Innovation in IT Distribution Technology, Services & Solutions

Juniper vGW (Altor)

Jueves 16 Junio 2011

Iigo Serna 608 274287

inigo.serna@magirus.com

Agenda
o o o

Introduccin conceptos virtualizacin Presentacin tecnologa Juniper vGW / Altor Juniper vGW: Caractersticas Arquitectura Licenciamiento Laboratorios: Preparacin del entorno VMware vSphere Instalacin consola: vGW Security Design Instalacin gateways Configuracin general Detalle de las funcionalidades

Introduccin conceptos de virtualizacin

Virtualizacin I
VMware encapsula el software y lo independiza del hardware.

Enterprise App
Operating System Operating System
VMware Virtualization

Virtualizacin II

Beneficios de la virtualizacin
Comparticin de Recursos Aislamiento

Ejecutar diversas mquinas virtuales en un mismo servidor fsico

Cada Mquina Virtual est aislada del resto de VMs que ejecutan en el mismo servidor

Encapsulacin

Independencia Hardware

La mquina virtual completa se almacena en ficheros que se pueden mover y copiar

Ejecutar una mquina virtual en cualquier servidor sin modificacin

Algunos conceptos bsicos I

o

Host vs. Guest Host: servidor fsico, ESX Guest: mquina virtual, VM Hipervisor Motor de la virtualizacin, es la capa que regula las comunicaciones entre las VMs y el hardware fsico Es quien reparte los recursos vCenter Consola de gestin centralizada de la infraestructura de virtualizacin en VMware ESX vs. ESXi ESX incluye Service Console ESX desaparece

Algunos conceptos bsicos II

o

Datastore Almacenamiento que utiliza VMware para VMs y plantillas Puede ser discos internos del host o, ms habitual, cabinas de almacenamiento externo (SAN, iSCSI, NFS) vmdk Disco duro de la VM No es ms que un fichero que se encuentra en el datastore donde reside la VM vMotion Migracin en caliente (sin prdida de servicio) de la ejecucin de una VM de un host a otro No confundir con Storage vMotion

Networking: virtual switch

Network configuration at the host level

service console
vNICs ports and port groups vSwitches physical NICs physical switches
VMotion Port VM Port Group VMotion Port VM Port Group SC Port

Virtual Physical

Host

Host

Networking: distributed virtual switch

distributed ports and port groups distributed switch (control plane)

VMotion Port Group

Virtual Machine Port Group

Service Console Port Group

vCenter Server

service console
vNICs hidden vSwitches (I/O plane) physical NICs (uplinks) physical switches virtual physical

Host 1

Host 2

VMSafe
o

VMSafe es un API pblico que ofrece VMware Abierto a fabricantes de seguridad, no al pblico en general Posibilita que aplicaciones externas puedan colaborar con el hipervisor en el anlisis de los recursos que estn utilizando las VMs Funcionalidades en 3 mbitos: vCompute (CPU and Memory) vNetwork Appliance (DVFilter) VDDK API (for disk block inspection) Ms informacin en:

http://blogs.vmware.com/vcloud/2010/04/what-actually-is-vmsafe-and-the-vmsafe-api.html

Juniper vGW / Altor

Un cambio de paradigma, I

Un cambio de paradigma, II

Pero... quin gestiona la seguridad de la infraestructura virtual?

Departamento Sistemas

Departamento Seguridad y comunicaciones

Pero... quin gestiona la seguridad de la infraestructura virtual?

Soluciones parciales y muy mejorables I

o

Aislamiento fsico
o o o

utilizar diferentes ESX, tarjetas de red, etc. coste alto, escasa escalabilidad, mal rendimiento se pierden gran parte de los beneficios de la virtualizacin se encamina el trfico fuera de los ESX para controlarlo alta complejidad, mucha latencia agentes software en el interior de las VMs crticas poco rendimiento, gestin muy compleja, no muy escalable gestin ineficiente, poca o nula integracin con vCenter en ocasiones no soportan funcionalidades como vMotion, DRS bajo rendimiento nula visibilidad del trfico interno entre VMs disponibilidad limitada, no mdulos de HA

