cybersecurity in een modern data center...cybersecurity in een modern data center how to implement...
TRANSCRIPT
Cybersecurity in een Modern Data CenterHow to implement fine-grained security strategy successfully
Dennis Lefeber
Virtualization Networking consultant
2
3
4
23%
Detectie binnen een week
13%
Geen detectie
7%
Detectie binnen 3 maanden
Hoe een Zero Trust security model te implementeren?
Update je Cloud Strategie. Bestudeer security principes en pas hierop de strategie aan.
Verander de mindset van je mensen. Security is niet on-top-of-mind: het kan veel schade voorkomen.
Hou wijzigingen behapbaar. Mensen zijn van nature ”honkvast” en houden niet van veranderingen: Weerstand ligt op de loer (zeker voor non-top-of-mind zaken).
Ga methodisch te werk. Zet meetbare mijlpalen en haalbare doelen.
5
6
Isoleren Segmenteren Filteren
Security principes
Untrusted DMZ
7
INTERNETWeb-facing
apps
Trusted
ApplicatieServers
Campus
Traditioneel security model
Untrusted DMZ
8
0.0.0.0/0 192.168.0.0/24
Trusted
172.16.0.0/23
192.168.100.0/24
Traditioneel security model
TrustedUntrusted
9
Internet
App_a
Campus
App_b
App_c App_d
App_e App_n
NSX DMZ Anywhere Cyber security benchmark audit https://communities.vmware.com/docs/DOC-36982
CMP
App_A
Web
App
DB
10
VM VM
VMVM
VMVM
VM
CMP
K8S POD
Web
App
DB
11
CN CN
CNCN
CNCN
CN
CMP
VMware NSX
12
Management plane
Control plane
Data plane
NSX Architecture
13
NSX-V: NSXM 1:1 vCenterNSX-t: NSXM 1:N vCenter
< NSX-T 2.4: 1 NSXM 3 NSXCs> NSX-T 2.4: 3 NSXMs/NSXCs
NSX-V: ESXi only (VxLAN)NSX-t: ESXi, KVM, BM (GENEVE)
NSX-Manager(s)
NSX-ControllersDLR-Control VMs
NVDS / OVS
NSX Edges
vCenter Server
Hardware VTEP
Laag 2 analogie
14
VM1 VM2
VLAN(Broadcast Domain)
Logical Switch
NIC
Virtual NIC (vNIC) Logical Switch Port
Switch Port(Interface)
VM1 VM2
Laag 3 analogie
15
Router(Layer 3 Switch)
Logical RouterNSX Edge –or- DLR
*Switch / Routed Virtual Interface
VM1 VM2 VM3
Router PortSVI / RVI*
Logical Router Interface/port NSX Edge –or- DLR interface
Laag 4-7 security analogie
16
VM1
VM3
VM2
DMZ
Logical Firewall
Firewall
Logical Port Firewall(Micro-segmentation,transparent firewall))
VM1 VM2 VM3
Beschikbare security methodieken
17
VM1
Logical swich VLAN
VM2VM1
Logical swich
VM2VM1
Logical swich Logical swich
VLAN
VM1
Logical swich
VLAN\LS VLAN/LS
VM1
Logical swich VLAN
NSX Manager
https://blogs.vmware.com/networkvirtualization/2018/05/extending-the-power-of-nsx-to-bare-metal-workloads.html/
IOchain
NSX Distributed firewall deep-dive architecture (ESXi)
18
NVDS
VM
Slot 0: ESX-firewall
Slot 1: sw-sec
Slot 2: VMware-sfw
VPXA deamon vShield firewall deamon VSIPIOCTL
vSIP (DFW core)
NSX ManagervCenter server
NSX Distributed firewall deep-dive architecture (OVS)
19
OpenvSwitch
VM
OVS.KO FastPath
(ConnTrack)
NSX Manager
*NSX-t only
CN MPA LCP
NSX Agent
Central Control Plane (CCP)
All vSphere objects
Datacenter
Cluster
Resource Pool
vAPP
NSX object grouping model
20
VM
Logical swich
VSS-portgroup
DVS-portgroup
IP set
MAC set
NSX Security Group(NSGroup)
NSX (VM) Security Tags*static inclusions and exclusions
Dyn. membership criteria
NSX object grouping model
21
NSX Security Group(NSGroup)
*dynamic inclusions
Criteria-1
Criteria-2
Criteria-N
AND/OR
AND/OR
VM TAG/Entity
VM Name
Computer/OS Name
NSX Edge/DFW rulebase voorbeeld
22
Name Source Destination Service Applied to Action
Block Rules Section
FW-rule-1 SG-A SG-B ANY DFW Block
FW-rule-2 SG-B SG-A ANY DFW Block
Default Section Layer 3
Default ANY ANY ANY DFW ALLOW
*default allow rule is NOT the best practice
Maak van de NSX DFW een consumptie model!
• Creëer een Security Framework, welke aansluit bij de business-vereisten, welke voor gedefinieerde regels en security groepen/tags bevat.
• Verleg de verantwoordelijkheid naar de applicatie-eigenaar.
• Gebruik Cloud Management/Automation voor:• Het aanmaken van de Security Groepen.
• Het inrichting van de DFW firewall rulebase voor isolatie en segmentatie (binnen het security framework)
• Het inrichten van de DFW firewall rulebase uitzonderingen (die buiten het security framework vallen)
23
Environment:TestEnvironment:Prod Environment:Dev
App_a App_bApp_a App_b App_a App_b
Tier_0
Tier_1
Tier_2
Voorbeeld van een security framework
24
Infrastructure
AD
DNS
PKI
SNMP
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
DFW rulebase sectie overzicht
25
Security Rule Type Purpose
Emergency rules Quarantine,ICMP
Infrastructure rules Rules for infrastructure services (example: AD, DNS, NTP, SNMP,PKI, etc.)
Environmental rules (Isolation) rules between environments Prod, Test, Dev, PCI, Non-PCI
Inter-application rules (Isolation/exception) rules between applications
Intra-application rules (segmentation) rules between application-tiers
Default rule Default deny rule to create a zero-trust security framework
SecOps(NSX Manager UI/API)
SecOps(NSX Manager UI/API)
DevOps(Cloud Management)
Automating security voorbeeld (1/2)
26
Automating security voorbeeld (2/2)
27
Conclusie
• Maak security (weer) on-top-of-mind.
• Voor de hoogste veiligheidsgraag, implementeer een zero-trust omgeving:• Verander de mindset van applicatie-eigenaren/ontwikkelaars.
• Verlaag de moeilijkheidsgraad, maak security eenvoudig consumeerbaar.
• Ga gefaseerd te werk (eerst isolatie, daarna segmentatie en als laatste filtering).
• Automate it
28
Service Defined Firewall (incl. AppDefense)
30
31
App_A
VMVM VM
VMVM
VM VM
32
App_A
VMVM VM
VMVM
VM VM
Questions?
Thank you!