Міжмережеві екрани Palo Alto Networks VM-Series



Компанія Palo Alto Networks була заснована в 2005 році Ніром Зуком (Nir Zuk) і групою старших інженерів компаній, що лідирують у сфері мережевої безпеки – Check Point, Cisco, NetScreen, McAfee, Juniper Networks, і займається розробкою брандмауерів нового покоління, що дозволяють контролювати роботу додатків і користувачів в корпоративних мережах. Цільовою аудиторією компанії є великі організації, зайняті у сфері освіти та охорони здоров'я, а також компанії фінансового сектора.

Головна ідея цього міжмережевого екрана полягає в тому, що політики безпеки застосовуються не до портів або IP-адресами, а до конкретних користувачів служб каталогів і додатків. Більш того, він надає величезні можливості з моніторингу трафіку програм, дій користувачів і переданого вмісту за рахунок використання унікальних технологій ідентифікації.

Для ідентифікації використовуваних додатків фахівці Palo Alto Networks розробили унікальну технологію класифікації трафіку, що отримала назву App-ID. Вона не залежить від портів, протоколів, методів маскування або шифрування та базується на кількох принципах виявлення: ідентифікація протоколу обміну даними та його розшифровка, класифікація переданих даних, використання контекстних сигнатур для сканування трафіку додатків, евристичний аналіз невідомих даних.

Використовуючи весь комплекс методів, обладнання Palo Alto Networks безпомилково виділяє невідомі додатки і, більше того, дозволяє відслідковувати різні сценарії їх застосування. Що стосується корпоративних додатків, то користувач може вручну встановити класифікатори і працювати з ними.

Брандмауери Palo Alto Networks пропонують ще одну технологію – User-ID, яка потрібна для ідентифікації користувачів в підконтрольних мережах. Вона підтримує інтеграцію з популярними користувацькими репозиторіями (Microsoft Exchange Server, Novell eDirectory, Microsoft AD) і серверів віддаленого доступу (Citrix XenApp, Microsoft Terminal Services), а також XML API для інтеграції зі сторонніми користувацькими репозиторіями (проксі, бездротове обладнання тощо).

Навіть через дозволені програми авторизований користувач може отримати доступ до небезпечного контенту або випадково відкрити доступ до конфіденційної інформації. З цієї причини було вирішено, що брандмауер повинен аналізувати передаваний контент, і всі методики, що дозволяють працювати з контентом, об'єднані в одну технологію – Content ID. На сьогоднішній день вона включає в себе повнофункціональний IPS, URL-фільтрацію, підсистему DLP, мережевий антивірус і AntiSpyware.

Всі вищеперелічені функції втілені у всіх лінійках продуктів компанії Palo Alto Networks:

  • PA-5000 Series – високопродуктивні рішення для ЦОД і сервіс-провайдерів
  • PA-4000, PA-3000, PA-2000 Series – рішення різної продуктивності для застосування у великих компаніях
  • PA-500, PA-200 – молодші моделі для застосування у філіях і невеликих компаніях
  • VM-Series – серія віртуальних брандмауерів, яка дозволяє отримати всі можливості рішень Palo Alto Networks без необхідності купувати дороге обладнання і легко інтегрується в віртуальну інфраструктуру VMware
Міжмережеві екрани Palo Alto Networks серії VM спочатку були орієнтовані на захист віртуальної інфраструктури від зовнішніх і внутрішніх загроз, а сьогодні активно використовуються як у програмних дата-центрах, так і в різних хмарах – приватних, публічних, гібридних.

Palo Alto Networks серії VM працює під управлінням операційної системи PAN-OS, яка керує апаратними та програмними складовими брандмауерів Palo Alto Networks. Вона підтримує величезну кількість функцій і сервісів, що забезпечують гарантовано надійну і захищене середовище. Також в PAN-OS рознесені логіки управління та обробки трафіку, що дозволяє зберегти керованість міжмережевим екраном навіть у разі різкого стрибка трафіку.

Якщо ж потрібно управління безліччю пристроїв Palo Alto Networks, то можна скористатися спеціалізованої платформою управління Palo Alto Networks Panorama. Panorama є надійним інструментом централізованого управління і дозволяє виконувати моніторинг мережевої активності.

З допомогою Panorama можна управляти розподіленою мережею фізичних та/або віртуальних міжмережевих екранів Palo Alto Networks централізовано, при цьому відслідковуючи трафік по кожному розгорненого брандмауера і керуючи конфігураціями і політиками безпеки.



Ще одним інструментом, вартим уваги, є VMware NSX – це платформа віртуалізації мережі для віртуального дата-центру, яка відповідає за створення мереж на існуючому мережевому обладнанні. NSX дозволяє вам сформувати гнучкий пул мережевих ресурсів, розгортати повністю незалежні програмні мережі і застосовувати принципи віртуалізації до мережевої інфраструктури.

Важливою складовою VMware NSX є компоненти VMware NSX Service Composer і VMware NSX Distributed Firewall (DFW). VMware NSX DFW є розподіленим брандмауером, реалізованим у контексті самого NSX. Він забезпечує можливості stateful-фільтрації і працює на рівні ядра гіпервізора, що забезпечує високу продуктивність.

Управління брандмауером здійснюється через інтерфейс vCenter. Правила створені в DFW, можуть бути задані на рівні VM, кластера, порт-гурту DVS, логічного світча і так далі. NSX DFW підтримує vMotion, а поточні активні сполуки залишаються недоторканими в момент робочого навантаження.

Вбудований компонент VMware NSX Service Composer визначає нову модель використання мереж і сервісів безпеки. Він дозволяє створювати багаторівневі політики безпеки, незалежні від поточної інфраструктури і заданої топології.

Політики безпеки призначаються на групи віртуальних машин і автоматично застосовуються до нових VM, доданим в групу. Виходить, що в Service Composer ви можете створювати групи безпеки (Security Group) та безпекової політики (Policy Group).

При створенні груп безпеки адміністратор може вибирати між статичними і динамічними групами, які включають або виключають такі об'єкти, як віртуальні машини, vNIC, vSphere-кластери, логічні світчі та інше.

Що стосується Security Policy (SP), то вони визначають мережеві політики і політики безпеки, застосовувані для конкретної групи безпеки. Наприклад, SP може бути створена для перенаправлення на Palo Alto Networks VM-Series будь-якого типу трафіку. Щоб політика безпеки запрацювала, її потрібно прив'язати до групі або набору груп безпеки.

В одній з статей нашого блогу ми розглянули практичний приклад, пов'язаний з конфігурацією динамічних політик безпеки і усуненням виявлених помилок.



В вигаданої організації були розгорнуті три віртуальні машини HR-відділу, дві з яких виступали в ролі веб-сервера, а одна – в якості сервера бази даних. Кожна з віртуальних машин підключалася до одного і того ж логічного перемикач (VXLAN).

Захист трафіку забезпечувалася наступним чином: трафік від веб-сервера до сервера бази даних «прикривався» брандмауером Palo Alto Networks серії VM, а трафік від веб-сервера до веб-сервера – NSX DFW.

Докладне керівництво з розбором всіх виникаючих проблем ви можете переглянути тут.

P. S. Інші матеріали з нашого блогу на Хабре:



Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.