VMware NSX – революция?

Системы обнаружения вторжений (IDS) как класс появились на границе нового тысячелетия. Идея, заложенная в основу нового класса продуктов, базировалась на анализе трафика. Уже к середине первого десятилетия нового века системы IDS эволюционировали в системы предотвращения вторжений (IPS). Решения класса IDS/IPS являются частью боле широкого класса продуктов и сервисов кибербезопасности, который по оценкам J’son& Partners Consulting, в период 2022–2025 годов обещает рост на уровне 11%. Мало какие рынки способны на это.

С другой стороны, возвращаясь к IDS/IPS, эксперты относят к недостаткам продуктов данного класса их сложность, стоимость и требования к высокой экспертизе внедрения/эксплуатации. Это несколько ограничивало использование систем, несмотря на их высокую эффективность.

Сейчас для IDS/IPS настало время новых вызовов. Которые, во-первых, являются следствием органического роста трафика в сетях, а во-вторых, вызваны трансформацией сетей на пути к микросервисным архитектурам. В самой VMware добавляют также то, что граница гипотетического центра обработки данных стала размытой, что хотя и несколько противоречит «замкнутой» концепции IDS/IPS, говорит о том, что продуты этого класса могут выйти за пределы ЦОДа.

Это видение и реализовано в VMware NSX: продукт несет в себе не только ответы на эти вызовы, но и готов обеспечить на потенциальные, те, которые еще не созрели.

VMware NSX

Внутренняя безопасность в VMware NSX, — это безопасность, уже встроенная в инфраструктуру, распределенная по ИТ-среде и учитывающая приложения, которые функционируют в этой сети. VMware Service-defined Firewall, построенный на платформе VMware NSX L2-L7, собственно, и является воплощением этой концепции, которая ориентирована на применение в центрах обработки данных.

NSX ориентируется на две основные задачи в периметре дата-центра: виртуализация сети и безопасность «восток-запад». Виртуализация сети, в свою очередь, отделяет управление потоками трафика от базовой физической сети. Безопасность «восток-запад» позволяет задавать и применять политики безопасности для ЦОДа с детализацией для каждого потока трафика (с помощью профайлов безопасности, которые размещаются в гипервизоре). Вместе виртуализация сети плюс безопасности как функция обеспечивают широкую гибкость при проектировании сети дата-центра, одновременно обеспечивая и внутреннюю безопасность.

Благодаря своей конструкции NSX органично встраивает безопасность как функцию в инфраструктуру сетевой виртуализации. При этом, эти самые функции, как понятно из контекста, всегда присутствуют в инфраструктуре и не требуют отдельного развертывания. Сами элементы управления надежно защищены — их нельзя подделать в принципе, поскольку они находятся в гипервизоре.

К особенностям NSX следует отнести и распределенную архитектуру. На практике это означает, что фактически средства обеспечения безопасности расположены на виртуальном сетевом интерфейсе каждой рабочей нагрузки и обеспечивают детальный механизм контроля потоков трафика. То есть, нет какого-то централизованного устройства, ограничивающего возможности безопасности, нет необходимости искусственно привязывать сетевой трафик к стеку сетевой безопасности. Наконец, поскольку NSX интегрирован в инфраструктуру виртуализации, он обеспечивает видимость всех приложений и рабочих нагрузок. И это позволяет отслеживать жизненный цикл рабочих нагрузок и автоматизировать управление политиками безопасности.

Распределенная IDS/IPS NSX

Рабочими лошадками функциональности IDS/IPS являются механизмы, которые обнаруживают шаблоны трафика. Эти механизмы ориентированы на поиск известных паттернов вредоносного трафика. Кроме того, большинство IDS/IPS также реализуют методы безопасности, такие, как проверки соответствия протоколов и портов и обнаружение аномального трафика в дополнение к обнаружению такового на основе сигнатур.

Практическая реализация IDS/IPS предлагается либо в виде автономных специализированных устройств, либо в виде части брандмауэра. В первом случае IDS/IPS функционирует на уровне канала. Во втором — проверяет трафик, который ранее был разрешен брандмауэром. В целом, большинство традиционных реализаций IDS/IPS, существующих на рынке, будь то автономные или интегрированные с брандмауэром, представляют собой дискретные централизованные устройства. Операторы размещают эти устройства на определенных участках сети таким образом, что трафик, требующий проверки IDS/IPS, проходит через них.

IDS/IPS в NSX: как это работает

Механизмы в распределенной IDS/IPS NSX созданы в Suricata — известном проекте с открытым исходным кодом. NSX основывается на Suricata, совмещая функции IDS/IPS с брандмауэром, что обеспечивает однопроходную схему проверки трафика. Весь трафик сначала проходит через брандмауэр, после чего выполняется проверка IDS/IPS в зависимости от конфигурации. Такое совместное размещение функций IDS/IPS с брандмауэром упрощает/ускоряет определение и применение политик сетевой безопасности.