Segmentacin a nivel de vlan

o o

Firewalls internos
o o

Otras soluciones de firewall para entornos virtuales

o o o o o

Soluciones parciales y muy mejorables II

Requisitos de un firewall en entornos virtualizados Proteccin del Hipervisor

o o

Nuevo vector de ataque, que hay que proteger adecuadamente Se han de monitorizar los intentos de conexin al mismo

Soporte de migracin de VM en caliente

o o

Es segura la red hacia donde se migran las VMs? Se ha de permitir esta migracin, pero asegurando el perfil de seguridad de la VM

Compliance
o o o

Aislamiento de VMs, Control de Accesos, Auditing, etc. Quin es el encargado de la seguridad dentro de la red virtual? Seguimiento de los perfiles de seguridad de las VMs

Requisitos de un firewall en entornos virtualizados, II

Una solucin mejor: integracin con el hipervisor

VMSafe es un API y un programa de partnership que ofrece VMware para la integracin de soluciones de seguridad de terceros con su hipervisor
o o

Inspeccin de CPU y memoria Almacenamiento o Posibilidad de montar y leer discos virtuales (VMDK) Redes o Inspeccionar todo el trfico E/S del host o Posibilidad de interceptar, ver, modificar y replicar trfico de una o todas las VMs o Proteccin inline o pasiva o 2 modos: o Kernel Module (Fast-Path) o VM Agents (Slow-Path)

Juniper adquiere Altor Networks El 6 de diciembre de 2010 Juniper Networks anuncia

la adquisicin de Altor Networks. Altor ofrece soluciones de seguridad avanzada para entornos virtuales, algo que va ms all de simples firewalls virtuales. Los productos de Altor pasan a denominarse a partir de entonces Virtual Gateways (vGW) y a integrarse en la filosofa de seguridad de Juniper para el DataCenter.

Seguridad del DataCenter con Juniper

Juniper Virtual Gateways

Caractersticas vGW
Funcionalidades principales de vGW:
o o o o o

Firewall virtual stateful e IDS Monitorizacin de trfico entre y a / desde VMs Introspeccin de VMs Grupos inteligentes Monitorizacin del compliance y enforcement (cuarentena) para VMs Reporting

Para infraestructuras virtuales:

o o o o

VMware vSphere (4.0 y 4.1), VI (3.5) Microsoft Hyper-V Citrix XenServer RedHat KVM

Integracin con VMware vSphere

o o o o

Stateful firewall e IDS integrado Protege tanto VMs como hipervisor VMSafe certified Se integra y comunica con vCenter

Fcil gestin

o o o

Compatible con vMotion, HA, FT Altsimo rendimiento Escalabilidad asegurada:

1000+ ESX Auto Secure detecta y protege VMs nuevas Polticas flexibles, se pueden aplicar a diferentes niveles: zona, VM Group, VM individual, vApp, puerto, protocolo, estado de seguridad

Defensa avanzada, granular y por capas:

Rendimiento

Funcionalidades: Firewall e IDS

o o o o

Firewall virtual de tipo stateful inspection IDS Proteccin de VMs y del hipervisor Alto rendimiento, velocidad casi nativa

el filtrado se realiza en el hipervisor no hay cambios de contexto >10 Gbps de throughput zona, VM Group, VM individual, vApp, puerto, protocolo, estado de seguridad se evitan ataques de mquinas rogue las nuevas VMs heredan la poltica de seguridad de su padre

Polticas flexibles, a diferentes niveles:

Poltica por defecto para nuevas VMs

o o o

Las conexiones activas no se pierden con vMotion Posibilidad de HA del mdulo cortafuegos Sincronizacin de zonas con firewalls fsicos Juniper SRX

Funcionalidades: Visibilidad del trfico interno

Monitorizacin completa del trfico entre y a / desde VMs

Funcionalidades: Introspeccin VMs

Virtual Machine Introspection (VMI) es una tecnologa que posibilita inspeccionar el interior de VMs desde el hipervisor, sin necesidad de agentes (slo MS Windows por ahora)

permite obtener informacin de VMs, seguridad de las redes virtuales y configuraciones del entorno virtual dentro de las VMs, recoge datos acerca del estado de las mismas, sistema operativo, nivel de parcheado y aplicaciones instaladas

