Решения для защиты корпоративных и коммерческих цод
TRANSCRIPT
Решения Palo Alto Networks для защиты корпоративных и
коммерческих ЦОД
• Денис Батранков• консультант по ИБ
Предположение о защищенности и реальность
• Source:The State of Application Security
• A Research Study by Ponemon Institute, 2015
• Риски ≠ Затраты
• Source: The State of Risk-Based Security
Management,A Research Study by Ponemon Institute, 2015
• Есть ли у Вас корпоративный стандарт архитектуры безопасности?
• Где Ваши риски безопасности и где Вы инвестируете в ИБ?
• Мнение рук-ва ≠ Мнение тех. персонала
Взломы происходят постоянно
• http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/
Приложения ЦОД являются желаемой целью для злоумышленников
Защищенный периметр, доверенная зона внутри?
21% MS-RPC
15%Web Browsing
11% SMB
10% MS-SQL Monitor
10% MS-Office
Communicator
4% SIP
3% Other
2% Active Di-rectory
2% RPC
1% DNS
25% MS-SQL•10 из 1395
приложений создают 97% логов от IPS
•Source: Palo Alto Networks, Application Usage and Threat Report. Jan. 2015.
•9 из них – приложения ЦОД
• 4 | ©2015, Palo Alto Networks. Confidential and Proprietary.
• Enterprise Network
Трафик межсерверного взаимодействия («восток-запад») составляет 70% от всего трафика ЦОД
Трафик необходимый для работы приложений уже не такой примитивныйОколо 30% приложений используют шифрование SSL
• 80, 443, 135, 137, 139 • 3200, 3300, 8000, 3600, 8100, 50013, 50014, 65000
• 443, 3478, 5223, 50,000-59,999
• 3389, 53, 42, 8, 13, 15, 17, 137, 138, 139, 445, 1025, 123, 507, 750, 88+464, 389, 636, 3268, 445, 161, 162, 42424,
691, 1024-65535
• Множество портов и множество данных внутри одного соединения для работы
80
443 135
137
139
139
3200 3300 3600 8100
5223
50000 – 59,999
53 3389 42 4424 8 13
15 17 445 1024 123 507 750 88+64 389 636
3268
42424
161
Пример: туннелирование поверх 53 портаПримеры
tcp-over-dns dns2tcp Iodine Heyoka OzymanDNS NSTX
Использование рекурсивных запросов для передачи инкапсулированных сообщений по TCP в запросах удаленному DNS серверу и ответах клиенту
• Пакет
• Source• Address
• TCP Port 80
• Данные приложения
• Destination
• Address
• Source• Address
• TCP Port 80
• Destination
• Address
• Пакет
Какую часть сетевого пакета надо проверять?
• Традиционно: Приложение = номер портаHTTP = 80
• Новое определение: Приложение = Специфические передаваемые данныеflash = данные для анимации внутри браузера от Adobe
• Данные приложения
Портовые межсетевые экраны не справляются
Порты ≠ ПриложенияIP адреса ≠ пользователиУгрозы > Эксплойты~30% трафика зашифровано SSL
Сетевая безопасность основана на устаревших
знаниях
Может ли ваш портовый firewall показать:Какие приложения в вашем ЦОД?
Что за информация/файлы идут внутри SSH/SSL? Кто использует RDP, Telnet?
Существуют ли неизвестные вам соединения с ЦОД?
*плюс случайные порты
Port 135
Port 137
RPC
SMS
SQL
Shar
ePoi
nt
SMB
Port 80
Port 139
Port 443
Net
BIO
S
Традиционно, лучше безопасность = хуже производительность
Традиционная безопасность
Каждое доп. устройство безопасности снижает производительность
IPS / сетевые AV чаще всех получают жалобы
Идут трения между ИТ и безопасностью
Коммутатор ядра(максимум)
L3-L4 Firewall
Anti-Virus
IPS
Вывод: безопасность ЦОД возможна только с NGFW !
• До 200Гбит/сек.• в кластере А/А
• в режиме «все включено»• (все приложения, • все сигнатуры угроз)
Сделайте межсетевой экран нового поколения важным инструментом для контроля бизнес процессов в сети
Приложения: Классификация трафика приложений в сети - App-ID.
Пользователи: Связать пользователей и устройства с приложениями которыми они пользуются - User-ID и GlobalProtect.
