tocdepth

2

Распределенный межсетевой экран

Организация безопасного обмена трафиком на платформе Облако VMware для распределенных приложений реализуется при помощи распределенного программно-определяемого межсетевого экрана Distributed Firewall.

Паттерн распределенного программно-определяемого межсетевого экрана на платформе Облако VMware имеет следующие преимущества и риски:

Преимущества паттерна
  • Защита трафика виртуализированных рабочих нагрузок в направлении East-West.

  • Упрощение развертывания и эксплуатации распределенного межсетевого экрана за счет отсутствия изменений в сети и расположения межсетевого экрана непосредственно у защищаемой рабочей нагрузки.

  • Полный охват сетевой безопасности во всех потоках посредством единого распределенного межсетевого экрана, развернутого как программное обеспечение в гипервизоре распределенной архитектуры на каждой рабочей нагрузке.

  • Реализация Distributed Firewall в виде кода объектно-ориентированной модели на базе API, которая предоставляет рекомендации по политикам, автоматизирует мобильность политик и обеспечивает автоматическое получение соответствующих политик безопасности для новых рабочих нагрузок.

  • Обеспечение гибкой безопасности с помощью согласованных политик распределенного межсетевого экрана в различных средах.

  • Визуализация потоков трафика и легкость выполнения сегментации сети — сегменты сети определяются полностью программным образом без необходимости изменять архитектуру сети или перенаправление трафика с помощью отдельных аппаратных устройств.

  • Автоматизированное создание, применение и администрирование гибких политик микросегментации — встроенная функция определения топологии приложений помогает формировать рекомендации по политикам.

Риски

Отсутствуют

Общая схема

../../_images/schm__templates_security-tools_cloud-vmware_distributed-firewall.svg

Описание паттерна

При помощи сервиса распределенного программно-определяемого межсетевого экрана Distributed Firewall на платформе Облако VMware возможно:

  • Обеспечить визуализацию и мониторинг потоков трафика, а также выполнить сегментацию сети, определяя сегменты полностью программным образом, без изменения архитектуры сети или перенаправления трафика с помощью отдельных аппаратных устройств.

  • Автоматически определить топологию приложений и сформировать рекомендации по политикам микросегментации.

  • Автоматически масштабировать сервис для различной рабочей нагрузки с обеспечением при проверке трафика требуемой пропускной способности, без ограничения пропускной способности, характерной для межсетевых экранов на базе аппаратных устройств.

  • Реализовать распределенную архитектуру, встроенную в гипервизор и управляемую как единый межсетевой экран.

Реализация

Список последовательных действий для организации безопасного обмена трафиком на платформе Облако VMware с помощью Distributed Firewall, выполняемых в панели управления программным маршрутизатором вашего ВЦОДа:

  1. Создайте DCG.

  2. Добавьте Edge Gateway в DCG.

  3. Создайте локальную сеть в DCG.

  4. Добавьте в DCG распределенный программно-определяемый межсетевой экран Distributed Firewall.

  5. Настройте правила экранирования для Distributed Firewall.

Результат использования паттерна

  • Реализованы политики безопасности для трафика в направлении East-West.

  • CISO и их команды могут снизить риски, а также обеспечить соответствие мер безопасности нормативным требованиям.

Запустили Evolution free tier
для Dev & Test
Получить