Виртуальный NGFW в качестве ядра сети в тенанте Заказчика в отдельном кластере ESXi

Чтобы обойти ограничение количества виртуальных интерфейсов на аплаинс, информационную безопасность виртуальной инфраструктуры Заказчика можно организовать с использованием паттерна виртуального NGFW в качестве ядра сети в тенанте Заказчика, размещенном в отдельном кластере ESXi. Возможна организация более 10 виртуальных интерфейсов на аплаинс.

Паттерн виртуального NGFW в качестве ядра сети в тенанте Заказчика в отдельном кластере ESXi имеет следующие преимущества и риски:

Преимущества паттерна

Риски

  • Ограничения на количество виртуальных интерфейсов на аплаинс зависят от выделенных под NGFW ресурсов

  • Контроль трафика e-w, n-s

  • Для организации шлюза в сеть Интернет Заказчику необходимо оплатить дополнительный белый адрес

  • Заказчик должен арендовать место под физический NGFW в ЦОД Cloud.ru

Общая схема

../../_images/schm__templates_ent_security-tools_virtual-ngfw-esxi.svg

Описание паттерна

Предварительные требования:

Наличие у Заказчика «Виртуальный ЦОД» в облаке Enterprise.

Реализация

Single node:
  1. Заказчику выделяется пул белых адресов для внешнего интерфейса NGFW.

  2. Заказчик разворачивает виртуальный NGFW на инфраструктуре размещенной в ЦОД Cloud.ru.

  3. Команда Cloud.ru настраивает bridge необходимых сегментов инфраструктуры Заказчика.

  4. Внешний интерфейс аплаинса подключается к T1 для маршрутизации в сеть Интернет, остальные интерфейсы создаются как isolated и подключатся к NGFW.

  5. На NGFW Заказчик настраивает 0.0.0.0 в сторону T1.

  6. На T1 Заказчика настраивается редистрибуция маршрутов для сегмента с белыми адресами в сторону T0.

  7. Интерфейсы Заказчика настраиваются как isolated и подключаются к аплаинсу.

Cluster:
  1. Заказчику выделяется пул белых адресов для внешнего интерфейса NGFW.

  2. Заказчик разворачивает виртуальный NGFW на инфраструктуре размещенной в ЦОД Cloud.ru.

  3. Команда Cloud.ru настраивает bridge необходимых сегментов инфраструктуры Заказчика.

  4. Внешний интерфейс аплаинса подключается к T1 для маршрутизации в сеть Интернет, остальные интерфейсы создаются как isolated и подключатся к NGFW.

  5. На NGFW Заказчик настраивает 0.0.0.0 в сторону T1.

  6. На T1 Заказчика настраивается редистрибуция маршрутов для сегмента с белыми адресами в сторону T0.

  7. На аплаинсах выделяется отдельный интерфейс для сборки кластера.

  8. Интерфейсы Заказчика настраиваются как isolated и подключаются к аплаинсу.