Содержимое приложений: Сканировать контент - Content-ID and WildFire.
Снижаем возможности для атак
»Мир приложений постоянно расширяется
»Бизнес одобряет какому пользователю какое приложение нужно
»Площадь атаки равна только тому что вы сами открыли
»Не зависит от использования портов
»Полный набор средств безопасности: IPS, AV
В оба направленияВнутри SSL и SSHВ архивахВ туннелях и проксиТестировать неизвестные
файлы
Разреши только нужные
приложения
Очисти нужные приложения за
один проход
Gartner: NGFW – ваш следующий IPS
Контроль приложений при помощи User-IDTM
• Windows
• Linux
• MAC
LDAP Radius NTLM
1. В политике безопасности:• Журналировать использования
приложений группой• Разделить неизвестный трафик и
известный трафик
2. В журналах:• Сортировать журнал по пользователям
или группам• Посмотреть журналы по отдельным
пользователям
Пользователь domain1\ivan
использует MS SQL на 172.16.19.10
Соответствие IP и пользователя: • Active Directory• Captive Portal (NTLM)• XML API• LDAP• и другие
• iOS• Android
• Wireless
VDI
Интеграция с другими системами для работы User-ID
Функционал клиентов GlobalProtect• Пользователи всегда подключены в сеть независимо от их местоположения• Межсетевые экраны образуют «облако» сетевой безопасности
• Сканирование подключаемых устройств на соответствие установленного ПОполитике безопасности и допуск на этой основе (NAC)
• Построение распределенных сетей VPN (IPSec и SSL)
• Portal• Gateway • Gateway
Доступны клиенты GlobalProtect для настольных и мобильных ОС
Windows, Mac OS X
Apple iOS
Android
Автоматическое или ручное подключение
Безопасно разрешаем трафик в ЦОДКТО ГДЕ ЧТО КАК
Пользователь/ГруппаЗона/Устройство
Сервер/устройствоЗона
Приложение
IPSAV
DLPQoS
Контент
Security Profile
Сегментация на основе - общего функционала- уровня доверия- соответствия нормативным документам• Проверять весь трафик между зонами по
умолчанию• Управлять неизвестным трафиком
Пример: контроль за приложениями для управления ЦОД
Программы удаленного управления (RDP, Telnet, SSH) использует поддержка и администраторы
Другие пользователи и атакующие также могут использовать их для проникновения в ЦОД
Используя AppIDTM, рекомендуется создать группу приложений для администрирования и используя User-IDTM связать эти приложения только с администраторами соответствующей политикой МЭ.
Пример: Разрешить SSH для управления
Необходимые приложения (SCP, SFTP, SSH) могут быть разрешены только ИТ администраторам
Сотрудники
Администраторы
ЦОД• SSH
• SSH
Интеграция NGFW в инфраструктуру ЦОД
Tap режим - SPAN порт свитча для аудита или обзора приложений в сети
Virtual Wire - для прозрачного контроля и сохранения текущей топологии
На 2 уровне OSI идеально для фильтрации между VLAN
На 3 уровне OSI меняем портовые МЭ и HTTP прокси на NGFW
Tap Layer 3
Поддерживает все текущие технологии сетей:OSPF RIP BGP PBF PIM-SM/SMM IGMP IPv6 NAT VLAN HA QoS
Virtual Wire Layer 2
Устройства для ЦОД
Контроль приложений и блокировка вредоносных
Блокировка атак и вредоносного кода известного и неизвестного
Контроль доступа на основе ID пользователя
Гарантированная производительность разбора приложений 120 Гбит/с
Устройства разного формата для установки в стойку
• Шасси PA-70506 лезвий NGFW каждое
20 Гбит/с
• Линейка PA-5000до 20 Гбит/с
• Линейка PA-3000до 4 Гбит/с
PA-7080 - самый производительный в мире NGFW !!
