Informace

Vytisknout článek

Mikrosegmentace v podání VMware NSX


Mikrosegmentace na bázi síťové virtualizační platformy VMware NSX představuje inovativní model pro IT bezpečnost.

Bezpečnostní architektura firem se dnes zaměřuje především na ochranu na perimetru, ovšem jakmile se útočník dostane dovnitř perimetru, snadno se přesouvá ze serveru na server, protože vnitřní provoz již není chráněn. A právě mikrosegmentace, jak ji nabízí VMware NSX, přináší do bezpečnostního konceptu organizací nové možnosti pro ochranu uvnitř perimetru. Podívejme se, co o tom píše Morgan O'Leary ze společnosti VMware.

Co je to mikrosegmentace?

Ve své podstatě je mikrosegmentace přesně to, co napovídá její název: schopnost rozdělit, tedy segmentovat prvky nějakého systému až na extrémně granulární komponenty. To je velmi důležité, protože když je systém takto segmentovaný, lze v něm nasadit bezpečnostní pravidla prakticky pro jakoukoliv úroveň – ať chce administrátor pokrýt klastr serverů nebo jednotlivý virtuální stroj.

Zatímco tradiční modely bezpečnosti jsou zaměřeny primárně na regulaci tzv. severojižního provozu, tedy dat přicházejících do datového centra a odcházejících z něj, mikrosegmentace umožňuje administrátorům zaměřit se na provoz mezi servery uvnitř datového centra.

Proč je mikrosegmentace tak důležitá?

Na základě mikrosegmentace lze v organizaci zavést bezpečnostní model, který společnost Forrester nazývá Zero Trust Security. Abychom pochopili jeho význam, pojďme se nejprve podívat na způsob, jak dnes většina sítí pojímá bezpečnost IT.

Organizace mají převážně zavedenu bezpečnostní architekturu s důrazem na perimetr sítě. Znamená to, že firewally fungují na hranici sítě, kde vytvářejí bariéru a chrání datové centrum před potenciálními hrozbami. Zvenčí má tedy síť tvrdou skořápku, jenže uvnitř je, jak to nazývá Forrester, „měkké jádro“. A to je problematické, protože se předpokládá, že jakmile se něco dostane dovnitř, za perimetr, je to důvěryhodné.
Jak dokazuje bezpočet nedávných případů významného narušení datové bezpečnosti, tento předpoklad má trhliny. Největší omyl, kterého se podnikové bezpečnostní týmy dopouštějí, spočívá v tom, že dobře chráněný perimetr sítě stačí. Ve většině podniků byly vytvořeny skutečně kvalitní systémy ochrany perimetru na bázi firewallů fungujících na okraji sítě. Kybernetické útoky z poslední doby však mají jeden společný znak: jakmile se útočníkům podaří dostat dovnitř perimetrové obrany, a podařilo se to všem, snadno se pak již přesunují ze serveru na server, protože vnitřní provoz již prakticky nic nechrání.

Hackeři stále častěji „přidělávají“ škodlivé komponenty k legitimnímu provozu. Když proniknou za firewall na perimetru sítě, malware se může volně rozšiřovat po celém datovém centru.

Rozšiřuje se použití mikrosegmentace?

Ano, bezpečnostní týmy již mnoho let považují mikrosegmentaci za žádoucí cílový stav a dnes je potřeba modelu bezpečnosti Zero-Trust naprosto evidentní. Vzorce síťového provozu se dramaticky posunuly od severojižního provozu (provoz zvenčí datového centra směrující na určitý server a pak zase zpátky) k východozápadnímu (interakce mezi servery uvnitř perimetru datového centra). Výrazně zvýšený východozápadní provoz často nikdy neprojde přes kontrolní systémy firewallu.

Problém je, že mikrosegmentace prostě nelze dosáhnout tradičními způsoby. Proč? Protože i kdyby bezpečnostní tým nakoupil dostatek firewallů na kontrolu veškerého východozápadního provozu, bude to operačně neuskutečnitelné dodržovat správu pravidel, jak se budou stále nové a nové pracovní úlohy tvořit, přesouvat a ukončovat.

S rostoucím zaváděním softwarově definovaných datových center a síťové virtualizace na bázi VMware NSX se však mikrosegmentace stává pro podnik jak operačně proveditelnou tak ekonomicky zajímavou.



Potřebujete více informací?

Kontaktujte náš tým pro řešení VMware.


Jiří Bednář, 24. února 2016