypervisoren, på det tidspunktet, trenger du ikke å styre trafikken lenger, " ifølge Hedlund. "For når pakken forlater hypervisoren og treffer den første nettverksbryteren, har den allerede vært gjennom brannmuren, og vi trenger ikke å skyve pakken rundt til en brannmur et sted fordi vi allerede har implementert sikkerhetspolitikken."

Konklusjon

Kunder kan omfatte distribuert brannmurteknologi når de distribuerer nye applikasjoner foran under beslutninger om kapasitetsplanlegging. Distribuerte brannmurer distribuert programmatisk i SDN-arkitektur betyr at det vil være mindre sjanse for feil ved distribusjon av en policy. De forenkler også bevegelige applikasjoner i katastrofegjenoppretting og andre applikasjonsmigrasjonsscenarier. Når du distribuerer virtuelle maskiner, blir konfigurasjonen brukt implisitt med mindre rom for menneskelige feil rundt. Hedlund ser færre fysiske brannmurer i fremtiden, men de vil gjøre det de gjør best, og håndtere trafikk i omkretsen, ikke mellom nettverksnivå.

Se også :
  • Fem ting fra VMworld som vil endre datasenteret (Rick Vanover)
  • Konsekvensene av å virtualisere hvert eneste hjul (Chris Duckett)




© Copyright 2021 | pepebotifarra.com