PA-7050 NPC
PA-7050 System PA-7080 System
NGFW (L3-L7) Gbps
20 120 200
Threat Prev. Gbps 10+ 60+ 100+
Матрица коммутации
1.2 Тбит 1.2 Тбит
Встроенная система логирования
4x1TB HDD = 2TB RAID1
4x1TB HDD = 2TB RAID1
• Лицензирование и техническая поддержка на
шасси• Линейное
масштабирование производительности
• Снижение стоимости за защищенный Гбит
• Интерфейсы 10 и 40 Гбит
Основной функционал операционной системы
Network Динамическая маршрутизация (BGP, OSPF, RIPv2) Режим мониторинга – подключение к SPAN-порту Прозрачный (L1) / L2 / L3 режимы Маршрутизация по политикам (PBF) IPv6
VPN Site-to-site IPSec VPN SSL VPN (GlobalProtect)
Функционал QoS Приоритезация, обеспечение максимальной/гарантированной полосы Возможна привязка к пользователям,
приложениям, интерфейсам, зонам и т.д. Мониторинг полосы в режиме реального
времени
Зоновый подход Все интерфейсы включаются в зоны безопасности для упрощения настройки политик
Отказоустойчивость Active/active, active/passive Синхронизация конфигурации Синхронизация сессий (кроме РА-200, VM-series) Path, link и HA мониторинг
Виртуальные системы Настройка нескольких межсетевых экранов в одном устройстве (серии PA-5000, PA-3000 и PA-2000)
Простое и гибкое управление CLI, Web, Panorama, SNMP, Syslog, NetFlow, интеграция с SIEM/SIM
Кластеризация active/passive, active/active
• HA1
• HA3
• HA2
• HA1
• HA2
• Active/Passive • Active/Active
• Active • Passive • Active • Active
• HA1 – синхронизация control plane (configuration, heartbeats)• HA2 – синхронизация data plane (session state, ARP cach, fib )• HA3 – forwarding link (только для кластера active/active)
SSL расшифрование и отправка на внешний DLP
Порт для зеркалирования расшифрованного трафикаo Позволяет передавать расшифрованный трафик на внешние устройства для
анализа (например Solera или NetWitness)o Может использоваться для сетевых решений DLPo Платформы серий PA-5000 и PA-3000
Технологии Palo Alto Networks, применяемые для защиты от современных угроз
App-ID
URL
IPS Threat License
Spyware
AV
Files
WildfireTRAPS
Block high-risk apps
Block known
malware sites
Block the exploit
Prevent drive-by-downloads
Detect / prevent
unknown malware
Block malware
Block spyware, C&C traffic
Block C&C on non-standard
portsBlock malware,
fast-flux domains
Correlate and block C&C:
malware URL, DNS sinkholing
Координи-рованное
блокирование активных атак по сигнатурам,
источникам, поведению
Приманка • Эксплоит• Загрузка ПО
для «черного
хода»
Установление обратного канала
• Разведка и кража
данных
Anti-Exploitation – prevent 0-day
Check e-mail links
Обнаружение Zero Day и предотвращение с WildFire
Вредоносные файлы выполняются в песочнице – специализированной виртуальной среде
Сигнатуры для вредоносного кода, DNS, URL и центров управления ботами создаются и распространяются автоматически
Легко размещается между виртуальными машинами для контроля скрытых угроз
Не оставить шансов вредоносному коду:
• Anti-malware signatures• DNS intelligence
• Malware URL database• Inspect URLs within email
• Anti-C2 signatures
• WildFire Users
• Global intelligence and
protection delivered to all
users
• Command-and-control
Staged malware downloads Host ID
and data exfil
• WildFire™
• Soak sites• Sinkholes
• 3rd party sources
Технология WildFireАнализируем поведение – блокируем неизвестный вредоносный код
Internet
• Анализируем протоколы SMB, FTP, HTTP, SMTP, POP3, IMAP
• Анализируем файлы exe, dll, bat, sys, flash, jar, apk, doc, pdf и т.д.
Основные техники работы WildFire
• Анализ без исполнения • Найти неизвестный вредоносный код анализируя
130+ типов вредоносного поведения
• Создать защиту
• Подозрительные файлы идущие
по различным приложениям отправляются сенсорами в
сети в единую платформу
анализа
• Этап I
• Точно хорошие?
