Moim skromnym zdaniem tak. Jeszcze razem z NSX’em, pozawala nam na zbudowanie reguły jak najbliżej wirtualnej maszyny, dzięki temu zwiększmy nasze bezpieczeństwo w ramach rozwiązania SDDC. Do tej pory taki ruch musieliśmy wysłać do sieci fizycznej lub dedykowanej wirtualnej maszyny. Co często wiązało się z problemami typu, jak zawinąć ruch, aby przeszedł przez IPS/IDS. Dziś, wykorzystując NSX’a nie musimy aż tak o tym myśleć, bo to dzieje się na poziomie hyperwizora, działa w jednym flow razem z dystrybułowanym firewallem. Pamiętajmy, że reguła dla IPS/IDS przemieszcza się razem z wirtualną maszyną w ramach SDDC.
Rozwiązanie to pozwala nam znacząco precyzyjniej i szybciej spełniać wymagania związane z bezpieczeństwem, stawiane przez różne instytucje jak np. PCI DSS, czy Polskie KSC.
Samo rozwiązanie jest adaptacją rozwiązania Suricata na poziom hypervizora. Samo rozwiązanie jest rozbudowane o informacje z Lastline, SecureWorks czy Trustwave – pozawala na dokładne działanie z wykorzystaniem sygnatur. Całość to opiera się na sygnaturach dostarczanych przez wyżej wymienione źródła.
Centralne zarządzenie z wykorzystaniem NSX Managera, na którym:
Usługę IPS/IDS możemy przypisać na dwóch poziomach:
Podobnie sytuacja wygląda, gdy mamy do stworzenia reguły na dwóch płaszczyznach tak jak widzimy na poniższym obrazku:
Ważnym elementem jest skonfigurowanie odpowiedniego profilu, który zostanie wykorzystany do budowania reguły w polityce IPS/IDS, tak jak pokazuje poniższa grafika:
Jak widzimy powyżej, mamy duże pole manewru do konfiguracji, możemy skonfigurować profil wykorzystując filtry:
Dzięki temu jesteśmy w stanie bardzo starannie zdefiniować regułę dla konkretnego systemu operacyjnego czy funkcji pełniącej.
Co do definiowania samych reguł, to mamy możliwość przypisania ich podobnie, jak reguły DFW, czyli do całego środowiska lub do wybranych security groups. Jedyną różnicą jest tryb działania (mode), który daje nam dwie możliwości:
Tak jak poniżej widzimy stworzoną politykę IPS, którą możemy opublikować.
Wydajność rozwiązania nie jest ograniczona do jednego pudełka, które jest gdzieś w sieci, jak to ma miejsce w przypadku rozwiązań klasycznych. Przy IPS/IDS w wydaniu VMware wydajność rozkłada się na wszystkie fizyczne serwery pracujące w ramach infrastruktury NSX-t.
Dodatkowo budowanie reguł IPS/IDS w sposób bardzo granuralny pozwala na przekierowanie konkretnego ruchu do inspekcji, a co za tym idzie również ograniczamy w ten sposób ilość skanowanego ruchu.
Tak jak widzimy, przy rozwiązaniu z zastosowaniem NSX-t nie jesteśmy ograniczani do jednego klastra lub wielu które są umieszczane w sieci dokładnie mówiąc w ścieżce ruchu. , co często wiązało się ze skanowaniem 100% ruchu przez dedykowane rozwiązanie i znacząco wpływało na wydajność jak również i bezpieczeństwo.
Mam nadzieję, że wyżej opisane zagadnienie pozwoliły pomyśleć czy warto wykorzystać moduł IPS/IDS w ramach rozwiązania NSX.
Artykuł powstał przy współpracy z dostawcą usługi VMware NSX-t <klik>