Реальная защита виртуальных сетей

Реальная защита виртуальных сетей

Как минимизировать угрозы и контролировать виртуальную инфраструктуру

Palo Alto Networks предоставляет возможность защищать сети и высокоскоростными аппаратными устройствами, и виртуальными межсетевыми экранами из единой точки на основе системы управления Panorama. Весь богатый функционал обеспечения безопасности можно использовать внутри виртуальных сетей, и возможности сетей расширяются. Установка защиты выглядит так: достаточно скачать образ виртуального NGFW и запустить. Любой современный сервис безопасности можно развернуть в течение дня: VPN-шлюз, URL-фильтр, контроль приложений, IPS, антивирус, DLP, Threat Intelligence и др. Вы можете использовать все преимущества защиты в средах виртуализации: подключать сотрудников к вашей сети через межсетевой экран, что актуально в период коронавируса, когда все работают удаленно и подойти к физическому свитчу и воткнуть кабель в офисе просто некому. Еще одним плюсом является то, что межсетевой экран становится ближе к каждому виртуальному серверу: каждый исходящий или входящий пакет с виртуального интерфейса гипервизора сначала отправляется на проверку в средство защиты, а потом адресату. Эта возможность называется микросегментация. И надо сказать, что скорости современных виртуальных межсетевых устройств достигают 16Гбит/с благодаря технологиям SR-IOV и DPDK. Кроме того, вы можете масштабировать средства защиты, устанавливая их в необходимом количестве для покрытия всего объема трафика. Также средства виртуализации имеют встроенные средства автоматизации, такие как Terraform® и Ansible® – они тоже поддерживаются Palo Alto Networks через REST API.

Сетевые подключения в физической и в виртуальной сети. Сходства и различия.

Изображение выглядит как карта Автоматически созданное описание

В физической сети межсетевые экраны подключают в сеть как свитч (интерфейсами L2), как маршрутизатор (интерфейсами L3), как прозрачный кабель (двумя интерфейсами VWire) и как устройство в режиме прослушивания SPAN-порта (интерфейс TAP). Каждый NGFW имеет несколько портов, и каждый порт можно настроить в любом из этих четырех режимов. Также поддерживается агрегация каналов в etherchannel с поддержкой LACP и транковые порты с передачей тегов VLAN. Точно так же вы можете подключить и виртуальные NGFW, только с тем отличием, что вы подключаете виртуальные интерфейсы в виртуальные свитчи, которые реализованы гипервизором.

Виртуальный межсетевой экран работает как сервисная виртуальная машина на хосте виртуализации, и гипервизор перенаправляет сетевые пакеты в межсетевой экран для проверки. В SDN виртуальный NGFW инсталлируется как сервис.

Пример интеграции VM-series с VMware ESXi

Часто виртуальный NGFW используют для сегментации одновременно и виртуальной, и физической сети. Рассмотрим пример. На картинке ниже показана сегментация внутри одного виртуального сервера, где виртуальная сеть разделена на два VLAN с номерами 100 и 200, а NGFW выполняет роль свитча, контролирует безопасность и одновременно выполняет роль маршрутизатора в производственную сеть, которая находится вне сервера VMware ESXi. По такой схеме можно использовать виртуальный NGFW в удаленных филиалах и небольших компаниях. Виртуальный NGFW может иметь до 10 виртуальных интерфейсов, один из них используется для управления и подключается в сеть управления. Каждый NGFW имеет встроенную систему управления через любой браузер или командную строку и может работать без системы управления Panorama. Система управления каждого NGFW работает на выделенном процессоре и всегда доступна – межсетевой экран Palo Alto Networks нельзя вывести из строя большим потоком трафика на интерфейсы передачи данных.

Изображение выглядит как текст, карта Автоматически созданное описание

12 возможностей VM-серии NGFW

Серия виртуальных NGFW защищает ваши приложения и данные с помощью функций безопасности следующего поколения, которые обеспечивают детальную визуализацию, контроль и предотвращение угроз на уровне приложений. Функции автоматизации и централизованного управления позволяют встроить безопасность в ваш процесс разработки приложений как в приватном, так и в публичном ЦОД. Какие основные задачи решает виртуальный NGFW:

  1. Визуализация работы приложений для принятия решения по упорядочиванию их использования. VM NGFW определяет приложения на всех портах, что дает актуальную информацию о среде виртуализации и позволяет запрещать несанкционированные приложения.