• Этап II
• Статический анализ PDF, Microsoft Office, Java и Android APKs
• Этап III
• Динамический анализ
• Этап IV
• Списки хороших
• Подписаны доверенным сертификатом
• Внедренные файлы
• Внедренный код
• Аномалии структуры
• Внедренный шелкод
• Сетевой трафик
• Файловая активность
• Процессы и сервисы
• Изменения реестра
• Исполняем в спец среде
• Создать защиту
• … • …
Устройство для работыWildFire модель WF-500
Специальная версия WildFire для ЦОД
Анализ файлов в песочнице выполняется на устройстве
Опция отправлять файлы в облако WildFire
Сигнатуры для вредоносного кода создаются и отправляются в NGFW
Возможность забирать сигнатуры WildFire для вирусов найденных другими заказчиками
Что дает сервис WildFire
NGFW отправляет файлы в WildFire и затем получает сигнатуры и
начинает блокировать
Отчеты по анализу работы вредоносного кода приходят в
NGFW
REST API для загрузки файлов на проверку в WildFire без NGFW
• •
Решения Palo Alto Networks для защиты программного ЦОД
Варианты внедрения Palo Alto Networks VM-series NGFW в среде VMware
• Гостевая вирт. машина• Модели VM-100/200/300, VM-1000-HV• 1 и более на ESXi / vDS• Кластеризация• Для перенаправления трафика требуется
настройка vSwitch• Режимы работы L1/L2/L3• Идеально для SSL/IPsec VPN• Отдельный NGFW для каждой
задачи/ландшафта/департамента/клиента
VM-series for VMware vSphere (ESXi)
• Режим гипервизора• Модель VM-Series for NSX (VM-1000-HV)
доступна как сервис• Автоматизированное развертывание• Неограниченная масштабируемость• Прозрачное перенаправление трафика
без изменения логической сетевой топологии
• Идеально для инспекции трафика «восток-запад»
VM-series for VMware NSX
Варианты внедрения Palo Alto Networks VM-series NGFW на других платформах виртуализации
• Гостевая вирт. машина• Модели VM-100/200/300• Обеспечивает безопасность и multi-
tenancy для среды Citrix XenApp/XenDesktop
VM-series for Citrix NetScaler SDX
Standard Hardware
Гостевая машина в режиме L3
Плагин OpenStack автоматизирует развертывание, лицензирование, настройку интерфейсов и работу динамических адресных групп VM
VM-series for KVM and OpenStack
Интеграция с системами оркестрации Системы оркестрации обеспечивают работу SDN/SDDC и автоматизируют
развертывание систем и сервисов в ЦОД
NGFW и Panorama предоставляют REST XML API для интеграции с системами оркестрации (OpenStack/CloudStack/VMware/…)
Операционная система Palo Alto Networks
Оркестрация в Software-Defined Data Center
Развертывание виртуальных машин Конфигурация сети
Настройка политик безопасности и
генерация отчетов
AP
I
Развертывание, интерфейсы
Создание VLAN/Zone, динамические адресные
группыПолитики, профили, App-ID, динамические отчеты
Context Context
AP
I
AP
I
Совместное решение Palo Alto Networks + VMware NSX
• Palo Alto Networks и VMware – глобальные технологические партнеры
• http://www.vmware.com/partners/global-alliances/• https://www.paloaltonetworks.com/partners/vmware.html
Internet
NSX – это «Network Hypervisor»
Network Hypervisor
Existing Physical Network
Internet
Virtual Networks – виртуальные сетевые компоненты
Network Hypervisor
Virtual Networks
Existing Physical Network
Security Admin
Как работает интегрированное решение VMware NSX + Palo Alto Networks
Cloud Admin
VMware NSX
Регистрация PA-VM как сервис NGFW
Автоматическое развертывание PA-VM на всех ESXi хостах
Встраивание сервиса ИБ в
виртуальной сети и перенаправление
трафика на инспекцию в NGFW
Обновление контекста VM в реальном времени
Динамическое обновление
контекста VM для применения в
политиках
Регистрация, получение лицензий и централизованных объектов и политик из Panorama
Что Вы видите c VShield?
