Решения для защиты корпоративных и коммерческих цод

Решения Palo Alto Networks для защиты корпоративных и

коммерческих ЦОД

• Денис Батранков• консультант по ИБ

• [email protected]

Предположение о защищенности и реальность

• Source:The State of Application Security

• A Research Study by Ponemon Institute, 2015

• Риски ≠ Затраты

• Source: The State of Risk-Based Security

Management,A Research Study by Ponemon Institute, 2015

• Есть ли у Вас корпоративный стандарт архитектуры безопасности?

• Где Ваши риски безопасности и где Вы инвестируете в ИБ?

• Мнение рук-ва ≠ Мнение тех. персонала

Взломы происходят постоянно

• http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/

Приложения ЦОД являются желаемой целью для злоумышленников

Защищенный периметр, доверенная зона внутри?

21% MS-RPC

15%Web Browsing

11% SMB

10% MS-SQL Monitor

10% MS-Office

Communicator

4% SIP

3% Other

2% Active Di-rectory

2% RPC

1% DNS

25% MS-SQL•10 из 1395

приложений создают 97% логов от IPS

•Source: Palo Alto Networks, Application Usage and Threat Report. Jan. 2015.

•9 из них – приложения ЦОД

• 4 | ©2015, Palo Alto Networks. Confidential and Proprietary.

• Enterprise Network

Трафик межсерверного взаимодействия («восток-запад») составляет 70% от всего трафика ЦОД

Трафик необходимый для работы приложений уже не такой примитивныйОколо 30% приложений используют шифрование SSL

• 80, 443, 135, 137, 139 • 3200, 3300, 8000, 3600, 8100, 50013, 50014, 65000

• 443, 3478, 5223, 50,000-59,999

• 3389, 53, 42, 8, 13, 15, 17, 137, 138, 139, 445, 1025, 123, 507, 750, 88+464, 389, 636, 3268, 445, 161, 162, 42424,

691, 1024-65535

• Множество портов и множество данных внутри одного соединения для работы

80

443 135

137

139

139

3200 3300 3600 8100

5223

50000 – 59,999

53 3389 42 4424 8 13

15 17 445 1024 123 507 750 88+64 389 636

3268

42424

161

Пример: туннелирование поверх 53 портаПримеры

tcp-over-dns dns2tcp Iodine Heyoka OzymanDNS NSTX

Использование рекурсивных запросов для передачи инкапсулированных сообщений по TCP в запросах удаленному DNS серверу и ответах клиенту

• Пакет

• Source• Address

• TCP Port 80

• Данные приложения

• Destination

• Address

• Source• Address

• TCP Port 80

• Destination

• Address

• Пакет

Какую часть сетевого пакета надо проверять?

• Традиционно: Приложение = номер портаHTTP = 80

• Новое определение: Приложение = Специфические передаваемые данныеflash = данные для анимации внутри браузера от Adobe

• Данные приложения

Портовые межсетевые экраны не справляются

Порты ≠ ПриложенияIP адреса ≠ пользователиУгрозы > Эксплойты~30% трафика зашифровано SSL

Сетевая безопасность основана на устаревших

знаниях

Может ли ваш портовый firewall показать:Какие приложения в вашем ЦОД?

Что за информация/файлы идут внутри SSH/SSL? Кто использует RDP, Telnet?

Существуют ли неизвестные вам соединения с ЦОД?

*плюс случайные порты

Port 135

Port 137

RPC

SMS

SQL

Shar

ePoi

nt

SMB

Port 80

Port 139

Port 443

Net

BIO

S

Традиционно, лучше безопасность = хуже производительность

Традиционная безопасность

Каждое доп. устройство безопасности снижает производительность

IPS / сетевые AV чаще всех получают жалобы

Идут трения между ИТ и безопасностью

Коммутатор ядра(максимум)

L3-L4 Firewall

Anti-Virus

IPS

Вывод: безопасность ЦОД возможна только с NGFW !

• До 200Гбит/сек.• в кластере А/А

• в режиме «все включено»• (все приложения, • все сигнатуры угроз)

Сделайте межсетевой экран нового поколения важным инструментом для контроля бизнес процессов в сети

Приложения: Классификация трафика приложений в сети - App-ID.