  2. Применение сегментирования по белым спискам приложений для обеспечения безопасности и соответствия требованиям стандартов Центрального Банка, PCI DSS, GDPR, ФЗ-152. Современные хакеры легко проникают на рабочее место сотрудника, а затем перемещаются по корпоративной сети, подвергая риску критически важные приложения и конфиденциальные данные, где бы они ни были. Использование сегментирования и ограничения сотрудникам доступа по приложениям позволяет контролировать работу приложений в различных подсетях, блокировать перемещение злоумышленника между ними и обеспечивать соответствие нормативным требованиям.

  3. Предотвращение перемещения несанкционированных данных и приложений по открытым портам. Атаки, как и многие динамические приложения, могут использовать для подключения любой порт, что делает традиционные механизмы фильтрации по портам неэффективными. VM NGFW позволяет использовать защиту от угроз, разработанную Palo Alto Networks: антивирус, песочницу WildFire®, IPS, контроль DNS и блокирование передачи различных типов файлов.

  4. Контроль доступа к приложениям с помощью пользовательских аккаунтов и групп: интеграция с широким спектром систем, таких как Microsoft Exchange, Actve Directory® и LDAP, позволяет задать белый список приложений для конкретных пользователей в качестве дополнительного элемента политики безопасности.

  5. При развертывании на рабочих станциях и мобильных устройствах встроенного механизма GlobalProtect ™ возможно расширить корпоративные политики безопасности на удаленных пользователей независимо от их места работы: дома, в отеле или на даче.

  6. Panorama™ обеспечивает единое централизованное управление физической и виртуальной защитой в любых облачных средах. Удобные функции поиска и корреляции событий в едином централизованном хранилище журналов и создание отчетов обеспечивают визуализацию приложений, работы пользователей и контроля за обрабатываемыми файлами.

  7. Защита контейнеров для сред Kubernetes. VM NGFW защищает контейнеры, работающие в Google Kubernetes® Engine и Azure® Kubernetes Service, с той же подробной визуализацией и предотвращением угроз, как и в среде GCP® и Microsoft Azure. Защита контейнеризации дает возможность командам безопасности контролировать операции, блокировать несанкционированную активность и ускорить реагирование на потенциальные угрозы. IPS, WildFire и фильтрация URL-адресов могут быть использованы для защиты кластеров Kubernetes от известных и неизвестных угроз. Panorama позволяет автоматизировать обновления политик по мере добавления или удаления сервисов Kubernetes, обеспечивая безопасность в соответствии с постоянно меняющимися управляемыми средами Kubernetes.

  8. Автоматическое включение новых функций безопасности и обновления политик. VM-Series NGFW включает в себя несколько функций автоматизации, которые позволяют вам интегрировать безопасность в ваш процесс разработки приложений.

  9. Автоматическая настройка NGFW позволяет обеспечить межсетевой экран нужной конфигурацией и лицензиями, подключить устройство к системе Panorama для централизованного управления.

  10. Обновления политики безопасности при изменении сетевой среды возможны при использовании полностью документированного REST API и встроенных в NGFW динамических групп адресов (DAG). Любой NGFW в сети получает информацию о новых свойствах IP-адресов в виде тегов, и на их основе может динамически обновить политику безопасности. Участие администратора не требуется.

  11. Удобно использовать шаблоны настроек и сервисы провайдера облачных вычислений вместе со сторонними утилитами, такими как Terraform® и Ansible®, чтобы полностью автоматизировать развертывание VM NGFW и обновлять политики безопасности.

  12. Масштабируемость производительности и гарантированная доступность защиты в облаке. В виртуализации или облачных средах требования к масштабируемости и обеспечению доступности могут быть реализованы с использованием традиционного подхода с двумя устройствами в кластере или с контролем доступности на основе работы систем автоматизации самого облака. В публичных облаках мы рекомендуем использование облачных сервисов, таких как шлюзы приложений, балансировщики нагрузки и скрипты автоматизации для решения задач масштабируемости и доступности.

