Распределенный межсетевой экран
Организация безопасного обмена трафиком на платформе Облако VMware для распределенных приложений реализуется при помощи распределенного программно-определяемого межсетевого экрана Distributed Firewall.
Паттерн распределенного программно-определяемого межсетевого экрана на платформе Облако VMware имеет следующие преимущества и риски:
- Преимущества паттерна
Защита трафика виртуализированных рабочих нагрузок в направлении East-West.
Упрощение развертывания и эксплуатации распределенного межсетевого экрана за счет отсутствия изменений в сети и расположения межсетевого экрана непосредственно у защищаемой рабочей нагрузки.
Полный охват сетевой безопасности во всех потоках посредством единого распределенного межсетевого экрана, развернутого как программное обеспечение в гипервизоре распределенной архитектуры на каждой рабочей нагрузке.
Реализация Distributed Firewall в виде кода объектно-ориентированной модели на базе API, которая предоставляет рекомендации по политикам, автоматизирует мобильность политик и обеспечивает автоматическое получение соответствующих политик безопасности для новых рабочих нагрузок.
Обеспечение гибкой безопасности с помощью согласованных политик распределенного межсетевого экрана в различных средах.
Визуализация потоков трафика и легкость выполнения сегментации сети — сегменты сети определяются полностью программным образом без необходимости изменять архитектуру сети или перенаправление трафика с помощью отдельных аппаратных устройств.
Автоматизированное создание, применение и администрирование гибких политик микросегментации — встроенная функция определения топологии приложений помогает формировать рекомендации по политикам.
- Риски
Отсутствуют
Общая схема
Описание паттерна
При помощи сервиса распределенного программно-определяемого межсетевого экрана Distributed Firewall на платформе Облако VMware возможно:
Обеспечить визуализацию и мониторинг потоков трафика, а также выполнить сегментацию сети, определяя сегменты полностью программным образом, без изменения архитектуры сети или перенаправления трафика с помощью отдельных аппаратных устройств.
Автоматически определить топологию приложений и сформировать рекомендации по политикам микросегментации.
Автоматически масштабировать сервис для различной рабочей нагрузки с обеспечением при проверке трафика требуемой пропускной способности, без ограничения пропускной способности, характерной для межсетевых экранов на базе аппаратных устройств.
Реализовать распределенную архитектуру, встроенную в гипервизор и управляемую как единый межсетевой экран.
Реализация
Список последовательных действий для организации безопасного обмена трафиком на платформе Облако VMware с помощью Distributed Firewall, выполняемых в панели управления программным маршрутизатором вашего ВЦОДа:
Создайте DCG.
Добавьте Edge Gateway в DCG.
Создайте локальную сеть в DCG.
Добавьте в DCG распределенный программно-определяемый межсетевой экран Distributed Firewall.
Настройте правила экранирования для Distributed Firewall.
Результат использования паттерна
Реализованы политики безопасности для трафика в направлении East-West.
CISO и их команды могут снизить риски, а также обеспечить соответствие мер безопасности нормативным требованиям.
- Общая схема
- Описание паттерна
- Реализация
- Результат использования паттерна