לקראת אירוע | אבטחת מידע ב-Software Defined Data Center
מאת: רוני דוקט
בסביבות Cloud Computing, בהן שרתים ואפליקציות וירטואליות שונות, עם רמות סיכון שונות שוכנים על אותו שרת פיזי ויכולים לתקשר עם שרתים ואפליקציות אחרים על אותו השרת, חלק גדול מהתעבורה נע בכיוון ״מזרח-מערב״, כלומר ממכונה וירטואלית אחת לשניה. תעבורת מזרח-מערב זאת יש לאבטח.
תפיסת אבטחת רשת מסורתית, הכוללת Network Security Appliances הפזורים ברשת הפיזית, יודעים לעשות עבודה טובה עבור הרשת הנעה בכיוונים ״צפון-דרום״ – זאת תעבורת הרשת אשר נעה מהשרת הפיזי המארח את הסביבות הוירטואליות, אל מרכז הרשת – ה-Core. בתצורה זו הרי שתעבורת ה-מזרח-מערב אינה עוברת כלל דרך שכבת האבטחה הזו, ולמעשה אינה מוגנת ואינה נבדקת.
קיימים פתרונות הפותרים בעיה זו באמצעות שכבת הרשת, כך ניתן באמצעות VLANs ו-VXLANs לפתור זאת, אולם הפתרון הוא מורכב מאוד ואינו ישים בפועל בארגוני Enterprise.
פתרונות האבטחה הייעודים לסביבות וירטואליות הקיימים כיום מבוססים על תפיסות Legacy כגון Layer-4 Firewall ו-IPS בלבד. אלו יודעים במקרה הטוב לבדוק פורטים וכתובות IP וכן חתימות של התקפות ידועות מראש. פתרונות אבטחה אלו פשוט אינם מתאימים להתקפות המודרניות שאנו רואים כיום, בעיקר לאלו המכונים APTs.
אתגר נוסף המתווסף לעולם הוירטואלי הינה הקלות והדינמיות שבה ניתן להוסיף שרת וירטואלי חדש (עפ״י הצורך), לדלג שרת וירטואלי בין שרתים מארחים שונים וכו׳. לרוב לבצע זאת לוקח דקות בודדות, אולם אז נדרש להוסיף את חוקי האבטחה בצורה ידנית וסטטית לשכבת ה-Network Security, תהליך אשר בארגונים גדולים יכול לקחת גם שבועות, בעיקר כתוצאה מהתהליך הבירוקרטי הנדרש לאישור, ביצוע וכו׳.
בשורה התחתונה אנו רואים כי במרבית ארגוני ה-Enterprise שכבת ה-Network Security הופכת לגורם אשר מעכב ופוגע בסביבות השרתים הוירטואליות והדינמיות, ולארגון קשה ליישם את מדיניות האבטחה שלו ללא תשלום ״קנס״.
זאת הסיבה שחברת Palo Alto Networks החליטה לשתף פעולה באופן אסטרטגי עם חברת VMware וכן עם חברות וירטואליזציה ו-Cloud נוספות, כדי לתת מענה מתאים לאתגרים הללו.
לפני מספר שבועות הכרזנו על אינטגרציה מלאה עם VMware NSX, באמצעות מודל ייחודי של הפלטפורמה שלנו – HV-1000-VM אשר תוכנן ייעודית עבור פלטפורמת ה-NSX של VMware. מודל זה יודע גם לעבוד בתצורת Standalone עם VMware ESXi וכן עם Citrix SDX.
תודות לאינטגרציה הנ״ל אנו יודעים להביא את יכולות ה- Next Generation Network Security שלנו לעולם הוירטואלי, תוך התממשקות מלאה ליכולות הניהול הקיימות בעולם הוירטואלי, בדגש על יכולות הניהול של VMware vSphere ו-NSX Manager. יכולות הניהול הללו מאפשרות ניהול חוקת אבטחה אשר מבוססת ב- 100% על ה-context והמידע המגיע מ-VMware, כך שכל שרת וירטואלי חדש וכל migration של שרת בין סביבות וירטואליות מקבל באופן אוטומטי את חוקת האבטחה הרלוונטית אליו, בהתבסס על קונפיגורצית VMware, ללא צורך בעדכון והגדרת חוקי אבטחה ידניים וללא צורך בהגדרות מבוססות IP ו-Ports.
מדוע היכולות הללו מהותיות עבור השוק?
בפעם הראשונה ניתן להפעיל את אותה רמת אבטחה שידענו לתת בעולם הפיזי בסביבות וירטואליות ובסביבות Cloud. כל פלטפורמות הוירטואל שלנו מריצות את אותה מערכת הפעלה OS-PAN שלנו, ללא יוצא מן הכלל. יכולות ה-Safe Application Enablement ו-Advanced Threat Prevention שהכרתם ממערכות ההגנה הפיזיות שלנו פועלות בצורה זהה גם כאן, ולמעשה מאפשרות גם הפעלת Security Policy אחד ויחיד, הן עבור סביבות הוירטואל והסביבות הפיזיות, וכן חוקה אחת עבור כל יכולות ההגנה, ללא צורך בהגדרות נפרדת עבור Firewall, Application, IPS, AntiVirus, Sandbox וכו׳.
הדרך האלגנטית בה יישמנו את הפתרון מאפשר הפרדת רשויות אמיתית בצד הניהול. אנשי האבטחה וה-IT מנהלים חוקי אבטחה המבוססים על אפליקציות, משתמשים ותוכן, אשר חלים על אובייקטים של VMware ,בעוד מנהלי השרתים הוירטואלים ומנהלי ה-Cloud מגדירים את הרכיבים הוירטואלים בכלי ה-Context של VMware (כמו Tags, Containers) – השאר מבוצע באופן אוטומטי באמצעותנו. בצורה זו אין התנגשות בין ניהול הסביבה הוירטואלית לבין ניהול חוקי האבטחה – המערכת דואגת לאינטגרציה ביניהם באופן אוטומטי.
אנו מזמינים אתכם ללמוד עוד אודות האינטגרציה שלנו עם VMware ויצרנים נוספים כאן – www.PaloAltoNetworks.com/vmware
בברכה
רוני דוקט הוא מהנדס מערכות ב-Palo Alto Networks