Prepoznajući potrebu za unapređenjem mrežnih i sigurnosnih servisa u kompanijskom data centru, inženjeri Wiener Städtische osiguranja odlučili su da implementiraju VMware NSX platformu i vRealize Network Insight (vRNI)
Wiener Städtische osiguranje posluje u Srbiji od 2003. godine i danas je prepoznato kao jedna od vodećih kompanija, na srpskom tržištu, koja građanima i privredi nudi sveobuhvatna osiguravajuća rešenja. Deo je Vienna Insurance Group, vodeće austrijske osiguravajuće kuće i najvećeg osiguranja u centralnoj i istočnoj Evropi. VIG ima tradiciju dugu skoro 200 godina i danas posluje u 25 zemalja, sa više od 25.000 zaposlenih u 50 kompanija članica. Grupa ima više od 20 miliona klijenata.
Serverska infrastruktura Wiener Städtische osiguranja nalazi se u dva fizički odvojena data centra. U okviru sekundarne lokacije obezbeđeni su bekapi, kao i odgovarajuća replikacija ključnih sistema u slučaju potrebe oporavka od katastrofe (disaster recovery), a celokupna virtuelna infrastruktura bazirana je na VMware platformi. Wiener Städtische osiguranje je prepoznalo potrebu za poboljšanjem sigurnosti, vidljivosti i efikasnosti u komunikaciji u okviru data centra, kao i u njegovom administriranju.
Odabir rešenja i tok implementacije
Kako bi unapredili mrežne i sigurnosne servise unutar data centra inženjeri Wiener Städtische osiguranja odlučili su da implementiraju VMware NSX i vRealize Network Insight (vRNI). NSX, kao platforma za softverski definisane mreže, nametnula se kao logično rešenje, s obzirom na integraciju sa postojećom VMware platformom za virtuelizaciju servera. Ova platforma razdvaja mrežu od postojećeg hardvera koristeći prednosti postojeće infrastrukture, ali na način koji omogućava nove brzine pružanja usluga.
Implementacija ovog rešenja mogla je da se realizuje postepeno, u fazama, pošto sam NSX ne zahteva naglo prebacivanje u jednom danu. Nakon podizanja svih potrebnih komponenata za rad ovog rešenja urađeno je prebacivanje servera iz testnih VLAN-ova na logički svič NSX-a. Izvršena su sva potrebna testiranja dostupnosti i sigurnosti za ove servere, nakon čega se moglo preći na produkcione servere. Ovakvim postepenim prebacivanjem postignuta je idealna dostupnost svih servisa, pošto se tokom migracije gubilo najviše 5 pingova po mrežnom segmentu, a pored toga i testiranje funkcionalnosti je bilo tačnije pošto se moglo vršiti zasebno za svaki segment.
Topologija koja je definisana za potrebe Wiener Städtische osiguranja podrazumeva postojanje jedne transportne zone koja je vidljiva celom ESXi klasteru u okviru koje se nalazi više logičkih mrežnih segmenata, VXLAN-ova. Rutiranje između VXLAN-ova obezbeđeno je pomoću DLR servisa koji optimizuje tzv. east-west komunikaciju, odnosno komunikaciju unutar data centra. Zbog želje da se olakša administracija u slučaju dodavanja, odnosno brisanja mrežnih segmenata, obezbeđeno je dinamičko rutiranje preko OSPF protokola, preko koga će se automatski vršiti propagacija novih ruta do ostalih uređaja u mreži. Distribuirani logički ruter je prisutan u hipervizoru ESXi servera, što znači da svaki server u klasteru može da vrši rutiranje i firewall kontrolu saobraćaja.