Пользователи: Связать пользователей и устройства с приложениями которыми они пользуются - User-ID и GlobalProtect.

Содержимое приложений: Сканировать контент - Content-ID and WildFire.

Снижаем возможности для атак

»Мир приложений постоянно расширяется

»Бизнес одобряет какому пользователю какое приложение нужно

»Площадь атаки равна только тому что вы сами открыли

»Не зависит от использования портов

»Полный набор средств безопасности: IPS, AV

В оба направленияВнутри SSL и SSHВ архивахВ туннелях и проксиТестировать неизвестные

файлы

Разреши только нужные

приложения

Очисти нужные приложения за

один проход

Gartner: NGFW – ваш следующий IPS

Контроль приложений при помощи User-IDTM

• Windows

• Linux

• MAC

LDAP Radius NTLM

1. В политике безопасности:• Журналировать использования

приложений группой• Разделить неизвестный трафик и

известный трафик

2. В журналах:• Сортировать журнал по пользователям

или группам• Посмотреть журналы по отдельным

пользователям

Пользователь domain1\ivan

использует MS SQL на 172.16.19.10

Соответствие IP и пользователя: • Active Directory• Captive Portal (NTLM)• XML API• LDAP• и другие

• iOS• Android

• Wireless

VDI

Интеграция с другими системами для работы User-ID

Функционал клиентов GlobalProtect• Пользователи всегда подключены в сеть независимо от их местоположения• Межсетевые экраны образуют «облако» сетевой безопасности

• Сканирование подключаемых устройств на соответствие установленного ПОполитике безопасности и допуск на этой основе (NAC)

• Построение распределенных сетей VPN (IPSec и SSL)

• Portal• Gateway • Gateway

Доступны клиенты GlobalProtect для настольных и мобильных ОС

Windows, Mac OS X

Apple iOS

Android

Автоматическое или ручное подключение

Безопасно разрешаем трафик в ЦОДКТО ГДЕ ЧТО КАК

Пользователь/ГруппаЗона/Устройство

Сервер/устройствоЗона

Приложение

IPSAV

DLPQoS

Контент

Security Profile

Сегментация на основе - общего функционала- уровня доверия- соответствия нормативным документам• Проверять весь трафик между зонами по

умолчанию• Управлять неизвестным трафиком

Пример: контроль за приложениями для управления ЦОД

Программы удаленного управления (RDP, Telnet, SSH) использует поддержка и администраторы

Другие пользователи и атакующие также могут использовать их для проникновения в ЦОД

Используя AppIDTM, рекомендуется создать группу приложений для администрирования и используя User-IDTM связать эти приложения только с администраторами соответствующей политикой МЭ.

Пример: Разрешить SSH для управления

Необходимые приложения (SCP, SFTP, SSH) могут быть разрешены только ИТ администраторам

Сотрудники

Администраторы

ЦОД• SSH

• SSH

Интеграция NGFW в инфраструктуру ЦОД

Tap режим - SPAN порт свитча для аудита или обзора приложений в сети

Virtual Wire - для прозрачного контроля и сохранения текущей топологии

На 2 уровне OSI идеально для фильтрации между VLAN

На 3 уровне OSI меняем портовые МЭ и HTTP прокси на NGFW

Tap Layer 3

Поддерживает все текущие технологии сетей:OSPF RIP BGP PBF PIM-SM/SMM IGMP IPv6 NAT VLAN HA QoS

Virtual Wire Layer 2

Устройства для ЦОД

Контроль приложений и блокировка вредоносных

Блокировка атак и вредоносного кода известного и неизвестного

Контроль доступа на основе ID пользователя

Гарантированная производительность разбора приложений 120 Гбит/с

Устройства разного формата для установки в стойку

• Шасси PA-70506 лезвий NGFW каждое

20 Гбит/с

• Линейка PA-5000до 20 Гбит/с

• Линейка PA-3000до 4 Гбит/с

PA-7080 - самый производительный в мире NGFW !!