Много трафика по порту
80
Много трафика по порту
53
Много трафика по порту
21
Много трафика по порту
25
VMware vCenter или ESXi
Динамические адресные группы (DAG) и мониторинг VM
Name IP Guest OS Container
web-sjc-01 10.1.1.2 Ubuntu 12.04 Web
sp-sjc-04 10.1.5.4 Win 2008 R2 SharePoint
web-sjc-02 10.1.1.3 Ubuntu 12.04 Web
exch-mia-03 10.4.2.2 Win 2008 R2 Exchange
exch-dfw-03 10.4.2.3 Win 2008 R2 Exchange
sp-mia-07 10.1.5.8 Win 2008 R2 SharePoint
db-mia-01 10.5.1.5 Ubuntu 12.04 MySQL
db-dfw-02 10.5.1.2 Ubuntu 12.04 MySQL
PAN-OS Security Policy
Source Destination Action
PAN-OS Dynamic Address Groups
Name Tags Addresses
SharePoint Servers
MySQL Servers
Miami DC
San Jose LinuxWeb Servers
Name Tags Addresses
SharePoint Servers
SharePointWin 2008 R2
“sp”
MySQL ServersMySQL
Ubuntu 12.04“db”
Miami DC “mia”
San Jose LinuxWeb Servers
“sjc”“web”
Ubuntu 12.04
Name Tags Addresses
SharePoint Servers
SharePointWin 2008 R2
“sp”10.1.5.410.1.5.8
MySQL ServersMySQL
Ubuntu 12.04“db”
10.5.1.510.5.1.2
Miami DC “mia”10.4.2.210.1.5.810.5.1.5
San Jose LinuxWeb Servers
“sjc”“web”
Ubuntu 12.0410.1.1.210.1.1.3
IP
10.1.1.2
10.1.5.4
10.1.1.3
10.4.2.2
10.4.2.3
10.1.5.8
10.5.1.5
10.5.1.2
Name
SharePoint Servers
MySQL Servers
Miami DC
San Jose LinuxWeb Servers
Source Destination Action
San Jose LinuxWeb Servers
SharePoint Servers ✔
MySQLServers Miami DC
db-mia-05 10.5.1.9 Ubuntu 12.04 MySQL
10.5.1.9
46 | ©2014, Palo Alto Networks. Confidential and Proprietary.
Политики безопасности внутри ЦОД
Только «белые списки»: Известные приложения «Самописные» неизвестные
приложения Динамические группы адресов VM
Решение задач ИТ-администраторов и администраторов ИБ
• Ускоренное развертывание сервисов по требованию бизнеса
• Соответствие требованиям ИБ в новой модели
• Повышение визуализации и защиты от кибер-атак
• Обеспечение согласованных друг с другом политик безопасности во всем ЦОД
Cloud Security
Экосистема Palo Alto Networks для защиты ЦОД
Аппаратные серверы
Виртуализированные серверы / Private Cloud
Аппаратные NGFW(c вирт. системами)
Виртуальные NGFW
(Private Cloud)
Оркестрация,автоматизация,
SaaS, SECaaSс REST XML APIPanorama:
Централизованное управление всеми NGFW
Data Center Perimeter
WildfirePublic/Private CloudThreat Intelligence
Public CloudAWS, vCloud AIR
Аппаратные NGFW(c вирт. системами)
Виртуальные NGFW(Public Cloud)
Traps = Advanced Endpoint Protection(Windows)
VMware, KVM, Citrix SDX
Удаленный доступ с
GlobalProtect
Пример крупнейшего внедрения NGFW + VMware NSX
http://www.networksasia.net/article/security-and-micro-segmentation-one-compelling-adoption-arguments-sddc.1409100853
http://www.computerworlduk.com/news/infrastructure/how-columbia-sportswear-will-enhances-security-with-software-defined-data-centre-approach-3606103/
Защита рабочих станций и серверов, которая СРАЗУ БЛОКИРУЕТ эксплойты Предотвращение эксплойтов сразу – включая zero-day!
Предотвращение вирусов – неизвестных и сложных
Сбор данных для доказательства атаки – для анализа
Быстро, просто, удобно – пользователь минимально участвует в работе агента
Интеграция с сетевой и облачной защитой – пользуемся данными от устройств защиты по всему миру
Нужна защита от неизвестного кода сразу: TRAPS
Palo Alto Networks Next-Generation Threat Cloud
Palo Alto Networks Next-Generation Endpoint
Palo Alto Networks Next-Generation Firewall
Next-Generation Firewall Инспекция трафика Контроль приложений и
пользователей Защита от угроз 0-ого дня Блокировка угроз и вирусов на
уровне сети
WildFire - обнаружение Zero Day Анализ подозрительных файлов
в облаке Распространение сигнатур
безопасности на МЭ
TRAPS - защита рабочих станций Инспекция процессов и файлов Защиты от известных и неизвестных угроз Защиты стационарных, виртуальных и
мобильных пользователей Интеграция с облачной защитой от угроз
Платформа безопасности нового поколения
Платформа Palo Alto Networksне создает пробок в сети
• Обеспечиваем заданную производительность при всех включенных сервисах безопасности
Что дальше:Как вы можете защитить свой ЦОД?
