Blog

Datacenter Security

Microsegmentatie in een software defined datacenter

19 apr 2016

Bij Telindus geven we vrij regelmatig sessies aan klanten met als onderwerp ‘software defined’. Hierbij wordt een breed scala aan software defined stromingen besproken, zoals software defined storage (SDS) en software defined networking (SDN). Vooral bij de SDN-sessies komen regelmatig vragen over microsegmentatie naar voren en of oplossing X van vendor Y wel microsegmentatie ondersteunt. Als we vervolgens doorvragen merken we dat er veel verschillende interpretaties bestaan bij de klanten over microsegmentatie. In deze blog zal ik daarom uitleggen wat microsegmentatie in een software defined datacenter nu omvat.

John Grinwis door John Grinwis

In de huidige datacenteromgevingen is netwerksecurity vaak gebaseerd op ‘north-south’-verkeer. Met andere woorden, ergens aan de rand van het netwerk staat een device dat threads vanuit de boze buitenwereld probeert buiten te houden. In een datacenter zal dit security device de virtuele systemen (VM) of bare metal-servers (BM) in het datacenter proberen te beschermen, doordat al het verkeer dat het datacenter binnenkomt of verlaat via dit device zal lopen (north-south).

Virtuele systemen
Dreiging van binnenuit

Steeds meer verkeer binnen een datacenter is echter gebaseerd op ‘east-west’-verkeer tussen de virtuele systemen of bare metal servers binnen het datacenter. Het verkeer verlaat het datacenter niet en zal dus ook niet via het security device aan de rand van het netwerk lopen. Maar, wat als er nu een securitythread van binnenuit komt? Binnen het datacenter bevindt zich in de meeste gevallen geen security device of maar voor bepaalde gedeeltes. Zodra een zware jongen binnen is, heeft hij open huis en komt het neer op de security settings van de individuele systemen. Dit probleem zouden we kunnen oplossen door ook al het ‘east-west’-verkeer altijd door een security device te sturen. Dit zou kunnen op basis van verschillende netwerksegmenten, waarbij verkeer tussen die netwerken door een security device wordt geleid, fysiek of virtueel. Dit zal echter wel een extra stuk beheer met zich meebrengen. Er moeten dan diverse segmenten gemaakt worden en systemen dienen in het juiste netwerksegment geplaatst te worden. Echter, het verkeer binnen een segment zal nog steeds niet afgeschermd zijn. Denk hierbij aan een VMware portgroup. Alle virtuele systemen die gekoppeld zijn aan deze portgroup kunnen ongehinderd met elkaar communiceren.

Virtuele systemen
Beveiliging op groepsniveau

Wat als we nu ook op het individuele VM-niveau de boel zouden kunnen beschermen, onafhankelijk van het onderliggende segment waaraan hij gekoppeld is? Dit is al mogelijk, maar als we nu per systeem security-rules moeten aanmaken dan wordt het een administratieve nachtmerrie met bijbehorende hoge CAPEX en OPEX. Echter, met bepaalde producten is het mogelijk om security te regelen op groepsniveau. Security tussen groepen en binnen groepen wordt dan op groepsniveau geregeld. Aan de hand van bepaalde kenmerken van deze systemen kunnen ze automatisch in een security-groep worden geplaatst. In een 3-tiered-app setup WEB-APP-DB kan je bijvoorbeeld alle virtuele servers met een security tag ‘DB’, automatisch kunnen plaatsen in de ‘DB security-groep’. Deze ‘DB-groep’ bepaalt dan wat er voor inkomend en uitgaand verkeer toegestaan is naar en van de systemen binnen deze groep. Tevens kan per groep besloten worden om extra security maatregelen te nemen zoals  het verkeer ook nog een keer door bijvoorbeeld een virusscanner te leiden. Dit concept kunnen we dan verder doortrekken door ook de systemen binnen een groep van elkaar te beschermen. De security policies die aan een groep zijn gekoppeld bepalen dan niet alleen de beveiliging van en naar de groep maar ook het onderlinge verkeer binnen de groep. Als we in staat zijn om op dit niveau bescherming te regelen spreekt men van microsegmentatie.

Virtuele systemen
Door security op groepsniveau te regelen en systemen automatisch of handmatig toe te voegen aan zo’n groep, hoeft men geen beveiligingsregels meer te maken per individueel systeem. Alles werkt op groepsniveau waarbij de beveiligingsregels die aan zo’n groep zijn gekoppeld dus bepalen wat er mogelijk is van/naar maar dus ook binnen zo’n groep. Nu krijgen we steeds vaker ook vragen over het beheer hiervan. Vaak hebben klanten al fysieke security devices in hun omgeving en hoe kunnen ze het beheer daarvan nu integreren met die virtuele firewalls. Het goede nieuws is, er zijn al producten op de markt beschikbaar waarmee niet alleen de fysieke maar ook de virtuele firewalls vanuit één interface beheerd kunnen. Bij een security audit zou met één druk op de knop de gehele security settings van de omgeving uitgelezen kunnen worden, fysiek en virtueel waarbij men kan aantonen dat zelfs de systemen binnen een security groep van elkaar gescheiden zijn.

Mocht je eens interesse hebben om microsegmentatie in actie te zien, kom dan gerust eens kijken in de Telindus demo-omgeving.

Geïnteresseerd?

John Grinwis
Neem contact op met onze Orchestration- specialist John Grinwis

John Grinwis is Consultant bij Telindus en heeft veel ervaring met de diverse aspecten van het IT-landschap. Zo heeft hij bij een van de grotere internet providers gewerkt met Juniper- en Cisco-netwerkapparatuur en heeft hij zich bij een internationale system integrator bezig gehouden met virtualisatie, diverse storage- en backup-producten en servers van verschillende vendoren. John is onderdeel geweest van het team dat de Cisco Cloud Builder status voor Telindus heeft bereikt en op dit moment ligt zijn focus bij de verschillende SDx-oplossingen. In de SDx-omgevingen komen de diverse werelden van storage, compute en networking bij elkaar op een software defined manier, precies die werelden waarin John ervaring heeft opgedaan. In zijn vrije tijd zit John op zijn racefiets of op de tribune van zijn favoriete voetbalclub.

1 reactie
Plaats een reactie
Patrick Jonker, Tetration Lead EMEAR North & RCIS - 12 november 2018

Goed en duidelijk verhaal John