Académique Documents
Professionnel Documents
Culture Documents
Agenda
o o o
Introduccin conceptos virtualizacin Presentacin tecnologa Juniper vGW / Altor Juniper vGW: Caractersticas Arquitectura Licenciamiento Laboratorios: Preparacin del entorno VMware vSphere Instalacin consola: vGW Security Design Instalacin gateways Configuracin general Detalle de las funcionalidades
Virtualizacin I
VMware encapsula el software y lo independiza del hardware.
Enterprise App
Operating System Operating System
VMware Virtualization
Virtualizacin II
Beneficios de la virtualizacin
Comparticin de Recursos Aislamiento
Cada Mquina Virtual est aislada del resto de VMs que ejecutan en el mismo servidor
Encapsulacin
Independencia Hardware
Host vs. Guest Host: servidor fsico, ESX Guest: mquina virtual, VM Hipervisor Motor de la virtualizacin, es la capa que regula las comunicaciones entre las VMs y el hardware fsico Es quien reparte los recursos vCenter Consola de gestin centralizada de la infraestructura de virtualizacin en VMware ESX vs. ESXi ESX incluye Service Console ESX desaparece
Datastore Almacenamiento que utiliza VMware para VMs y plantillas Puede ser discos internos del host o, ms habitual, cabinas de almacenamiento externo (SAN, iSCSI, NFS) vmdk Disco duro de la VM No es ms que un fichero que se encuentra en el datastore donde reside la VM vMotion Migracin en caliente (sin prdida de servicio) de la ejecucin de una VM de un host a otro No confundir con Storage vMotion
Virtual Physical
Host
Host
vCenter Server
service console
vNICs hidden vSwitches (I/O plane) physical NICs (uplinks) physical switches virtual physical
Host 1
Host 2
VMSafe
o
VMSafe es un API pblico que ofrece VMware Abierto a fabricantes de seguridad, no al pblico en general Posibilita que aplicaciones externas puedan colaborar con el hipervisor en el anlisis de los recursos que estn utilizando las VMs Funcionalidades en 3 mbitos: vCompute (CPU and Memory) vNetwork Appliance (DVFilter) VDDK API (for disk block inspection) Ms informacin en:
http://blogs.vmware.com/vcloud/2010/04/what-actually-is-vmsafe-and-the-vmsafe-api.html
Un cambio de paradigma, I
Un cambio de paradigma, II
Aislamiento fsico
o o o
utilizar diferentes ESX, tarjetas de red, etc. coste alto, escasa escalabilidad, mal rendimiento se pierden gran parte de los beneficios de la virtualizacin se encamina el trfico fuera de los ESX para controlarlo alta complejidad, mucha latencia agentes software en el interior de las VMs crticas poco rendimiento, gestin muy compleja, no muy escalable gestin ineficiente, poca o nula integracin con vCenter en ocasiones no soportan funcionalidades como vMotion, DRS bajo rendimiento nula visibilidad del trfico interno entre VMs disponibilidad limitada, no mdulos de HA
Firewalls internos
o o
Nuevo vector de ataque, que hay que proteger adecuadamente Se han de monitorizar los intentos de conexin al mismo
Es segura la red hacia donde se migran las VMs? Se ha de permitir esta migracin, pero asegurando el perfil de seguridad de la VM
Compliance
o o o
Aislamiento de VMs, Control de Accesos, Auditing, etc. Quin es el encargado de la seguridad dentro de la red virtual? Seguimiento de los perfiles de seguridad de las VMs
Inspeccin de CPU y memoria Almacenamiento o Posibilidad de montar y leer discos virtuales (VMDK) Redes o Inspeccionar todo el trfico E/S del host o Posibilidad de interceptar, ver, modificar y replicar trfico de una o todas las VMs o Proteccin inline o pasiva o 2 modos: o Kernel Module (Fast-Path) o VM Agents (Slow-Path)
Caractersticas vGW
Funcionalidades principales de vGW:
o o o o o
Firewall virtual stateful e IDS Monitorizacin de trfico entre y a / desde VMs Introspeccin de VMs Grupos inteligentes Monitorizacin del compliance y enforcement (cuarentena) para VMs Reporting
VMware vSphere (4.0 y 4.1), VI (3.5) Microsoft Hyper-V Citrix XenServer RedHat KVM
Stateful firewall e IDS integrado Protege tanto VMs como hipervisor VMSafe certified Se integra y comunica con vCenter
Fcil gestin
o o o
1000+ ESX Auto Secure detecta y protege VMs nuevas Polticas flexibles, se pueden aplicar a diferentes niveles: zona, VM Group, VM individual, vApp, puerto, protocolo, estado de seguridad
Rendimiento
Firewall virtual de tipo stateful inspection IDS Proteccin de VMs y del hipervisor Alto rendimiento, velocidad casi nativa
el filtrado se realiza en el hipervisor no hay cambios de contexto >10 Gbps de throughput zona, VM Group, VM individual, vApp, puerto, protocolo, estado de seguridad se evitan ataques de mquinas rogue las nuevas VMs heredan la poltica de seguridad de su padre
o o o
Las conexiones activas no se pierden con vMotion Posibilidad de HA del mdulo cortafuegos Sincronizacin de zonas con firewalls fsicos Juniper SRX
permite obtener informacin de VMs, seguridad de las redes virtuales y configuraciones del entorno virtual dentro de las VMs, recoge datos acerca del estado de las mismas, sistema operativo, nivel de parcheado y aplicaciones instaladas
Esta funcionalidad permite la creacin de polticas de seguridad tan detalladas como se desee, combinando parmetros extraidos de la base de datos de la infraestructura virtual e informacin de las VMs Se pueden asociar grupos de polticas dinmicas a VMs o grupos de VMs Cuando se aprovisionan nuevas VMs se realiza un anlisis de las polticas y sus condiciones existentes de tal modo que se le aplican manera dinmica y automtica aquellas polticas que corresponda. De este modo se eliminan errores humanos en las configuraciones