PA-7050 NPC

PA-7050 System PA-7080 System

NGFW (L3-L7) Gbps

20 120 200

Threat Prev. Gbps 10+ 60+ 100+

Матрица коммутации

1.2 Тбит 1.2 Тбит

Встроенная система логирования

4x1TB HDD = 2TB RAID1

4x1TB HDD = 2TB RAID1

• Лицензирование и техническая поддержка на

шасси• Линейное

масштабирование производительности

• Снижение стоимости за защищенный Гбит

• Интерфейсы 10 и 40 Гбит

Основной функционал операционной системы

Network Динамическая маршрутизация (BGP, OSPF, RIPv2) Режим мониторинга – подключение к SPAN-порту Прозрачный (L1) / L2 / L3 режимы Маршрутизация по политикам (PBF) IPv6

VPN Site-to-site IPSec VPN SSL VPN (GlobalProtect)

Функционал QoS Приоритезация, обеспечение максимальной/гарантированной полосы Возможна привязка к пользователям,

приложениям, интерфейсам, зонам и т.д. Мониторинг полосы в режиме реального

времени

Зоновый подход Все интерфейсы включаются в зоны безопасности для упрощения настройки политик

Отказоустойчивость Active/active, active/passive Синхронизация конфигурации Синхронизация сессий (кроме РА-200, VM-series) Path, link и HA мониторинг

Виртуальные системы Настройка нескольких межсетевых экранов в одном устройстве (серии PA-5000, PA-3000 и PA-2000)

Простое и гибкое управление CLI, Web, Panorama, SNMP, Syslog, NetFlow, интеграция с SIEM/SIM

Кластеризация active/passive, active/active

• HA1

• HA3

• HA2

• HA1

• HA2

• Active/Passive • Active/Active

• Active • Passive • Active • Active

• HA1 – синхронизация control plane (configuration, heartbeats)• HA2 – синхронизация data plane (session state, ARP cach, fib )• HA3 – forwarding link (только для кластера active/active)

SSL расшифрование и отправка на внешний DLP

Порт для зеркалирования расшифрованного трафикаo Позволяет передавать расшифрованный трафик на внешние устройства для

анализа (например Solera или NetWitness)o Может использоваться для сетевых решений DLPo Платформы серий PA-5000 и PA-3000

Технологии Palo Alto Networks, применяемые для защиты от современных угроз

App-ID

URL

IPS Threat License

Spyware

AV

Files

WildfireTRAPS

Block high-risk apps

Block known

malware sites

Block the exploit

Prevent drive-by-downloads

Detect / prevent

unknown malware

Block malware

Block spyware, C&C traffic

Block C&C on non-standard

portsBlock malware,

fast-flux domains

Correlate and block C&C:

malware URL, DNS sinkholing

Координи-рованное

блокирование активных атак по сигнатурам,

источникам, поведению

Приманка • Эксплоит• Загрузка ПО

для «черного

хода»

Установление обратного канала

• Разведка и кража

данных

Anti-Exploitation – prevent 0-day

Check e-mail links

Обнаружение Zero Day и предотвращение с WildFire

Вредоносные файлы выполняются в песочнице – специализированной виртуальной среде

Сигнатуры для вредоносного кода, DNS, URL и центров управления ботами создаются и распространяются автоматически

Легко размещается между виртуальными машинами для контроля скрытых угроз

Не оставить шансов вредоносному коду:

• Anti-malware signatures• DNS intelligence

• Malware URL database• Inspect URLs within email

• Anti-C2 signatures

• WildFire Users

• Global intelligence and

protection delivered to all

users

• Command-and-control

Staged malware downloads Host ID

and data exfil

• WildFire™

• Soak sites• Sinkholes

• 3rd party sources

Технология WildFireАнализируем поведение – блокируем неизвестный вредоносный код

Internet

• Анализируем протоколы SMB, FTP, HTTP, SMTP, POP3, IMAP

• Анализируем файлы exe, dll, bat, sys, flash, jar, apk, doc, pdf и т.д.

Основные техники работы WildFire

• Анализ без исполнения • Найти неизвестный вредоносный код анализируя

130+ типов вредоносного поведения

• Создать защиту

• Подозрительные файлы идущие

по различным приложениям отправляются сенсорами в

сети в единую платформу

анализа

• Этап I

• Точно хорошие?