Esta informacin se puede utilizar en la configuracin de reglas de seguridad avanzadas en vGW

Funcionalidades: Grupos inteligentes, I vGW Smart Group

o

Esta funcionalidad permite la creacin de polticas de seguridad tan detalladas como se desee, combinando parmetros extraidos de la base de datos de la infraestructura virtual e informacin de las VMs Se pueden asociar grupos de polticas dinmicas a VMs o grupos de VMs Cuando se aprovisionan nuevas VMs se realiza un anlisis de las polticas y sus condiciones existentes de tal modo que se le aplican manera dinmica y automtica aquellas polticas que corresponda. De este modo se eliminan errores humanos en las configuraciones

Por ejemplo, si se crea una nueva VM con Windows e IIS que se conecta al vSwitch port-group 22, se le aplicara automticamente la poltica Dep. Financiero, Servidores Web

Funcionalidades: Grupos inteligentes, II

Funcionalidades: Compliance, I

Configuracin de reglas de compliance

Funcionalidades: Compliance, II

Verificacin del grado de cumplimiento

Funcionalidades: Gestin, I
o

Consola web de gestin centralizada

basado en un virtual appliance dashboard con visin en tiempo real instalacin inicial basada en un asistente interface sencillo y efectivo admite gestin delegada logs, informes y alertas

Diseado pensando en la resiliencia y escalabilidad de la solucin

o

consola slo necesaria para crear o modificar polticas, p.e. no tiene que estar levantada para vMotion de VMs posibilidad de HA un hilo de firewall por VM poltica por VM, no una nica regla monoltica para todo el sistema

Los logs y eventos pueden ser tratados en el exterior

o

Netflow v9 vNet visibility Syslog Firewall and System Logs

Funcionalidades: Gestin, II
Integracin con vCenter
o

Sincronizacin automtica

se extra el inventario completo desde el vCenter se notifica cualquier modificacin en VMs o en el resto de la infraestructura virtual para que la configuracin permanezca coherente las direcciones IP o MAC pueden llevar a equvocos diferenciacin entre VMs y sus clones Necesario para vMotion, cambios en DHCP, etc asegura la coherencia de la configuracin: asociaciones a redes, etc previene puertas traseras como VMCI se puede incluso desplegar firewalls de modo programado simplicacin de la gestin

Se identifica las VMs por su UUID

Se valida la configuracin

Despliegue automtico

Funcionalidades: Gestin, III Automatizacin

Integracin de la seguridad en los procedimientos de aprovisionamiento de VMs
o o

Automatizacin de polticas

administracin delegada gestin de polticas Multi-Tenant control programado de las polticas de seguridad control programado de las polticas de seguridad APIs para todas las funciones documentacin completa ejemplos mediante scripts en Python portal web: ejemplo de delegacin de responsabilidades a usuarios

API basado en XML-RPC

Arquitectura
4 componentes
o

vGW Security Design

consola de gestin y motor de informes virtual appliance solamente necesario 1 por entorno soporta vMotion, VMware HA, etc puede estar en HA motor de seguridad virtual appliance 1* por host, no tiene sentido vMotion, VMware HA... 2 tipos o modo bridge o modo VMSafe nicamente en modo VMSafe es quien realiza el filtrado

Secure Gateway, SGW

Mdulo en el hipervisor

Interface de gestin Web

Arquitectura: Modo bridge (no VMSafe)

o

Para versiones antiguas de VMware (v3.5) y otros fabricantes de soluciones de virtualizacin No hay integracin con el hipervisor

no soporta todas las caractersticas mucho menor rendimiento modo transparente protege port groups, no VMs individuales proteccin trfico entre VMs del mismo grupo por TCP RST se requiere un SGW por cada vSwitch a securizar en cada host

Separa 2 virtual-switches

Arquitectura: Modo VMSafe

o o

Para VMware vSphere (v4.0 y v4.1) Es la modalidad a utilizar siempre que sea posible Instala un mdulo en el hipervisor

utiliza el API de VMSafe rendimiento muy alto

visibilidad de todo el trfico todos los protocolos todas las VMs transparente para las VMs

o o

Soporta caractersticas avanzadas Se requiere un nico SGW por host

Licenciamiento
Similar a otras soluciones del CPD: por sockets Ejemplo
o

Entorno VMware vSphere con

5 servidores ESX de 2 CPUs quadcore Aproximadamente 170 VMs

Productos:

