Bezpieczeństwo

Segmentacja logiczna

Segmentacja w środowisku centrum przetwarzania danych wciąż pozostaje bardzo ważnym elementem systemu zabezpieczeń. W środowisku „multitenant” gdy z centrum przetwarzania danych korzysta wiele podmiotów (tenantów), którymi mogą być różne firmy lub działy jednej firmy, konieczna jest segmentacja na poziomie logicznym w relacji poziomej nazywanej również EW (East-West). Jeśli chodzi o firmę Cisco to dla takiego środowiska dostępne są dwa rozwiązania: ASA 1000V Virtual Firewall dla ochrony „podmiotów” (tenantów) w środowisku multitenant oraz VSG dla kontroli stref bezpieczeństwa tj. separacji aplikacji lub maszyn wirtualnych w środowisku dedykowanym dla jednego podmiotu.

Podstawowym zadaniem routera wirtualnego jest pełnienie funkcji wirtualnej bramy dostępowej do wirtualnego centrum przetwarzania danych z zachowaniem tych samych zasad bezpieczeństwa jak w przypadku centrum fizycznego. [źródło: Cisco]

Oczywiście cały czas należy zapewnić właściwą kontrolę i inspekcję całego ruchu przychodzącego i wychodzącego z/do dostawcy chmury, czyli w relacji pionowej NS (North-South). Dla tego typu zabezpieczeń w wypadku firmy Cisco dostępne są dwa produkty – Cisco ASA 5585-X oraz CiscoCatalyst6500ASA FW Module.

Segmentacja kontekstowa

Rosnąca złożoność i dynamika zwirtualizowanych środowisk centrów przetwarzania danych wymusza poszukiwanie metod segmentacji, które pracować będą niezależnie od topologii sieci i lokalizacji maszyn wirtualnych. Tutaj wykorzystuje się segmentację kontekstową, która polega na znakowaniu danych generowanych na brzegu sieci, w miejscu gdzie do sieci przedsiębiorstwa podłącza się użytkownik końcowy, znacznikami SGT (Secure Group Tag) a następnie wykorzystanie tych znaczników na brzegu wirtualnego centrum przetwarzania danych do wyegzekwowania zasad dostępu do danych. Rozwiązanie takie jest niezależne od struktury sieci i środowiska dostawcy chmury, charakteryzuje się bardzo dużą skalowalnością i umożliwia praktyczne wdrożenia polityki bezpieczeństwa opartej o funkcje jakie użytkownicy pełnią w organizacji.

Komunikacja z dostawcą chmury

W tradycyjnym modelu dostępu do danych hostowanych u dostawcy centrum przetwarzania danych komunikacja z hostowanymi zasobami była prosta – wystarczyło postawić na brzegu takiego środowiska routery i poprzez sieć MPLS (Multiprotocol Label Switching) lub szyfrowany VPN (Virtual Private Network, wirtualna sieć prywatna) dostać się do zasobów zlokalizowanych w centrum danych. W środowisku zwirtualizowanym konieczne jest zastąpienie komponentów fizycznych komponentami wirtualnymi.

Usługobiorca dzierżawi od usługodawcy moc obliczeniową w postaci maszyn wirtualnych i w takim środowisku musi odtworzyć zasady komunikacji z np. placówek firmy do aplikacji i danych zlokalizowanych u dostawcy chmury. Przykładowym urządzeniem rozwiązującym problem bezpiecznej komunikacji z placówek firmy do zasobów w chmurze jest router wirtualny Cisco CSR1000V. Jest to w pełni funkcjonalny router pracujący z systemem Cisco IOS-XE w postaci paczki oprogramowania uruchamianej, jako maszyna wirtualna w środowisku hypervisora.

Przykład realizacji całościowego bezpieczeństwa w środowisku multitenant. [źródło: Cisco]

Jedynym z najbardziej typowych zastosowań tego routera jest funkcja wirtualnej bramy dostępowej do wirtualnego CPD (Centrum Przetwarzania Danych) z zachowaniem tych samych zasad bezpieczeństwa jak w przypadku fizycznego CPD czyli np. zaszyfrowanie danych, filtry ruchu, ochrona przed atakami DoS (Denial of Service), uwierzytelnienie dostępu. Co więcej urządzenie umożliwia również „wprowadzenie” prywatnej sieci MPLS do wnętrza chmury dostawcy. Innym przykładem jest rozszerzenie prywatnej chmury zlokalizowanej w CPD przedsiębiorstwa do CPD dostawcy chmury publicznej.

Architektura

Realizacja bezpiecznego środowiska w środowisku chmury wymaga zastosowania przez przedsiębiorstwo nowego podejścia opartego o wirtualne komponenty bezpieczeństwa takie jak zapory ogniowe do segmentacji logicznej sieci dla ruchu pionowego i poziomego oraz zastosowanie wirtualnych routerów, które zagwarantują spójność rozwiązań zastosowanych w sieci WAN (MPLS, VPN) przedsiębiorstwa z rozwiązaniami hostowanymi w chmurze obliczeniowej.

Rozwiązaniem, które realizuje całościowe bezpieczeństwo w środowisku multitenant jest np. architektura Cisco Cloud Security. Opiera się ona na znanych i sprawdzonych komponentach bezpieczeństwa takich jak zapory ogniowe, bramy bezpieczeństwa, przełączniki i routery, które przeniesione zostają do środowiska wirtualnego i „rozumieją” procesy zachodzące na poziomie takiego środowiska np. przenoszenie maszyn wirtualnych itd.

Komentarze

0
Zaloguj się, aby skomentować
avatar
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.

    Nie dodano jeszcze komentarzy. Bądź pierwszy!