APK Blog - Virtualization, Services, Datacenter, Infrastructure

بهترین قابلیت‌ها و کاربردهای NSX Distributed IDS/IPS

اکثر افرادی که این مطلب را می‌خوانند، با VMware NSX به عنوان پلتفرمی برای امنیت داخلی دیتاسنتر، آشنایی دارند و می‌دانند که فایروال مبتنی بر سرویس NSX اپراتورهای امنیت و شبکه را قادر می‌سازد تا برای جایگزینی پیاده‌سازی‌های متمرکز و مبتنی بر سخت‌افزار، از راهکاری توزیعی (Distributed) و مبتنی بر نرم‌افزار استفاده کند. قابلیت سیستم شناسایی و پیشگیری از نفوذ یا IDS/IPS که با NSX-T 3.0 منتشر شد، قابلیت‌های امنیتی فایروال مبتنی بر سرویس را بهبود بخشیده و به اپراتورها امکان استفاده از چندین کاربرد اضافه را می‌دهد.

کاربردهای NSX Distributed IDS/IPS

  • دریافت سریع تطبیق‌پذیری مدیریتی (Regulatory Compliance): بسیاری از دیتاسنترها، برنامه‌های کاربردی حساس و لازم برای مواجهه با HIPAA و PCI-DSS و یا SOX را میزبانی می‌کنند. اپراتورهای امنیت و شبکه با استفاده از NSX می‌توانند از طریق فعال‌سازی IDS/IPS، علاوه بر فایروال برای هر بار کاری که به تطبیق‌پذیری نیاز داشته باشد نیز تطبیق‌پذیری به دست آوردند.
  • جایگزینی تجهیزات مجزای IDS/IPS: اپراتورهایی که شبکه‌های دیتاسنتر خود را مجازی‌سازی می‌کنند، می‌توانند تجهیزات متمرکز و مجزای IDS/IPS خود را با پیاده‌سازی توزیعی NSX جایگزین کنند. به علاوه در طی فرآیند، با NSX مدیریت IDS/IPS و فایروال را نیز تجمیع می‌کنند. از آن‌جایی که قابلیت‌های امنیتی NSX در Hypervisor جدا از بارهای کاری می‌باشند، مهاجمین نمی‌توانند آنها را دستکاری کنند.
  • پیاده‌سازی Zoneهای امنیت مجازی: برخی سازمان‌ها نیاز دارند که با شرکا، اتصالات مستقیم شبکه‌ای ایجاد کنند یا با واحدهای سازمان و شعب، به عنوان Tenantهای یک سازمان IT مرکزی برخورد کنند. اکنون اپراتورها می‌توانند از IDS/IPS و فایروال NSX استفاده کنند تا Zoneهای امنیت مجازی را در مرزهای سازمانی پیاده‌سازی کنند در حالی که این بارهای کاری را روی کلاسترهای Hypervisor فیزیکی یکسان تجمیع می‌کنند.
  • شناسایی حرکت جانبی تهدید: مهاجمین در دیتاسنتر از حرکت جانبی (Lateral Movement) استفاده می‌کنند تا به هدف خود برسند. NSX Distributed IDS/IPS مانند Distributed Firewall بر پورت منطقی هر بار کاری اعمال می‌گردد و مشتریان را قادر می‌سازد تا صرف‌نظر از اتصال شبکه، هر مرحله از حمله را شناسایی کنند.

مزایای فنی NSX Distributed IDS/IPS

در تضاد با تجهیزات قدیمی، پیاده‌سازی NSX IDS/IPS به صورت توزیعی و کاملا یکپارچه با زیرساخت مجازی‌سازی می‌باشد. این دو گزینه‌ی طراحی، منجر به چند مزیت فنی می‌شوند:

شرکت APK دارای مجرب ترین تیم طراحی شبکه و نخستین شرکت دانش محور در اجرای پروژه های انفورماتیکی کشور

جریان ترافیک بهینه

معمولا جریان‌های ترافیک دیتاسنتری که به بررسی IDS/IPS نیاز دارند به یکAppliance  متمرکز فرستاده شده و یا از آن بازمی‌گردد، همچنین یک الگوی Hair-Pin ایجاد کرده و منابع شبکه را در این فرآیند، به تکه‌های کوچکتر تقسیم می‌کند. پیاده‌سازی تجهیزات قدیمی و مبتنی بر شبکه‌ی IDS/IPS در محیط موجود، مستلزم طراحی مجدد معماری شبکه بوده و پس از پیاده‌سازی ابتدایی، ممکن است لازم باشد بعد از هر تغییری در پیکربندی شبکه‌ی IDS/IPS، هماهنگ‌سازی مجدد انجام شود. NSX می‌تواند Hair-Pinها را از بین برده و ترافیک شبکه را از طریق Co-locate نمودن بررسی IDS/IPS با منبع یا مقصد جریان ترافیک، بهینه‌سازی کند

کاربردهای NSX Distributed IDS/IPS
شکل 1. از بین بردن Hair-Pinهای ترافیک توسط NSX IDS/IPS

عدم وجود Bottleneck در ظرفیت بررسی

پیاده‌سازی‌های قدیمی ظرفیت بررسی محدودی در کلاسترهای IDS/IPS و فایروال دارند. این امر باعث می‌شود که سازمان‌ها مجبور شوند به طور مداوم میزان تجهیزات فیزیکی را در کلاسترهای خود افزایش داده یا  IDS/IPS را فقط برای ترافیک‌های مشخصی اعمال کنند. پیاده‌سازی NSX Distributed IDS/IPS از ظرفیت stranded در سرورهای موجود در دیتاسنتر استفاده می‌کند، بنابراین هیچگونه Bottleneckای برای ظرفیت بررسی وجود ندارد.