• Этап II

• Статический анализ PDF, Microsoft Office, Java и Android APKs

• Этап III

• Динамический анализ

• Этап IV

• Списки хороших

• Подписаны доверенным сертификатом

• Внедренные файлы

• Внедренный код

• Аномалии структуры

• Внедренный шелкод

• Сетевой трафик

• Файловая активность

• Процессы и сервисы

• Изменения реестра

• Исполняем в спец среде

• Создать защиту

• … • …

Устройство для работыWildFire модель WF-500

Специальная версия WildFire для ЦОД

Анализ файлов в песочнице выполняется на устройстве

Опция отправлять файлы в облако WildFire

Сигнатуры для вредоносного кода создаются и отправляются в NGFW

Возможность забирать сигнатуры WildFire для вирусов найденных другими заказчиками

Что дает сервис WildFire

NGFW отправляет файлы в WildFire и затем получает сигнатуры и

начинает блокировать

Отчеты по анализу работы вредоносного кода приходят в

NGFW

REST API для загрузки файлов на проверку в WildFire без NGFW

• •

Решения Palo Alto Networks для защиты программного ЦОД

Варианты внедрения Palo Alto Networks VM-series NGFW в среде VMware

• Гостевая вирт. машина• Модели VM-100/200/300, VM-1000-HV• 1 и более на ESXi / vDS• Кластеризация• Для перенаправления трафика требуется

настройка vSwitch• Режимы работы L1/L2/L3• Идеально для SSL/IPsec VPN• Отдельный NGFW для каждой

задачи/ландшафта/департамента/клиента

VM-series for VMware vSphere (ESXi)

• Режим гипервизора• Модель VM-Series for NSX (VM-1000-HV)

доступна как сервис• Автоматизированное развертывание• Неограниченная масштабируемость• Прозрачное перенаправление трафика

без изменения логической сетевой топологии

• Идеально для инспекции трафика «восток-запад»

VM-series for VMware NSX

Варианты внедрения Palo Alto Networks VM-series NGFW на других платформах виртуализации

• Гостевая вирт. машина• Модели VM-100/200/300• Обеспечивает безопасность и multi-

tenancy для среды Citrix XenApp/XenDesktop

VM-series for Citrix NetScaler SDX

Standard Hardware

Гостевая машина в режиме L3

Плагин OpenStack автоматизирует развертывание, лицензирование, настройку интерфейсов и работу динамических адресных групп VM

VM-series for KVM and OpenStack

Интеграция с системами оркестрации Системы оркестрации обеспечивают работу SDN/SDDC и автоматизируют

развертывание систем и сервисов в ЦОД

NGFW и Panorama предоставляют REST XML API для интеграции с системами оркестрации (OpenStack/CloudStack/VMware/…)

Операционная система Palo Alto Networks

Оркестрация в Software-Defined Data Center

Развертывание виртуальных машин Конфигурация сети

Настройка политик безопасности и

генерация отчетов

AP

I

Развертывание, интерфейсы

Создание VLAN/Zone, динамические адресные

группыПолитики, профили, App-ID, динамические отчеты

Context Context

AP

I

AP

I

Совместное решение Palo Alto Networks + VMware NSX

• Palo Alto Networks и VMware – глобальные технологические партнеры

• http://www.vmware.com/partners/global-alliances/• https://www.paloaltonetworks.com/partners/vmware.html

http://www.vmware.com/partners/global-alliances/

https://www.paloaltonetworks.com/partners/vmware.html

Internet

NSX – это «Network Hypervisor»

Network Hypervisor

Existing Physical Network

Internet

Virtual Networks – виртуальные сетевые компоненты

Network Hypervisor

Virtual Networks

Existing Physical Network

Security Admin

Как работает интегрированное решение VMware NSX + Palo Alto Networks

Cloud Admin

VMware NSX

Регистрация PA-VM как сервис NGFW

Автоматическое развертывание PA-VM на всех ESXi хостах

Встраивание сервиса ИБ в

виртуальной сети и перенаправление

трафика на инспекцию в NGFW

Обновление контекста VM в реальном времени

Динамическое обновление

контекста VM для применения в

политиках

Регистрация, получение лицензий и централизованных объектов и политик из Panorama

Что Вы видите c VShield?