VoIP/Video Infrastructure
B2B/Partner Services
Network Segmentation
Virtual Desktop Infrastructure
Industry Specific Services
Virtual Server Infrastructure
Internet Data Centers
Datacenter and Services Infrastructure
• Applications in the cloud
Cloud/SAAS
• Palo Alto Networks подготавливает отчет о приложениях и рисках в ЦОД : Запросите у любого партнера или локального офиса пилот
Установите Palo Alto Networks в сети Мы покажем вам что невидимого есть в вашей сети и предоставим отчет
NSX Demos + Palo Alto Networks NGFW• http://www.projectnee.com/HOL/catalogs/catalog/134
LIVE - ответы на все вопросы • https://live.paloaltonetworks.com
Скачать Migration Tool 3.2. Последнее обновление 27.11.2015 • https://live.paloaltonetworks.com/t5/Migration-Tool-Articles/Download-the-Migration-Tool/ta-p/56582
• Денис Батранков• [email protected]
Пример: статистика по приложениям на периметре
• Ссылка на диаграмму
• http://researchcenter.paloaltonetworks.com/app-usage-risk-report-visualization-2014/
Validated Solutions
Securing FlexPod Deployments
• 61 | ©2014, Palo Alto Networks. Confidential and Proprietary.
1x10GbE 1x10GbE
1x10GbE 1x10GbE
HA – A/P
Qty 2: PA-5060 in HA – A/P
Layer 3 mode
• Palo Alto Networks next-generation firewalls protecting a “VMWare on FlexPod” architecture running• MS Sharepoint• MS SQL• MS Exchange Active Directory
• Firewall Features: • Layer 3 mode• HA• App-ID, User-ID and Content-ID
Validated secure, scalable, flexible architecture that evolves with data center needs
Scalable Firewalling with ADCs or Multi-Link AggregationCitrix, Arista, Avaya/Nortel, Brocade
• 62 | ©2014, Palo Alto Networks. Confidential and Proprietary.
• Ideal for networks that require more than 20Gbps firewall solution
• Two Options:
o Application delivery controllers provides load balancing and ensures symmetric routing for firewalls
o Multi-link aggregation switches
• Depending on the option, Palo Alto Networks Virtual-Wire or Layer 3 mode may be selected
• More than 100GBps firewall capabilities tested and validated
• 70 Gbps
• 70 Gbps
Secure, High-Performance Data Center ApplicationsValidated for MS SharePoint, Lync and Exchange
Step-by-step deployment guide on securing and optimizing the delivery of Microsoft SharePoint, Lync, Exchange applications
Application has multiple backend complex server components
Example: Safely enable SharePoint and
functions within SharePoint by user and content
Scan SharePoint content for threats Integration with ADCs:
Optimize SQL database acceleration Reduce SharePoint costs by optimizing
bandwidth and content compression/caching
Automated with cloud orchestration
• Zone 1
Front-End
• Zone 2
Mid-Tier
• Zone 3
Back-End
• Database SQL Servers
• SharePoint Application Server
• SharePoint WebServers
• 63 | ©2014, Palo Alto Networks. Confidential and Proprietary.
Citrix XenApp/XenDesktop Integration Safe Application Enablement for VDI Users
• Remote User• Branch Office
• Home Office• Tablet
• Access Gateway
• Desktop
Delivery
Controller
• HQ Offic
e
• XenDesktop Farm
• XenServer Resource Pool
• Active Directo
ry • Data Store
License Server
• DHCP
• Infrastructure
• Virtual Desktop 1
• Personalization: User A
• Apps: Office
• OS: Vista
• Virtual Desktop 2
• Personalization: User B
• Apps: Office
• OS: XP
• Virtual Desktop 3
• Personalization:
• Apps:
• OS:
• Desktop
Delivery
Controller
• Data
Collector
• Web
Interface
Fir
ewal
l
• malwar
e
• botnet
s
• exploits
Terminal Services or User-ID Agent for user identity
validation
Back-end safe application enablement
NetScaler for load balancing access to VDI infrastructure
• 64 | ©2014, Palo Alto Networks. Confidential and Proprietary.
VM-Series – L2 Deployment
• 65 | ©2014, Palo Alto Networks. Confidential and Proprietary.