بررسی تمام ترافیک

محدودیت تجهیزات IDS/IPS درون‌برنامه‌ای یا فایروال‌های قدیمی تنها به حجم ترافیک قابل بررسی آن‌ها بستگی ندارد، بلکه به معماری شبکه بستگی دارد تا Packetها را از طریق آن‌ها هدایت کند. این بدین معناست که نمی‌توان IDS/IPS درون‌برنامه‌ای را به ترافیک بین بارهای کاری در VLAN یا بخش شبکه‌ی یکسان اعمال کرد. با پیاده‌سازی توزیعی NSX، می‌توان بررسی IDS/IPS را در مسیر هر جریان ترافیکی برای هر بار کاری قرار داد و از اپراتور برای ایجاد تهدید در بررسی ترافیک بی‌نیاز شده و توپولوژی شبکه را نیز تسهیل نمود.

توزیع Curated Signature و شناسایی تهدید مبتنی بر ساختار

تجهیزات شناسایی و پیشگیری از نفوذ شبکه‌ی قدیمی درک ساختاری بسیار کمی داشته و معمولا تمام ترافیک را با تمام Signatureها، صرف‌نظر از اینکه آیا این Signatureها با بارهای کاری پیاده‌سازی‌شده مرتبط هستند، تطبیق می‌دهند. این کمبود ساختار باعث می‌شود که تیم‌های امنیتی سخت‌تر بتوانند نویز را از رویدادهای حیاتی که نیاز به عملیات فوری دارند، تفکیک کنند. این اعمال گسترده‌ی Signatureها تاثیر مهم دیگری نیز روی عملکرد دارد. NSX Distributed IDS/IPS، از طریق ابزار VMware و چارچوب Guest Introspection، به بستری غنی درباره هر Guest دسترسی دارد و این بستر را برای رویدادهایی که امکان پاسخ‌دهی سریعتر دارند فراهم کرده، همچنین قابلیت فعال‌سازی گزینشی Signatureهای مرتبط به هر بار کاری را بر مبنای آنچه که در مورد بار کاری می‌دانیم، مقدر می‌سازد.

پشتیبانی از تحرک‌پذیری بار کاری

با IDS/IPS قدیمی، هیچ راه سریع و مستقیمی برای پیکربندی مجدد پالیسی‌های امنیتی برای بار کاری در حال انتقال (به خاطر vMotion) وجود ندارد. با NSX، وضعیت و پالیسی‌های امنیتی با ماشین مجازی (VM) بار کاری منتقل می‌شوند و در نتیجه، صرف‌نظر از اینکه VM به کجا انتقال می‌یابد، از ترافیک در حال ورود به به آن یا در حال خروج از آن، محافظت می‎شود. به علاوه، هیچ ترافیکی در حین انتقال Drop نمی‌شود.

مدیریت چرخه‌ی عمر پالیسی خودکار

پیاده‌سازی‌های قدیمی IDS/IPS از چرخه‌ی عمر برنامه‌های کاربردی تحت محافظت خود آگاه نیستند. بنابراین اپراتورهای امنیت و شبکه باید زمانی که بار کاری جدیدی ساخته می‌شود، به صورت دستی پالیسی‌های امنیتی جدیدی ایجاد نموده و زمانی که بار کاری از کار می‌افتد، این پالیسی‌ها نیاز به اصلاح و تغییر دارند. در NSX، با بهره‌گیری از گروه‌های Dynamic مبتنی بر Tagها، چرخه‌ی عمر یک پالیسی امنیتی مستقیما به چرخه‌ی عمر برنامه‌ی کاربردی گره خورده و مرتبط می‌گردد. زمانی که یک بار کاری پیاده‌سازی می‌گردد، پالیسی IDS/IPS و فایروال مناسب فورا و به صورت خودکار اعمال شده و زمانی که یک برنامه‌ی کاربردی از کار می‌افتد، گروه‌ها و قواعد برای پاسخ به آن هماهنگ می‌شوند. لازم به ذکر است که هیچ یک از این موارد به دستکاری پالیسی به صورت دستی، نیاز ندارند. این امر به میزان قابل توجهی زحمت پیکربندی مجدد و همچنین ریسک مرتبط با پیکربندی دستی را کاهش می‌دهد.

پیاده‌سازی NSX Distributed IDS/IPS اپراتورهای امنیت و شبکه را قادر می‌سازد تا عملیات و معماری شبکه را تسهیل کنند و از ظرفیت سرور درگیر، بهره ببرند. از آنجایی که صرف‌نظر از اتصال شبکه، IDS/IPS Distributed و فایروال مبتنی بر سرویس NSX به هر vNIC از هر بار کاری اعمال شده‌اند،  امنیت ژرف و عمیقی در Granularity یک بار کاری و نیز مقیاس دیتاسنتر مبتنی بر نرم‌افزار ارائه می‌کنند.

اشتراک ایمیل