Zabezpieczenia w centrum danych zbudowanym zgodnie z koncepcją SDDC (Software Defined Data Center) mogą przybierać różne formy. Są to mechanizmy kontroli dostępu użytkowników, zabezpieczenia systemów operacyjnych chroniące maszyny wirtualne czy zabezpieczenia chroniące dane w spoczynku i w ruchu. W tym artykule przyjrzymy się jednak zabezpieczeniom sieci stosowanym w SDDC. W szczególności mikrosegmentacji, widzialności, rozszerzonym regułom i automatyzacji, aby pokazać, jak ewoluują zabezpieczenia, kiedy cała infrastruktura IT jest zwirtualizowana.

Jak zmieniają się zabezpieczenia firmowych środowisk IT, aby dostosować się do nowoczesnych architektur definiowanych programowo? Bezpieczeństwo w centrum danych tradycyjnie składa się z punktowych zabezpieczeń spełniających określone zadania. Dane są przepuszczane przez te zabezpieczenia w celu skanowania pod kątem zagrożeń. Ponadto inne urządzenia sieciowe, jak routery i przełączniki są dodatkowo konfigurowane tak, aby poprawić bezpieczeństwo sieci.

Zunifikowane mechanizmy kontrolne

Problem, jaki wiąże się z takim podejściem, polega na tym, że błędna konfiguracja choćby jednego urządzenia może umożliwić włamanie i nieautoryzowany dostęp do wszystkich zasobów w centrum danych. Jeśli jednak w centrum danych stosuje się rozwiązanie SDN (Software Defined Network), istotną korzyścią jest zunifikowanie mechanizmów kontrolnych, które umożliwiają zarządzanie wieloma aspektami sieci w serwerowni, wliczając w to funkcje bezpieczeństwa. To umożliwia administratorom skoncentrowanie się na zarządzaniu pojedynczymi zbiorami reguł, które następnie można zaimplementować w całym centrum danych, w przeciwieństwie do „grzebania” w konfiguracji pojedynczych urządzeń.

Mikrosegmentacja

Prowadzi to również do kluczowych, typowo sieciowych aspektów bezpieczeństwa SDDC – mikrosegmentacji. Zaletą SDN jest to, że pieczę nad kontrolą sieci sprawuje nie sprzęt, lecz oprogramowanie. To oprogramowanie odpowiada za routing i wymuszanie reguł. Z tego względu całe centrum danych może zostać podzielone na logiczne segmenty. Można utworzyć ich dowolną liczbę. Mikrosegmentacja dzieli centrum danych na wiele logicznych części. Te segmenty mogą być grupowane, np. na podstawie stosowania podobnych reguł.

Mikrosegmentacja służy logicznemu oddzieleniu różnych komponentów i aplikacji. Natomiast tworzenie i grupowanie reguł mają za zadanie kontrolowanie zabezpieczeń sieciowych w centrum danych. Kontroler SDN automatycznie wymuszane stosowanie reguły przypisanych do poszczególnych urządzeń sieciowych. Warto dodać, że mikrosegmentacja jest też dobrą metodą na polepszenie parametrów sieci Technika taka zapewnia równoległą komunikację pomiędzy wieloma segmentami sieci. Ze względu na małą ilość stacji w danym segmencie zmniejsza się również czas dostępu do medium sieciowego.

Pojedyncza konsola administracyjna

Zaletą SDN jest również możliwość korzystania z jednej konsoli administracyjnej dającej wgląd w całą sieć. Odpowiednia inteligencja wbudowana w kontroler SDN odpowiada za przesyłanie reguł do urządzeń. To znacznie upraszcza zadania związane z konfiguracją i monitorowaniem. W praktyce architektura SDDC umożliwia zrezygnowanie z dotychczas stosowanych metod monitoringu bezpieczeństwa. Nowe narzędzia do monitorowania ruchu i danych w sieci wykorzystują wirtualizację, aby już w domyślniej konfiguracji pokazać widok całego centrum danych. To znacznie ułatwia zarządzanie, diagnozowanie problemów czy przeprowadzanie audytów na potrzeby weryfikacji zgodności z przepisami.

Automatyzacja sieci

Krytycznym komponentem jest automatyzacja sieci. Jest ona niezbędna, aby móc błyskawicznie reagować na zdarzenia naruszające bezpieczeństwo w centrum danych. Jedną kwestią jest automatyzacja obsługi alertów bezpieczeństwa. Inną jest zautomatyzowanie usuwania skutków ewentualnych incydentów z wykorzystaniem funkcji sztucznej inteligencji i uczenia maszynowego. W architekturze SDDC obie te rzeczy są możliwe do wdrożenia. Z perspektywy sieci podejrzane działania mogą być automatycznie blokowane czy umieszczane w kwarantannie w celu dalszej analizy.

Możliwe jest ponadto śledzenie każdego naruszenia bezpieczeństwa w sieci, aby zobaczyć, jakie dane, aplikacje czy serwery zostały dotknięte określonym zdarzeniem. W ten sposób można szybko odseparować zagrożony obszar od reszty centrum danych w celu zapobieżenia dalszej eskalacji i usunięcia szkód. Każde podejrzane zachowanie, które ma wpływ na funkcjonowanie sieci, np. ataki typu DoS/DDoS, można zwalczać poprzez zmiany ścieżek routingu i przesyłanie wrażliwych danych łączami, które wewnątrz centrum danych nie zostały zaatakowane.

Jak widać, technologie typu Software Defined mogą znacznie ułatwić wdrażanie, zarządzanie i rozwiązywanie problemów z incydentami bezpieczeństwa w centrum danych. Przez lata zabezpieczenia sieci znacznie się rozwinęły, ale i skomplikowały. Możliwości zabezpieczeń typowe dla SDDC ułatwiają wyeliminowanie tej złożoności poprzez wykorzystanie postępu w zakresie wirtualizacji funkcji sieciowych, centralnego zarządzania i sztucznej inteligencji.

Podziel się na:
  • Facebook
  • Google Bookmarks
  • LinkedIn