Распределенный межсетевой экран
Организация безопасного обмена трафиком на платформе Облако VMware для распределенных приложений реализуется при помощи распределенного программно-определяемого межсетевого экрана Distributed Firewall.
Паттерн распределенного программно-определяемого межсетевого экрана на платформе Облако VMware имеет следующие преимущества и риски:
- Преимущества паттерна
-
Защита трафика виртуализированных рабочих нагрузок в направлении East-West.
-
Упрощение развертывания и эксплуатации распределенного межсетевого экрана за счет отсутствия изменений в сети и расположения межсетевого экрана непосредственно у защищаемой рабочей нагрузки.
-
Полный охват сетевой безопасности во всех потоках посредством единого распределенного межсетевого экрана, развернутого как программное обеспечение в гипервизоре распределенной архитектуры на каждой рабочей нагрузке.
-
Реализация Distributed Firewall в виде кода объектно-ориентированной модели на базе API, которая предоставляет рекомендации по политикам, автоматизирует мобильность политик и обеспечивает автоматическое получение соответствующих политик безопасности для новых рабочих нагрузок.
-
Обеспечение гибкой безопасности с помощью согласованных политик распределенного межсетевого экрана в различных средах.
-
Визуализация потоков трафика и легкость выполнения сегментации сети — сегменты сети определяются полностью программным образом без необходимости изменять архитектуру сети или перенаправление трафика с помощью отдельных аппаратных устройств.
-
Автоматизированное создание, применение и администрирование гибких политик микросегментации — встроенная функция определения топологии приложений помогает формировать рекомендации по политикам.
- Риски
Отсутствуют
Общая схема
Описание паттерна
При помощи сервиса распределенного программно-определяемого межсетевого экрана Distributed Firewall на платформе Облако VMware возможно:
-
Обеспечить визуализацию и мониторинг потоков трафика, а также выполнить сегментацию сети, определяя сегменты полностью программным образом, без изменения архитектуры сети или перенаправления трафика с помощью отдельных аппаратных устройств.
-
Автоматически определить топологию приложений и сформировать рекомендации по политикам микросегментации.
-
Автоматически масштабировать сервис для различной рабочей нагрузки с обеспечением при проверке трафика требуемой пропускной способности, без ограничения пропускной способности, характерной для межсетевых экранов на базе аппаратных устройств.
-
Реализовать распределенную архитектуру, встроенную в гипервизор и управляемую как единый межсетевой экран.
Реализация
Список последовательных действий для организации безопасного обмена трафиком на платформе Облако VMware с помощью Distributed Firewall, выполняемых в панели управления программным маршрутизатором вашего Виртуального ЦОДа:
-
Создайте DCG.
-
Добавьте Edge Gateway в DCG.
-
Создайте локальную сеть в DCG.
-
Добавьте в DCG распределенный программно-определяемый межсетевой экран Distributed Firewall.
-
Настройте правила экранирования для Distributed Firewall.
Результат использования паттерна
-
Реализованы политики безопасности для трафика в направлении East-West.
-
CISO и их команды могут снизить риски, а также обеспечить соответствие мер безопасности нормативным требованиям.
- Общая схема
- Описание паттерна
- Реализация
- Результат использования паттерна