אבטחת מידע ב-Software Defined Data Center

סביבת מחשוב ענן בנויה בתצורה בה שרתים ויישומים וירטואליים שונים, עם רמות סיכון שונות, שוכנים על אותו שרת פיזי ויכולים לתקשר עם שרתים ויישומים אחרים על אותו השרת. חלק גדול מהתעבורה נע בכיוון ״מזרח-מערב״, כלומר – ממכונה וירטואלית אחת לשנייה. תעבורת מזרח-מערב זאת יש לאבטח.

תפיסת אבטחת רשת מסורתית, הכוללת Network Security Appliances הפזורים ברשת הפיזית ויודעים לעשות עבודה טובה עבור הרשת הנעה בכיוונים ״צפון-דרום״ – זאת תעבורת הרשת אשר נעה מהשרת הפיזי המארח את הסביבות הווירטואליות, למרכז הרשת – ה-Core. בתצורה זו, הרי שתעבורת ה-"מזרח-מערב" אינה עוברת כלל דרך שכבת האבטחה הזו, ולמעשה אינה מוגנת ואינה נבדקת.

קיימים פתרונות הפותרים בעיה זו באמצעות שכבת הרשת. כך ניתן באמצעות VLANs ו-VXLANs לפתור זאת, אולם הפתרון מורכב מאוד ואינו ישים בפועל בארגוני אנטרפרייז.

פתרונות האבטחה הייעודיים לסביבות וירטואליות הקיימים כיום מבוססים על תפיסות Legacy, כגון Layer-4 Firewall ו-IPS בלבד. אלה יודעים במקרה הטוב לבדוק פורטים וכתובות IP, וכן חתימות של התקפות ידועות מראש. פתרונות אבטחה אלה פשוט אינם מתאימים להתקפות המודרניות שאנו רואים כיום, בעיקר לאלה המכונות APTs.

אתגר נוסף בעולם הווירטואלי הינו הקלות והדינמיות שבה ניתן להוסיף שרת וירטואלי חדש (על פי הצורך), לדלג שרת וירטואלי בין שרתים מארחים שונים וכו׳… לרוב לבצע זאת לוקח דקות בודדות, אולם אז נדרש להוסיף את חוקי האבטחה בצורה ידנית וסטטית לשכבת ה-Network Security, תהליך שבארגונים גדולים יכול לקחת גם שבועות, בעיקר כתוצאה מהתהליך הבירוקרטי הנדרש לאישור, ביצוע וכו׳.

בשורה התחתונה אנו רואים כי במרבית ארגוני האנטרפרייז שכבת ה-Network Security הופכת לגורם אשר מעכב ופוגע בסביבות השרתים הווירטואליות והדינמיות, ולארגון קשה ליישם את מדיניות האבטחה שלו ללא תשלום ״קנס״.

זאת הסיבה ש-Palo Alto Networks החליטה לשתף פעולה באופן אסטרטגי עם VMware וכן עם חברות וירטואליזציה ו-Cloud נוספות כדי לתת מענה מתאים לאתגרים הללו.

לפני מספר שבועות הכרזנו על אינטגרציה מלאה עם VMware NSX, באמצעות מודל ייחודי של הפלטפורמה שלנו – HV-1000-VM, אשר תוכנן ייעודית עבור פלטפורמת ה-NSX של VMware. מודל זה יודע גם לעבוד בתצורת Standalone עם VMware ESXi וכן עם Citrix SDX.

תודות לאינטגרציה זו אנו יודעים להביא את יכולות ה-Next Generation Network Security שלנו לעולם הווירטואלי, תוך התממשקות מלאה ליכולות הניהול הקיימות בעולם הווירטואלי, בדגש על יכולות הניהול של VMware vSphere ו-NSX Manager. יכולות הניהול הללו מאפשרות ניהול חוקת אבטחה שמבוססת ב- 100% על ה-Context והמידע המגיע מ-VMware, כך שכל שרת וירטואלי חדש וכל מיגרציה של שרת בין סביבות וירטואליות מקבל באופן אוטומטי את חוקת האבטחה הרלוונטית אליו, בהתבסס על קונפיגורצית VMware, ללא צורך בעדכון והגדרת חוקי אבטחה ידניים וללא צורך בהגדרות מבוססות IP ו-Ports.

מדוע היכולות הללו מהותיות עבור השוק?

בפעם הראשונה ניתן להפעיל את אותה רמת אבטחה שידענו לתת בעולם הפיזי בסביבות וירטואליות ובסביבות Cloud. כל פלטפורמות הווירטואל שלנו מריצות את אותה מערכת הפעלה OS-PAN שלנו, ללא יוצא מן הכלל. יכולות ה-Safe Application Enablement וה-Advanced Threat Prevention שהכרתם ממערכות ההגנה הפיזיות שלנו פועלות בצורה זהה גם כאן, ולמעשה מאפשרות גם הפעלת Security Policy אחד ויחיד, הן עבור סביבות הווירטואל והן עבור הסביבות הפיזיות, וכן חוקה אחת עבור כל יכולות ההגנה, ללא צורך בהגדרות נפרדת עבור Firewall, Application, IPS, אנטי וירוס, ,Sandbox וכו׳…

הדרך האלגנטית בה יישמנו את הפתרון מאפשר הפרדת רשויות אמיתית בצד הניהול. אנשי האבטחה וה-IT מנהלים חוקי אבטחה המבוססים על אפליקציות, משתמשים ותוכן, אשר חלים על אובייקטים של VMware. בעוד מנהלי השרתים הווירטואליים ומנהלי ה-Cloud מגדירים את הרכיבים הווירטואליים בכלי ה-Context של VMware, השאר מבוצע באופן אוטומטי באמצעותנו. בצורה זו אין התנגשות בין ניהול הסביבה הווירטואלית לניהול חוקי האבטחה – המערכת דואגת לאינטגרציה ביניהם באופן אוטומטי.

אנו מזמינים אתכם ללמוד עוד אודות האינטגרציה שלנו עם VMware ויצרנים נוספים כאן.