Distribuirani firewall nudi servis u vidu mikrosegmentacije. Sam firewall mehanizam ugrađen je u hipervizor servera i primenjuje se na nivou mrežne kartice virtuelne mašine. Na ovaj način moguće je kontrolisati saobraćaj unutar virtuelnog okruženja, čak i između virtuelnih mašina koje pripadaju istom mrežnom segmentu. Dobra strana ovog rešenja je što se bilo koji objekat definisan u okviru vCenter servera može koristiti kao izvor ili destinacija u okviru sigurnosne polise. Sigurnosna polisa prati virtuelnu mašinu gde god se ona nalazila, a uklanjanje virtuelne mašine podrazumeva i uklanjanje polise koja je vezana za nju. Distribuirani firewall nudi zaštitu na L4 nivou OSI sistema, a moguće ga je integrisati sa sigurnosnim softverskim proizvodima drugih kompanija kako bi se povećala bezbednost virtuelnog serverskog okruženja. Dodavanjem novog ESXi hosta u klaster povećavaju se ukupne performanse distribuiranog firewall-a, što ovo rešenje čini skalabilnim.
Kontrola komunikacije unutar data centra
Za poboljšanje monitoringa data centra podignuta je vRNI platforma, koja se integriše sa vCenter serverom, NSX-om i drugom mrežnom infrastrukturom. Korišćenjem ovog alata olakšana je svakodnevna upotreba NSX-a. VRNI prikuplja netflow informacije sa mreže radi sticanja celokupne slike o komunikacijama koje se odvijaju unutar virtuelnog data centra, kao i sa ostatkom fizičke mreže. Jednostavan grafički interfejs omogućava pretraživanje bilo kog objekta iz vCenter-a i dobijanje informacija o komunikacijama koje su u vezi sa tim objektom.
VRNI je moćan alat za planiranje i troubleshooting firewall pravila. Na osnovu saobraćaja koji prolazi kroz virtuelnu infrastrukturu, mogu se kreirati preporuke na nivou virtuelnih mašina ili mrežnog subneta za optimalnu mikrosegmentaciju. Dobro definisana mikrosegmentacija je ključna za sigurnost virtuelne infrastrukture, pošto obezbeđuje neophodnu komunikaciju između virtuelnih mašina. Za Wiener Städtische osiguranje je ovo bio posebno važan kriterijum za javno dostupne servere u DMZ-u, koji predstavljaju najugroženije servere u infrastrukturi, a za koje ranije nije postojala mogućnost međusobne izolacije.
Kada je troubleshooting u pitanju, pored standardnog netflow loga, koji ukazuje da li je paket određene komunikacije bio odbačen ili propušten, za svaki server se može dobiti i dosta drugih informacija. U okviru prozora ove mašine može se videti njen status, u vidu iskorišćenosti CPU-a ili memorije, kao i sva firewall pravila koja su primenjena na interfejsu mašine u okviru distribuiranog firewall-a. Pored toga, moguće je ispratiti celokupnu putanju kuda paket prolazi u komunikaciji između dve mašine.
Moguća proširenja
NSX je rešenje koje se lako integriše sa drugim tehnologijama, kako bi se povećala sigurnost, dostupnost ili vidljivost u okviru data centra. Jedno od preporučenih mogućih proširenja je integracija sa NGFW (Next Generation Firewall) rešenjem, poput Check Point CloudGuard-a, koji bi obezbedio dodatnu inspekciju saobraćaja između virtuelnih mašina. Primenom ovakvog rešenja dobija se mogućnost kontrole i vidljivosti saobraćaja na nivou aplikacije. Takođe, u slučaju ugrožene sigurnosti jednog servera, ovakva mašina se može automatski detektovati kao maliciozna i izolovati iz svog okruženja, čime se na efikasan i jednostavan način poboljšava sigurnost ostalih sistema. U okruženjima gde je veoma teško postići ažuriranje najnovijim sigurnosnim zakrpama na svim mašinama, kako produkcionim tako i testnim, ovakvo rešenje predstavljalo bi veliko unapređenje.
Jasna Jović i Milan Vujović, COMING
0 komentara