Cybersecurity in een Modern Data CenterHow to implement fine-grained security strategy successfully

Dennis Lefeber

Virtualization Networking consultant

2

3

4

23%

Detectie binnen een week

13%

Geen detectie

7%

Detectie binnen 3 maanden

Hoe een Zero Trust security model te implementeren?

Update je Cloud Strategie. Bestudeer security principes en pas hierop de strategie aan.

Verander de mindset van je mensen. Security is niet on-top-of-mind: het kan veel schade voorkomen.

Hou wijzigingen behapbaar. Mensen zijn van nature ”honkvast” en houden niet van veranderingen: Weerstand ligt op de loer (zeker voor non-top-of-mind zaken).

Ga methodisch te werk. Zet meetbare mijlpalen en haalbare doelen.

5

6

Isoleren Segmenteren Filteren

Security principes

Untrusted DMZ

7

INTERNETWeb-facing

apps

Trusted

ApplicatieServers

Campus

Traditioneel security model

Untrusted DMZ

8

0.0.0.0/0 192.168.0.0/24

Trusted

172.16.0.0/23

192.168.100.0/24

Traditioneel security model

TrustedUntrusted

9

Internet

App_a

Campus

App_b

App_c App_d

App_e App_n

NSX DMZ Anywhere Cyber security benchmark audit https://communities.vmware.com/docs/DOC-36982

CMP

App_A

Web

App

DB

10

VM VM

VMVM

VMVM

VM

CMP

K8S POD

Web

App

DB

11

CN CN

CNCN

CNCN

CN

CMP

VMware NSX

12

Management plane

Control plane

Data plane

NSX Architecture

13

NSX-V: NSXM 1:1 vCenterNSX-t: NSXM 1:N vCenter

< NSX-T 2.4: 1 NSXM 3 NSXCs> NSX-T 2.4: 3 NSXMs/NSXCs

NSX-V: ESXi only (VxLAN)NSX-t: ESXi, KVM, BM (GENEVE)

NSX-Manager(s)

NSX-ControllersDLR-Control VMs

NVDS / OVS

NSX Edges

vCenter Server

Hardware VTEP

Laag 2 analogie

14

VM1 VM2

VLAN(Broadcast Domain)

Logical Switch

NIC

Virtual NIC (vNIC) Logical Switch Port

Switch Port(Interface)

VM1 VM2

Laag 3 analogie

15

Router(Layer 3 Switch)

Logical RouterNSX Edge –or- DLR

*Switch / Routed Virtual Interface

VM1 VM2 VM3

Router PortSVI / RVI*

Logical Router Interface/port NSX Edge –or- DLR interface

Laag 4-7 security analogie

16

VM1

VM3

VM2

DMZ

Logical Firewall

Firewall

Logical Port Firewall(Micro-segmentation,transparent firewall))

VM1 VM2 VM3

Beschikbare security methodieken

17

VM1

Logical swich VLAN

VM2VM1

Logical swich

VM2VM1

Logical swich Logical swich

VLAN

VM1

Logical swich

VLAN\LS VLAN/LS

VM1

Logical swich VLAN

NSX Manager

https://blogs.vmware.com/networkvirtualization/2018/05/extending-the-power-of-nsx-to-bare-metal-workloads.html/

IOchain

NSX Distributed firewall deep-dive architecture (ESXi)

18

NVDS

VM

Slot 0: ESX-firewall

Slot 1: sw-sec

Slot 2: VMware-sfw

VPXA deamon vShield firewall deamon VSIPIOCTL

vSIP (DFW core)

NSX ManagervCenter server

NSX Distributed firewall deep-dive architecture (OVS)

19

OpenvSwitch

VM

OVS.KO FastPath

(ConnTrack)

NSX Manager

*NSX-t only

CN MPA LCP

NSX Agent

Central Control Plane (CCP)

All vSphere objects

Datacenter

Cluster

Resource Pool

vAPP

NSX object grouping model

20

VM

Logical swich

VSS-portgroup

DVS-portgroup

IP set

MAC set

NSX Security Group(NSGroup)

NSX (VM) Security Tags*static inclusions and exclusions

Dyn. membership criteria

NSX object grouping model

21

NSX Security Group(NSGroup)

*dynamic inclusions

Criteria-1

Criteria-2

Criteria-N

AND/OR

AND/OR

VM TAG/Entity

VM Name

Computer/OS Name

NSX Edge/DFW rulebase voorbeeld

22

Name Source Destination Service Applied to Action

Block Rules Section

FW-rule-1 SG-A SG-B ANY DFW Block

FW-rule-2 SG-B SG-A ANY DFW Block

Default Section Layer 3

Default ANY ANY ANY DFW ALLOW

*default allow rule is NOT the best practice

Maak van de NSX DFW een consumptie model!

• Creëer een Security Framework, welke aansluit bij de business-vereisten, welke voor gedefinieerde regels en security groepen/tags bevat.

• Verleg de verantwoordelijkheid naar de applicatie-eigenaar.

• Gebruik Cloud Management/Automation voor:• Het aanmaken van de Security Groepen.

• Het inrichting van de DFW firewall rulebase voor isolatie en segmentatie (binnen het security framework)

• Het inrichten van de DFW firewall rulebase uitzonderingen (die buiten het security framework vallen)

23

Environment:TestEnvironment:Prod Environment:Dev

App_a App_bApp_a App_b App_a App_b

Tier_0

Tier_1

Tier_2

Voorbeeld van een security framework

24

Infrastructure

AD

DNS

PKI

SNMP

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

DFW rulebase sectie overzicht

25

Security Rule Type Purpose

Emergency rules Quarantine,ICMP

Infrastructure rules Rules for infrastructure services (example: AD, DNS, NTP, SNMP,PKI, etc.)

Environmental rules (Isolation) rules between environments Prod, Test, Dev, PCI, Non-PCI

Inter-application rules (Isolation/exception) rules between applications

Intra-application rules (segmentation) rules between application-tiers

Default rule Default deny rule to create a zero-trust security framework

SecOps(NSX Manager UI/API)

SecOps(NSX Manager UI/API)

DevOps(Cloud Management)

Automating security voorbeeld (1/2)

26

Automating security voorbeeld (2/2)

27

Conclusie

• Maak security (weer) on-top-of-mind.

• Voor de hoogste veiligheidsgraag, implementeer een zero-trust omgeving:• Verander de mindset van applicatie-eigenaren/ontwikkelaars.

• Verlaag de moeilijkheidsgraad, maak security eenvoudig consumeerbaar.

• Ga gefaseerd te werk (eerst isolatie, daarna segmentatie en als laatste filtering).

• Automate it

28

Service Defined Firewall (incl. AppDefense)

30

31

App_A

VMVM VM

VMVM

VM VM

32

App_A

VMVM VM

VMVM

VM VM

Questions?

Thank you!