ESXi Host
• Production
Network
• Virtual Switch 2
PortGroup3VLAN 100
PortGroup4 VLAN 100 (P)
PortGroup5VLAN 200 (P)
PortGroup6VLAN 200
PortGroup 2- ProdNet (P)
MGMT
• Virtual Switch 3
• Virtual Switch 1
PortGroup 1 - MGMT
Eth1/1
Eth1/2 Eth1/3
Dev01 Dev02 Prod02Prod01
• VM-Series Configuration• Mgmt Interface in dedicated vSwitch• Single layer 3 network across all VMs• All interfaces are layer 2 in same VLAN• Promiscuous PortGroups• Security Policy Protects Inter-Zone
Traffic
• vSphere Configuration• PortGroup VLANs are only within
vSwitch3 and are not extended to the physical network
• Only ProdNet and MGMT networks are connected
VM-Series – L2 Distributed Deployment
• 66 | ©2014, Palo Alto Networks. Confidential and Proprietary.
ESXi Host
• Production
Network
Distributed PortGroup3VLAN 100
Distributed PortGroup4
VLAN 100 (P)
Distributed PortGroup5
VLAN 200 (P)
DistributedPortGroup6VLAN 200
Distributed Port Group 2- ProdNet (P)
Eth1/1
Eth1/2 Eth1/3
Dev01 Dev02 Prod02Prod01
ESXi Host
Virtual Distributed Switch 2
Virtual Distributed Switch 3
Virtual Distributed Switch 1
PortGroup 1 - MGMT
Dev03 Dev04 Prod04Prod03
Distributed PortGroup3VLAN 100
Distributed PortGroup4
VLAN 100 (P)
Distributed PortGroup5
VLAN 200 (P)
Distributed PortGroup6VLAN 200
Distributed Port Group 2- ProdNet (P)
MGMT
External VLAN
VM-Series – L2 Distributed HA Deployment
• 67 | ©2014, Palo Alto Networks. Confidential and Proprietary.
ESXi Host
• Production
Network
Distributed PortGroup3VLAN 100
Distributed PortGroup4
VLAN 100 (P)
Distributed PortGroup5
VLAN 200 (P)
DistributedPortGroup6VLAN 200
Distributed Port Group 2- ProdNet (P)
Eth1/1
Eth1/2 Eth1/3
Dev01 Dev02 Prod02Prod01
ESXi Host
Virtual Distributed Switch 2
Virtual Distributed Switch 3
MGMT
Virtual Distributed Switch 1
PortGroup 1 - MGMT
Eth1/1
Eth1/2 Eth1/3
Dev03 Dev04 Prod04Prod03
Distributed PortGroup3VLAN 100
Distributed PortGroup4
VLAN 100 (P)
Distributed PortGroup5
VLAN 200 (P)
Distributed PortGroup6VLAN 200
Distributed Port Group 2- ProdNet (P)
MGMT
External VLAN
VM-Series – Layer 3 Intra-ESXi Segmentation
• 68 | ©2014, Palo Alto Networks. Confidential and Proprietary.
ESXi Host
• Internet
Virtual Switch 1
PortGroup3 – DevNet PortGroup4 - ProdNet
PortGroup1- ExternalNet
MGMT
Virtual Switch 3
Virtual Switch 1
PortGroup2 - MgmtNet
Eth1/1
Eth1/2 Eth1/3
Dev01 Dev02 Prod02Prod01
VM-Series Configuration• All interfaces are layer 3• Each interface connects to a
different vSwitch• Management interface is part of
dedicated MgmtNet• VM-Series is default gateway for
each network
vSphere Configuration• Each vSwitch is a separate layer3
network• vSwitch1 – 10.1.1.0/24• vSwitch2 – 10.1.2.0/24• vSwitch3 – 10.1.3.0/24• vSwitch4 – 10.1.4.0/24
• Must change the MAC Address in ESXi host to match VM-Series
• Virtual Switch 4
Eth1/4
Segmenting the Modern DatacenterTap
Layer 2 Layer 3
Virtual Wire
app
Corp Net
Users
app
web
taptap
Corp NetUsers
DB
PCI
VLAN 100
VLAN 100
VLAN 1100
VLAN 1100
Bridge 100 to 1100
DBapp
DGweb
10.1.1.0/24
10.1.2.0/24
172.16.0.0/16
Corp Net
DB app
10.1.3.0/24
Users