• امروز : سه شنبه, ۲۹ آبان , ۱۴۰۳
  • برابر با : Tuesday - 19 November - 2024
کل مقالات 33مقالات امروز 0
0

امنیت با فایروال توزیع شده NSX

  • ۰۳ شهریور ۱۴۰۳ - ۱۲:۱۷
امنیت با فایروال توزیع شده NSX

  در این مقاله قصد داریم امنیت با فایروال توزیع شده NSX را شرح دهیم. نمونه‌سازی(Instantiating) یک سرویسِ distributed firewall بر روی VDS چیزی بیش از فقط برچسب زدن یک سرویس یا محصول به عنوان فایروال توزیع شده است. NSX یک stateful firewall را ایجاد می‌کند که ویژگی‌های متنی را با عملکرد نزدیک به نرخ […]

 

در این مقاله قصد داریم امنیت با فایروال توزیع شده NSX را شرح دهیم. نمونه‌سازی(Instantiating) یک سرویسِ distributed firewall بر روی VDS چیزی بیش از فقط برچسب زدن یک سرویس یا محصول به عنوان فایروال توزیع شده است. NSX یک stateful firewall را ایجاد می‌کند که ویژگی‌های متنی را با عملکرد نزدیک به نرخ خط ارائه می‌دهد. سادگی عملیاتی از طریق مجموعه‌ای از الزامات برای استقرار موفقیت‌آمیز NSX برای micro-segmentation تطبیقی تضمین می‌شود. این یکی از دلایل اصلی استفاده از NSX برای حل انواع موارد استفاده امنیتی(security use cases) است. علاوه بر این، NSX می‌تواند سرویس مفیدی را برای کمک به مهاجرت مرکز داده به لایه underlay ِ جدید خود ارائه نماید. اجرای یک پلت‌فرم NSX یک SDDC ایجاد می‌کند و فقط به اتصال IP از لایه underlay نیاز دارد.
Running an NSX platform establishes a SDDC and requires only solid IP connectivity from the fabric underlay.

نحوه کار فایروال توزیع شده NSX

NSX به طور پیش فرض، distributed firewall را فعال می‌کند که در vNIC هر VM تحقق یافته و ترافیک ورودی/خروجی از VM همیشه از این فایروال توزیع شده عبور می‌کند که موجب مزایای کلیدی از جمله فایروال لایه 2 تا 4 و نیز کاهش قرار گرفتن در معرض مخاطرات امنیتی در ریشه ترافیک شرق به غرب می‌باشد که از بار کاری مجازی جدا شده است. لایه سرویس نرم افزاری ذاتی این فایروال توزیع شده در NSX، یک قابلیت ریزبخش بندی تطبیقی (adaptive micro-segmentation) را ارائه می‌دهد.
این distributed firewall می‌تواند مکمل یک فایروال متمرکز در حاشیه مرکز داده باشد و موجب حذف دستگاه‌های فیزیکی (or concrete) مورد استفاده به عنوان فایروال شرق به غرب، که به سرویس پیچیده برای استفاده عملیاتی نیاز دارند بشود.

همانطور که در شکل ذیل نشان داده شده است، اکنون انعطاف در طراحی و ایجاد یک پالیسی امنیتی پیچیده، فراهم است زیرا پالیسی به توپولوژی فیزیکی گره نمی‌خورد. پالیسی امنیتی را می‌توان برای موارد زیر سفارشی نمود:
– برای درون سگمنت و بین سگمنت‌ها (layer 2)
– برای دسترسی‌های full یا partial
– برای مدیریت مجموعه قوانین N-S که مستقیماً در سطح بارکاری مجازی به کار می‌رود.

ضمن این که فایروال لبه(edge firewall) نیز می‌تواند به عنوان یک مرز امنیتی بین دامنه‌ای استفاده شود.

 

 

NSX

NSX

Micro-Segmentation and Protection of Traffic

 

 

همانطور که در شکل بالا نشان داده شده است قابلیت خط مشی فایروال توزیع شده با micro-segmentation دارای مزایای زیادی است، مانند:
– ایجاد زون‌های PCI در سگمنت‌های مشترک
– پالیسی‌های امنیتی متنی مانند Identity Firewall برای دسکتاپ‌ها در محیط VDI
– کاهش سربار عملیاتی مورد نیاز برای دوخت ترافیک(stitching traffic) از طریق فایروال های متمرکز با rule‌های مسیریابی مبتنی بر پالیسی
– فایروال‌های مجازی به ازای هر ماشین مجازی یا کانتینر
– پالیسی امنیتی برای چندین سایت با مدیریت متمرکز

 

لینک کوتاه : https://abrplus.net/?p=671
  • ارسال توسط :
  • 8 بازدید
  • دیدگاه‌ها برای امنیت با فایروال توزیع شده NSX بسته هستند

برچسب ها

نوشته های مشابه

ثبت دیدگاه

مجموع دیدگاهها : 0در انتظار بررسی : 0انتشار یافته : 0

دیدگاهها بسته است.