Por ejemplo, si se crea una nueva VM con Windows e IIS que se conecta al vSwitch port-group 22, se le aplicara automticamente la poltica Dep. Financiero, Servidores Web
Funcionalidades: Compliance, I
Funcionalidades: Compliance, II
Funcionalidades: Gestin, I
o
basado en un virtual appliance dashboard con visin en tiempo real instalacin inicial basada en un asistente interface sencillo y efectivo admite gestin delegada logs, informes y alertas
consola slo necesaria para crear o modificar polticas, p.e. no tiene que estar levantada para vMotion de VMs posibilidad de HA un hilo de firewall por VM poltica por VM, no una nica regla monoltica para todo el sistema
Funcionalidades: Gestin, II
Integracin con vCenter
o
Sincronizacin automtica
se extra el inventario completo desde el vCenter se notifica cualquier modificacin en VMs o en el resto de la infraestructura virtual para que la configuracin permanezca coherente las direcciones IP o MAC pueden llevar a equvocos diferenciacin entre VMs y sus clones Necesario para vMotion, cambios en DHCP, etc asegura la coherencia de la configuracin: asociaciones a redes, etc previene puertas traseras como VMCI se puede incluso desplegar firewalls de modo programado simplicacin de la gestin
Se valida la configuracin
Despliegue automtico
Automatizacin de polticas
administracin delegada gestin de polticas Multi-Tenant control programado de las polticas de seguridad control programado de las polticas de seguridad APIs para todas las funciones documentacin completa ejemplos mediante scripts en Python portal web: ejemplo de delegacin de responsabilidades a usuarios
Arquitectura
4 componentes
o
consola de gestin y motor de informes virtual appliance solamente necesario 1 por entorno soporta vMotion, VMware HA, etc puede estar en HA motor de seguridad virtual appliance 1* por host, no tiene sentido vMotion, VMware HA... 2 tipos o modo bridge o modo VMSafe nicamente en modo VMSafe es quien realiza el filtrado
Mdulo en el hipervisor
Para versiones antiguas de VMware (v3.5) y otros fabricantes de soluciones de virtualizacin No hay integracin con el hipervisor
no soporta todas las caractersticas mucho menor rendimiento modo transparente protege port groups, no VMs individuales proteccin trfico entre VMs del mismo grupo por TCP RST se requiere un SGW por cada vSwitch a securizar en cada host
Separa 2 virtual-switches
Para VMware vSphere (v4.0 y v4.1) Es la modalidad a utilizar siempre que sea posible Instala un mdulo en el hipervisor
visibilidad de todo el trfico todos los protocolos todas las VMs transparente para las VMs
o o
Licenciamiento
Similar a otras soluciones del CPD: por sockets Ejemplo
o
Mantenimiento 1 ao:
SVC-COR-VSEC-CENTER-1 Juniper Care Core Support for Management SVC-COR-SVM-ADD-10 ALTOR-IDS-ADD-10 Juniper Care Core Support for SVM 10 sockets One year IDS subscription for 10 CPU Sockets
Opcional:
Reconocimiento de la industria
o o o
Primer firewall diseado especficamente para entornos virtuales Certificacin VMware VMSafe Pendiente de 5 patentes
Anexo A. Requerimientos
o
Conectividad
DNS y NTP abierto para todos los componentes TCP 443 y 8443 entre el vGW Security Design y los SVG TCP 902 entre vGW Security Design y los ESX/ESXi Tamao comprimido en formato virtual appliance .ovf: aprox. 250 MB Tamao de los discos virtuales:
o o
RAM: mx. 3 GB Tamao comprimido en formato virtual appliance .ovf: aprox. 175 MB Tamao de la VM: 900 MB RAM: mx. 385 MB
en 2 empaquetamientos diferentes
bundle (combo) individuales (components) archivos .ovf a importar en el vCenter como VMs los SGW hay que convertirlos en plantillas antes de poder ser utilizados todas las mquinas vienen con definicin de hardware versin 4
para ofrecer compatibilidad con versiones antiguas de VMware se pueden migar a v7 sin problemas
tener a mano datos y usuario administrador del vCenter credenciales por defecto => admin:admin admite DHCP, si no, configurar desde CLI # config network antes de empezar asegurarse de que se ha configurado un segundo disco duro 8 GB da para meses de logs de 5-10 ESX No hay mximo, pero recomendado <75 GB asegurarse que est conectado a la red de gestin
es necesario conectividad NTP, si no configurar da y hora desde el CLI licencia temporal de 30 das cuando expira no se puede modificar configuracin, pero no se bloquea el trfico las plantillas de los SGW se pueden configurar a posteriori
bloquea todo trfico inbound excepto DHCP solucin: modificar poltica especfica antes de instalar ningn firewall
Se puede deshabilitar la inspeccin para algunas de las vNICs de VMs, p.e. cuando conecte a una red de almacenamiento
de momento editando el .vmx, en la v5 va GUI http://kb.juniper.net/InfoCenter/index?page=content&id=KB20044 se puede tener ms de una vNIC, pero la eth0 ha de ser la que permite comunicarse con los SVG integracin con AD:
http://kb.juniper.net/InfoCenter/index?page=content&id=KB20006
por el momento (v4.5) slo es posible realizar backups de configuracin y polticas utilizando los scripts que vienen con el vGW Cloud SDK contrasea perdida:
http://kb.juniper.net/InfoCenter/index?page=content&id=KB20072