Скорость внедрения

Сейчас Palo Alto Networks предлагает бесплатно скачать и установить у себя виртуальный NGFW и настроить в нем сервис GlobalProtect, позволяющий сделать удаленное подключение для сотрудников через шлюз на базе IPSEC, SSL VPN и также бесклиентский VPN для доступа к внутренним приложениям через веб-браузер c поддержкой HTML5. Готовые конфигурации NGFW с готовыми настройками также предоставляются бесплатно на базе шаблонов конфигураций IronSkillet. Причем, вы получаете не просто VPN-шлюз, а полное средство защиты со всеми современными технологиями от лидера рынка безопасности: контроль используемых приложений у сотрудников, контроль категорий URL, анализ всех приложений на угрозы, включая проверку туннелей внутри SSL и SSH, анализ HTTP/2, антивирус, IPS, песочницу, анализ DNS и т.д. Функционал GlobalProtect HIP включает в себя контроль работы защиты локально на самих рабочих компьютерах. Дополнительный облачный сервис Prisma Access расширяет возможности заказчиков и позволяет масштабировать нагрузку и реализовать сервис подключения удаленных сотрудников в любой точке мира.

Межсетевые экраны поставляются как образ, который нужно скачать и запустить, либо установить через в Marketplace AWS, Azure и GCP.

Как получить образ межсетевого экрана и лицензию Вы можете узнать на сайте

Виртуальная система управления Panorama

Централизованная система управления Panorama выполняет две основные функции:
– хранение всех конфигураций всех межсетевых экранов (до 5000 NGFW на одну Panorama);

– хранение всех журналов всех межсетевых экранов (до 24 Тб на одну виртуальную Panorama).

Panorama выполняется в обоих форм-факторах: аппаратные модели M-200 и M-600 и как virtual appliance. Panorama может работать на Amazon Web Services (AWS), AWS GovCloud, Microsoft Azure, Google Cloud Platform (GCP), KVM, Hyper-V, VMware ESXi или VMware vCloud Air.

С чем интегрируется VM-series Palo Alto Networks NGFW

Для каждой модели и для каждого гипервизора системные требования нужно уточнять в документации. На май 2020 года требования указаны в таблице:

Системные требования

Модель

Гипервизор

VCPU

Минимум памяти

Минимум жесткий диск

VM-50

ESXi, Hyper-V, KVM

2

5.5GB

4.5GB in Lite mode

32GB (60GB at boot)

VM-100

VM-200

AWS, Azure, ESXi, Google Cloud Platform, Hyper-V, KVM, NSX-V, OCI, Alibaba Cloud, Cisco ACI, Cisco CSP, Cisco ENCS

NSX-T (VM-100)

2

6.5GB

60GB

VM-300

VM-1000-HV

AWS, Azure, ESXi, Google Cloud Platform, Hyper-V, KVM, NSX-V, OCI, Alibaba Cloud, Cisco ACI, Cisco CSP, Cisco ENCS, NSX-T (VM-300)

2, 4

9GB

60GB

VM-500

AWS, Azure, ESXi, Google Cloud Platform, Hyper-V, KVM, NSX-V, OCI, Alibaba Cloud, Cisco ACI, Cisco CSP, NSX-T

2, 4, 8

16GB

60GB

VM-700

AWS, Azure, ESXi, Google Cloud Platform, Hyper-V, KVM, OCI, Alibaba Cloud, Cisco ACI, Cisco CSP, NSX-T

2, 4, 8, 16

56GB

60GB

В настоящий момент многие организации перевели своих сотрудников в режим удаленного доступа, а это означает, что IT-службы компаний должны обеспечить безопасность работы домашних ПК своих специалистов и защитить их от кибератак.

Palo Alto Networks подготовила сразу два бесплатных сервиса, которые помогут компаниям оперативно и быстро справиться с новыми задачами по предоставлению возможности защищенной удаленной работы для сотрудников:

– Виртуальный межсетевой экран NGFW VM-Series для организации удаленного доступа сотрудников по VPN (IPSEC или SSL) на 30/60 дней.

– Бесплатная подписка для защиты работы со смартфонов iOS, Android на 90 дней – Global Protect

Получить подробности об акции вы можете на сайте

Наш канал защищен лучше, чем ваш компьютер!

Но доступ к знаниям открыт для всех

Получите root-права на безопасность — подпишитесь