Много трафика по порту

80


53


21


25

VMware vCenter или ESXi

Динамические адресные группы (DAG) и мониторинг VM

Name IP Guest OS Container

web-sjc-01 10.1.1.2 Ubuntu 12.04 Web

sp-sjc-04 10.1.5.4 Win 2008 R2 SharePoint

web-sjc-02 10.1.1.3 Ubuntu 12.04 Web

exch-mia-03 10.4.2.2 Win 2008 R2 Exchange

exch-dfw-03 10.4.2.3 Win 2008 R2 Exchange

sp-mia-07 10.1.5.8 Win 2008 R2 SharePoint

db-mia-01 10.5.1.5 Ubuntu 12.04 MySQL

db-dfw-02 10.5.1.2 Ubuntu 12.04 MySQL

PAN-OS Security Policy

Source Destination Action

PAN-OS Dynamic Address Groups

Name Tags Addresses

SharePoint Servers

MySQL Servers

Miami DC

San Jose LinuxWeb Servers

Name Tags Addresses

SharePoint Servers

SharePointWin 2008 R2

“sp”

MySQL ServersMySQL

Ubuntu 12.04“db”

Miami DC “mia”


“sjc”“web”

Ubuntu 12.04

Name Tags Addresses

SharePoint Servers

SharePointWin 2008 R2

“sp”10.1.5.410.1.5.8

MySQL ServersMySQL

Ubuntu 12.04“db”

10.5.1.510.5.1.2

Miami DC “mia”10.4.2.210.1.5.810.5.1.5


“sjc”“web”

Ubuntu 12.0410.1.1.210.1.1.3

IP

10.1.1.2

10.1.5.4

10.1.1.3

10.4.2.2

10.4.2.3

10.1.5.8

10.5.1.5

10.5.1.2

Name

SharePoint Servers

MySQL Servers

Miami DC


Source Destination Action


SharePoint Servers ✔

MySQLServers Miami DC

db-mia-05 10.5.1.9 Ubuntu 12.04 MySQL

10.5.1.9

46 | ©2014, Palo Alto Networks. Confidential and Proprietary.

Политики безопасности внутри ЦОД

Только «белые списки»: Известные приложения «Самописные» неизвестные

приложения Динамические группы адресов VM

Решение задач ИТ-администраторов и администраторов ИБ

• Ускоренное развертывание сервисов по требованию бизнеса

• Соответствие требованиям ИБ в новой модели

• Повышение визуализации и защиты от кибер-атак

• Обеспечение согласованных друг с другом политик безопасности во всем ЦОД

Cloud Security

Экосистема Palo Alto Networks для защиты ЦОД

Аппаратные серверы

Виртуализированные серверы / Private Cloud

Аппаратные NGFW(c вирт. системами)

Виртуальные NGFW

(Private Cloud)

Оркестрация,автоматизация,

SaaS, SECaaSс REST XML APIPanorama:

Централизованное управление всеми NGFW

Data Center Perimeter

WildfirePublic/Private CloudThreat Intelligence

Public CloudAWS, vCloud AIR

Аппаратные NGFW(c вирт. системами)

Виртуальные NGFW(Public Cloud)

Traps = Advanced Endpoint Protection(Windows)

VMware, KVM, Citrix SDX

Удаленный доступ с

GlobalProtect

Пример крупнейшего внедрения NGFW + VMware NSX

http://www.networksasia.net/article/security-and-micro-segmentation-one-compelling-adoption-arguments-sddc.1409100853

http://www.computerworlduk.com/news/infrastructure/how-columbia-sportswear-will-enhances-security-with-software-defined-data-centre-approach-3606103/









Защита рабочих станций и серверов, которая СРАЗУ БЛОКИРУЕТ эксплойты Предотвращение эксплойтов сразу – включая zero-day!