Referencias y precio PVP orientativo

ALTOR-CENTER-1 ALTOR-SVM-ADD-10 Central management center Security VM License for 10 CPU Sockets 4500 EUR 27000 EUR 810 EUR 4860 EUR 3600 EUR

Mantenimiento 1 ao:

SVC-COR-VSEC-CENTER-1 Juniper Care Core Support for Management SVC-COR-SVM-ADD-10 ALTOR-IDS-ADD-10 Juniper Care Core Support for SVM 10 sockets One year IDS subscription for 10 CPU Sockets

Subscripcin IPS 1 ao (opcional):

Opcional:

HA para consola, HA para SVM

Reconocimiento de la industria
o o o

Primer firewall diseado especficamente para entornos virtuales Certificacin VMware VMSafe Pendiente de 5 patentes

Juniper vGW. Resumen

Visibilidad Cumplimiento Control

Anexo A. Requerimientos
o

Conectividad

DNS y NTP abierto para todos los componentes TCP 443 y 8443 entre el vGW Security Design y los SVG TCP 902 entre vGW Security Design y los ESX/ESXi Tamao comprimido en formato virtual appliance .ovf: aprox. 250 MB Tamao de los discos virtuales:
o o

vGW Security Design

Sistema operativo: 2 GB Security Design vGW database: configurable, 4-75 GB

RAM: mx. 3 GB Tamao comprimido en formato virtual appliance .ovf: aprox. 175 MB Tamao de la VM: 900 MB RAM: mx. 385 MB

vGW Secure Gateway

Anexo B. Algunas notas tcnicas de inters I

o

El producto se distribuye como virtual appliances

en 2 empaquetamientos diferentes

bundle (combo) individuales (components) archivos .ovf a importar en el vCenter como VMs los SGW hay que convertirlos en plantillas antes de poder ser utilizados todas las mquinas vienen con definicin de hardware versin 4

para ofrecer compatibilidad con versiones antiguas de VMware se pueden migar a v7 sin problemas

Anexo B. Algunas notas tcnicas de inters II

o

Asistente de instalacin de vGW Security Design

tener a mano datos y usuario administrador del vCenter credenciales por defecto => admin:admin admite DHCP, si no, configurar desde CLI # config network antes de empezar asegurarse de que se ha configurado un segundo disco duro 8 GB da para meses de logs de 5-10 ESX No hay mximo, pero recomendado <75 GB asegurarse que est conectado a la red de gestin

es necesario conectividad NTP, si no configurar da y hora desde el CLI licencia temporal de 30 das cuando expira no se puede modificar configuracin, pero no se bloquea el trfico las plantillas de los SGW se pueden configurar a posteriori

Anexo B. Algunas notas tcnicas de inters III

o

Ojo a la poltica global por defecto al instalar SGW en modo VMSafe

bloquea todo trfico inbound excepto DHCP solucin: modificar poltica especfica antes de instalar ningn firewall

default policy model

3-tier firewall policy model

Anexo B. Algunas notas tcnicas de inters IV

Anexo B. Algunas notas tcnicas de inters V

o

Se puede deshabilitar la inspeccin para algunas de las vNICs de VMs, p.e. cuando conecte a una red de almacenamiento

de momento editando el .vmx, en la v5 va GUI http://kb.juniper.net/InfoCenter/index?page=content&id=KB20044 se puede tener ms de una vNIC, pero la eth0 ha de ser la que permite comunicarse con los SVG integracin con AD:

Configuracin avanzada del vGW Security Design

http://kb.juniper.net/InfoCenter/index?page=content&id=KB20006

por el momento (v4.5) slo es posible realizar backups de configuracin y polticas utilizando los scripts que vienen con el vGW Cloud SDK contrasea perdida:

http://kb.juniper.net/InfoCenter/index?page=content&id=KB20072

Innovation in IT Distribution Thats Magirus.