Конструктивно, модули NSX Distributed IDS/IPS подключены к модулю брандмауэра, который находится в ядре гипервизора. Модуль IDS/IPS использует сигнатуры, декодеры протоколов с целью обнаружения аномалий и поиска признаков атак в потоке трафика. Если аномалий не обнаружено, трафик возвращается к брандмауэру для дальнейшей транспортировки к месту назначения. Соответственно, если атака обнаружена, генерируется и регистрируется уведомление.

Преимущества распределенной IDS/IPS NSX

Архитектура распределенной IDS/IPS NSX радикально отличается от традиционной IDS/IPS. Основное отличие в том, что в традиционных IDS/IPS проверка централизована в рамках отдельного виртуального или физического устройства, в то время как распределенная NSX полностью интегрирована в инфраструктуру виртуализации. К плюсам такой реализации относят: оптимизированный поток трафика; отсутствие единого узкого места — реализация распределенной IDS/IPS NSX использует свободную емкость на серверах, таким образом, нет единого узкого места в пропускной способности; универсальное решение для всего трафика; гибкая работа с сигнатурами — реализация распределенной IDS/IPS NSX позволяет работать с сигнатурами для каждой рабочей нагрузки; автоматизированное управление жизненным циклом политик — традиционные IDS/IPS не знают о жизненном цикле приложений, которые они защищают, с другой стороны, реализация распределенной IDS/IPS NSX позволяет автоматически настраивать политики безопасности при создании или выводе из эксплуатации рабочей нагрузки без вмешательства оператора.

Сценарии использования распределенной IDS/IPS NSX

Соответствовать регуляторным требованиям. В некоторых странах чувствительные наборы данных требуют соответствия отраслевым подзаконным актам (например, здравоохранение, финансы). Применение распределенной IDS/IPS NSX позволяет гибко настроить политики в рамках одного дата центра для разных наборов данных. Используя программный подход, NSX выполняет тяжелую работу, распространяя политики безопасности на все соответствующие рабочие нагрузки, избавляя от необходимости покупать и развертывать отдельные устройства или брандмауэры.

Виртуальные зоны. Некоторым организациям необходимо установить прямые сетевые соединения с партнерскими организациями. Другие организации рассматривают бизнес-подразделения и дочерние компании как арендаторов центрального ИТ-отдела. Сетевые операторы и операторы безопасности могут поддерживать эти модели через создание виртуальной зоны (используя брандмауэр и IDS/IPS для реализации виртуальной зоны).

Замена дискретных устройств IDS/IPS. Операторы, которые уже решили виртуализировать сети своих центров обработки данных, теперь могут заменить дискретные централизованные устройства IDS/IPS на распределенную реализацию NSX. При этом, и сетевые операторы, и операторы безопасности могут управлять как своим брандмауэром, так и функциональностью IDS/IPS из единой консоли управления (VMware

NSX Manager).

Безопасность. Злоумышленники, которым все-таки удается проникнуть в центр обработки данных, обычно пытаются перейти к виртуальным машинам, на которых размещены конфиденциальные данные. Для проведения такого перемещения злоумышленники используют, к примеру, Netcat. IDS/IPS может обнаруживать такие попытки и уведомлять операторов сети и службы безопасности.

NSX Intelligence и распределенная IDS/IPS NSX. NSX Intelligence — это механизм распределенного сбора данных и анализа безопасности, доступный через NSX Manager. NSX Intelligence собирает метаданные от гипервизоров в среде NSX и сохраняет информацию для последующего использования, разрабатывает подробные карты зависимостей приложений с детализацией. Это позволяет визуализировать рабочие нагрузки и потоки в сети, позволяя операторам получить общее представление о среде. Кроме того, NSX Intelligence автоматически рекомендует политики безопасности брандмауэра на основе наблюдаемых шаблонов трафика. Фактически, NSX Intelligence — это естественное дополнение к Service-defined Firewall и IDS/IPS в качестве уровня визуализации и управления политиками.

Плюс облако: на гребне волны

Было бы не совсем верно связывать перспективы IDS/IPS NSX исключительно с рынком кибербезопасности. Один из драйверов роста — облачный рынок — фактически «домашний» для IDS/IPS NSX. Так вот, здесь тоже все обстоит достаточно хорошо — по оценкам IDC, объем мирового облачного рынка в 2021-м превысил $707 млрд, и, по прогнозам аналитической компании, достигнет $1,3 трлн долларов в 2022 году. И это без малого двукратный рост.