Предотвращение вирусов – неизвестных и сложных

Сбор данных для доказательства атаки – для анализа

Быстро, просто, удобно – пользователь минимально участвует в работе агента

Интеграция с сетевой и облачной защитой – пользуемся данными от устройств защиты по всему миру

Нужна защита от неизвестного кода сразу: TRAPS

Palo Alto Networks Next-Generation Threat Cloud

Palo Alto Networks Next-Generation Endpoint

Palo Alto Networks Next-Generation Firewall

Next-Generation Firewall Инспекция трафика Контроль приложений и

пользователей Защита от угроз 0-ого дня Блокировка угроз и вирусов на

уровне сети

WildFire - обнаружение Zero Day Анализ подозрительных файлов

в облаке Распространение сигнатур

безопасности на МЭ

TRAPS - защита рабочих станций Инспекция процессов и файлов Защиты от известных и неизвестных угроз Защиты стационарных, виртуальных и

мобильных пользователей Интеграция с облачной защитой от угроз

Платформа безопасности нового поколения

Платформа Palo Alto Networksне создает пробок в сети

• Обеспечиваем заданную производительность при всех включенных сервисах безопасности

Что дальше:Как вы можете защитить свой ЦОД?

VoIP/Video Infrastructure

B2B/Partner Services

Network Segmentation

Virtual Desktop Infrastructure

Industry Specific Services

Virtual Server Infrastructure

Internet Data Centers

Datacenter and Services Infrastructure

• Applications in the cloud

Cloud/SAAS

• Palo Alto Networks подготавливает отчет о приложениях и рисках в ЦОД : Запросите у любого партнера или локального офиса пилот

Установите Palo Alto Networks в сети Мы покажем вам что невидимого есть в вашей сети и предоставим отчет

NSX Demos + Palo Alto Networks NGFW• http://www.projectnee.com/HOL/catalogs/catalog/134

LIVE - ответы на все вопросы • https://live.paloaltonetworks.com

https://live.paloaltonetworks.com/

https://live.paloaltonetworks.com/

Скачать Migration Tool 3.2. Последнее обновление 27.11.2015 • https://live.paloaltonetworks.com/t5/Migration-Tool-Articles/Download-the-Migration-Tool/ta-p/56582

https://live.paloaltonetworks.com/t5/Migration-Tool-Articles/Download-the-Migration-Tool/ta-p/56582

https://live.paloaltonetworks.com/t5/Migration-Tool-Articles/Download-the-Migration-Tool/ta-p/56582

• Денис Батранков• [email protected]

Пример: статистика по приложениям на периметре

• Ссылка на диаграмму

• http://researchcenter.paloaltonetworks.com/app-usage-risk-report-visualization-2014/

http://researchcenter.paloaltonetworks.com/app-usage-risk-report-visualization-2014/?elqaid=828&elqat=2&elqTrackId=fd857ddd0bd9404bb8c5d270ae3466bc

http://researchcenter.paloaltonetworks.com/app-usage-risk-report-visualization-2014/

http://researchcenter.paloaltonetworks.com/app-usage-risk-report-visualization-2014/

http://researchcenter.paloaltonetworks.com/app-usage-risk-report-visualization-2014/?elqaid=828&elqat=2&elqTrackId=fd857ddd0bd9404bb8c5d270ae3466bc

Validated Solutions

Securing FlexPod Deployments


1x10GbE 1x10GbE

1x10GbE 1x10GbE

HA – A/P

Qty 2: PA-5060 in HA – A/P

Layer 3 mode

• Palo Alto Networks next-generation firewalls protecting a “VMWare on FlexPod” architecture running• MS Sharepoint• MS SQL• MS Exchange Active Directory

• Firewall Features: • Layer 3 mode• HA• App-ID, User-ID and Content-ID

Validated secure, scalable, flexible architecture that evolves with data center needs

Scalable Firewalling with ADCs or Multi-Link AggregationCitrix, Arista, Avaya/Nortel, Brocade


• Ideal for networks that require more than 20Gbps firewall solution

• Two Options:

o Application delivery controllers provides load balancing and ensures symmetric routing for firewalls

o Multi-link aggregation switches

• Depending on the option, Palo Alto Networks Virtual-Wire or Layer 3 mode may be selected

• More than 100GBps firewall capabilities tested and validated

• 70 Gbps

• 70 Gbps

Secure, High-Performance Data Center ApplicationsValidated for MS SharePoint, Lync and Exchange

Step-by-step deployment guide on securing and optimizing the delivery of Microsoft SharePoint, Lync, Exchange applications

Application has multiple backend complex server components

Example: Safely enable SharePoint and

functions within SharePoint by user and content

Scan SharePoint content for threats Integration with ADCs:

Optimize SQL database acceleration Reduce SharePoint costs by optimizing

bandwidth and content compression/caching

Automated with cloud orchestration

• Zone 1

Front-End

• Zone 2

Mid-Tier

• Zone 3

Back-End

• Database SQL Servers

• SharePoint Application Server

• SharePoint WebServers


Citrix XenApp/XenDesktop Integration Safe Application Enablement for VDI Users

• Remote User• Branch Office

• Home Office• Tablet

• Access Gateway

• Desktop

Delivery

Controller

• HQ Offic

e

• XenDesktop Farm

• XenServer Resource Pool

• Active Directo

ry • Data Store

License Server

• DHCP

• Infrastructure

• Virtual Desktop 1

• Personalization: User A

• Apps: Office

• OS: Vista


• Personalization: User B

• Apps: Office

• OS: XP


• Personalization:

• Apps:

• OS:

• Desktop

Delivery

Controller

• Data

Collector

• Web

Interface

Fir

ewal

l

• malwar

e

• botnet

s

• exploits

Terminal Services or User-ID Agent for user identity

validation

Back-end safe application enablement

NetScaler for load balancing access to VDI infrastructure


VM-Series – L2 Deployment


ESXi Host

• Production

Network

• Virtual Switch 2

PortGroup3VLAN 100

PortGroup4 VLAN 100 (P)

PortGroup5VLAN 200 (P)

PortGroup6VLAN 200

PortGroup 2- ProdNet (P)

MGMT



PortGroup 1 - MGMT

Eth1/1

Eth1/2 Eth1/3

Dev01 Dev02 Prod02Prod01

• VM-Series Configuration• Mgmt Interface in dedicated vSwitch• Single layer 3 network across all VMs• All interfaces are layer 2 in same VLAN• Promiscuous PortGroups• Security Policy Protects Inter-Zone

Traffic

• vSphere Configuration• PortGroup VLANs are only within

vSwitch3 and are not extended to the physical network

• Only ProdNet and MGMT networks are connected

VM-Series – L2 Distributed Deployment


ESXi Host

• Production

Network

Distributed PortGroup3VLAN 100

Distributed PortGroup4

VLAN 100 (P)


VLAN 200 (P)

DistributedPortGroup6VLAN 200

Distributed Port Group 2- ProdNet (P)

Eth1/1

Eth1/2 Eth1/3


ESXi Host

Virtual Distributed Switch 2



PortGroup 1 - MGMT




VLAN 100 (P)


VLAN 200 (P)



MGMT

External VLAN

VM-Series – L2 Distributed HA Deployment


ESXi Host

• Production

Network



VLAN 100 (P)


VLAN 200 (P)

DistributedPortGroup6VLAN 200


Eth1/1

Eth1/2 Eth1/3


ESXi Host



MGMT


PortGroup 1 - MGMT

Eth1/1

Eth1/2 Eth1/3




VLAN 100 (P)


VLAN 200 (P)



MGMT

External VLAN

VM-Series – Layer 3 Intra-ESXi Segmentation


ESXi Host

• Internet

Virtual Switch 1

PortGroup3 – DevNet PortGroup4 - ProdNet

PortGroup1- ExternalNet

MGMT

Virtual Switch 3

Virtual Switch 1

PortGroup2 - MgmtNet

Eth1/1

Eth1/2 Eth1/3


VM-Series Configuration• All interfaces are layer 3• Each interface connects to a

different vSwitch• Management interface is part of

dedicated MgmtNet• VM-Series is default gateway for

each network

vSphere Configuration• Each vSwitch is a separate layer3

network• vSwitch1 – 10.1.1.0/24• vSwitch2 – 10.1.2.0/24• vSwitch3 – 10.1.3.0/24• vSwitch4 – 10.1.4.0/24

• Must change the MAC Address in ESXi host to match VM-Series


Eth1/4

Segmenting the Modern DatacenterTap

Layer 2 Layer 3

Virtual Wire

app

Corp Net

Users

app

web

taptap

Corp NetUsers

DB

PCI

VLAN 100

VLAN 100

VLAN 1100

VLAN 1100

Bridge 100 to 1100

DBapp

DGweb

10.1.1.0/24

10.1.2.0/24

172.16.0.0/16

Corp Net

DB app

10.1.3.0/24

Users