NSX - En komplett sikkerhetsplattform
Det er i laget under operativsystemet at det skjer. NSX er en komplett sikkerhetsplattform som gir mer for mindre i nettverket.
Frank Kristian Dahl er sjefskonsulent og løsningsrådgiver i Atea, med særlig ansvar for VMware. Han har jobbet med teknologi fra nevnte leverandør siden 2010, med store installasjoner i komplekse miljø i offentlig sektor og hos private bedrifter.
– De siste årene har mye handlet om migreringer til moderne arkitekturer, der det er viktig med et særlig fokus på nettverket og sikkerheten, sier Dahl.
Hans spesialitet er hyperkonvergert infrastruktur, sikkerhet, løsninger for katastrofegjenoppretting og høytilgjengelighetsløsninger fra VMware. Derfor har han også en faglig forkjærlighet for VMware NSX.
Dette er en programvaredefinert nettverksvirtualiserings- og sikkerhetsplattform som gir alle de vanlige fordelene du kjenner fra VMware-teknologi, som enklere administrasjon, lavere ressursbruk, bedre utnyttelse av budsjettmidlene og flere muligheter til å støtte behovene i forretningen.
NSX sin mikrosegmentering gir kontroll på alle maskiner i nettverket
Med NSX knyttes nettverket og sikkerheten tettere på applikasjonen, uansett hvor den kjøres fra: Virtuelle maskiner, kontainere eller fysiske servere. På samme måte som med virtuelle arbeidsflater eller servere, vil nettverket kjøres og administreres uavhengig av den underliggende maskinvaren.
Dahl er entusiastisk for sikkerhetsfordelene NSX gir, særlig med mikrosegmentering.
– I en vanlig sikkerhetsplattform uten mikrosegmentering har du kontroll på perimeteren fordi du stykker opp nettverket med VLAN-segmentering, som da gir kontroll mellom de forskjellige nettverkssegmentene. Utfordringen er at du da ikke har noen kontroll innenfor nettverket, sier Dahl.
Med NSX stykkes lag 2 opp med en mur mellom hver eneste virtuelle maskin (servere eller arbeidsflater). Det gir oversikt og kontroll på trafikken mellom maskinene i nettverket.
– Det blir da ikke mulig å komme seg inn på de virtuelle maskinene selv om noen klarer å bryte seg gjennom Windows-brannmuren. Det hjelper ikke angriper å angripe brannmur i operativsystemet fordi det legges et ekstra sikkerhetslag rundt maskinene på hypervisor-nivå slik at den ikke kan angripes via operativsystemet, sier han.
Vi har Nordens største fagmiljø på VMware – se hvordan vi kan bistå din bedrift.
Går opp til lag 7
NSX sin mikrosegmentering går helt opp til lag 7. Det betyr at du kan gjøre segmenteringen basert på noe som heter app-id og du forholder deg ikke lenger til porter, men tjenester. Dette er også kjent som neste generasjons brannmur. Dermed kan du med funksjoner som intrusion detection systems (IDS) og intrusion prevention systems (IPS) overvåke all trafikk og bestemme hva som får slippe gjennom.
– Hvis noe av trafikken virker mistenkelig så kan den blokkeres, eller du får varsler om å sjekke den ut. Dermed kan du ikke bare styre etter vanlige brannmurregler, men også automatisk isolere ut virtuelle maskiner om det oppdages sårbarheter, sier Dahl.
I tillegg har NSX en funksjon som heter NTA, som reagerer på mistenkelige uregelmessigheter som du ikke vet om er en orm eller lignende.
– IDS og IPS benytter kjente signaturer for å detektere skadevare og kan sammenlignes med antivirus programvare. Men noen ganger er ikke dette nok, man ønsker også å beskytte seg mot ukjente trusler. Her kommer Network Traffic Analysis (NTA) inn. Den analyserer nettverksflyten mellom de virtuelle maskinene og danner seg et bilde av normalsituasjonen, slik at den reagerer på avvik, sier Dahl, som peker på at NSX er en komplett plattform for sikkerhet.
En mye mer fornuftig investering enn før
Om du allerede kjører sikkerhetsplattformer som ikke gjør mikrosegmentering så kan NSX kommunisere med brannmurer fra andre produsenter slik de at jobber sammen for å gi en enda bedre totalbeskyttelse.
– Trafikk som kommer inn på NSX sendes videre til brannmuren, som gjør en beslutning på om trafikken er god eller ikke og sender svaret tilbake til NSX. Basert på svaret så blokkeres eller åpnes det for trafikken. Disse mulighetene er det stor interesse for i markedet, sier han.
Før var det slik at mange oppfattet NSX som en for kostbar investering, fordi du måtte kjøpe hele plattformen om du ønsket tilgang til enkelte funksjoner.
– Dette er erstattet med en mer målrettet lisensmodell for de funksjonene du ønsker, og på det nivået som virker fornuftig for den enkelte virksomhet. Dermed kan du kjøpe brannmurene opp til avansert nivå, men ikke nettverksvirtualiseringen, sier han.
Automatiserte nettverk i NSX
Med netttverksvirtualisering blir flere oppgaver i nettverket automatisert. Mye tid spares og feilkilder fjernes ved automatisert opprettelse av nye nettverk, uten behov for å gå inn i brannmuren og definere nettverket i alle svitsjer.
– I NSX kan du som VMware-admin produsere dine egne nettverk med få klikk i grensesnittet. Derfor trenger du ikke lenger vente en uke på at nettverksekspertene har tid til å sette opp et nettverk.
Fordi det underliggende nettverket er definert i den fysiske infrastrukturen fra før, legges bare nye logiske nettverk oppå slik at det er tilgjengelig overalt.
– Når det nye nettverket introduseres i NSX sendes en beskjed til ruter om at nettverket er dukket opp slik at alt rutes automatisk inn. Du sparer uker og dager på å få opp nettverk og får alle fordelene som du ellers oppnår med virtualisering, som enklere drift og mindre administrasjon, lavere kostnader, mindre strømbruk, færre kapitalkrevende maskiner og mye mer, sier Dahl.
Han fremhever at NSX er en viktig komponent for å opprette en privat sky på den enkleste og mest driftssikre måten.
– Med NSX kan man skalere kapabilitetene til nettverket som routing, brannmur og IDS/IPS linjert på samme måte som man skalerer regnekraft og disk i hyperkonvergert infrastruktur ved å bygge ut antall noder. Dermed vokser NSX med resten av infrastrukturen slik at du oppnår veldig god og enkel skalerbarhet, avslutter han.
