Post on 26-Aug-2019
transcript
Palo Alto Networks in VMware NSX SDN
Zero-Trust Arhitektura – I did IT my Way
Andrej Motaln, univ.dipl.ing
andrej.motaln@arhides.si
2
3
Predstavitev – Kdo smo Mi?
• Active Certifications – Microsoft: MCSA, MCSE, Cisco: CCNP, CCDP,
HPE: ASE for Datacenter, VMware: VCP6 DCV, VCP6 NSX, PaloAlto: PCNSE, …
Datum ustanovitve: februar, 2009; 12 zaposlenih
Osnovne dejavnosti:
• Izgradnja IT sistemov
• Svetovanje, vzdrževanje in podpora uporabnikom
• Izobraževanje in Pearson VUE izpitni center
• Gostovanje podatkovnega centra (hosting)
Ne prodajamo samo opreme; naročnikom ponujamo celovite rešitve.
Project Engineering
• Liaison between the project manager and the technical disciplines involved in a project ...
4
V podjetjih in inštitucijah, kot so:
proizvodna podjetja, banke, zdravstvo, loterija in različne vladne inštitucije,
smo izvedli kompleksne projekte s področja izgradnje informacijske infrastrukture
Ponudimo lahko celovito rešitev na naslednjih področjih:
Podatkovni center (načrtovanje in izgradnja infrastrukture: omare, UPS, agregati,
el. in komunikacijske inštalacije, nadzor okolja, požarni sistemi in obveščanje)
Kompleksni samostojni in rezinski strežniški sistemi (HPE in Lenovo)
Hiperkonvergentne arhitekture VMware vSAN, NUTANIX
Pomnilniški (diskovni, tračni, VTL) sistemi (HPE in IBM), SAN infrastruktura (Brocade + Cisco)
Virtualizacija: VMware, Hyper-V, Citrix
Virtualizacija namizja - VDI
Sistemske platforme: MS WIN, LINUX, Novell, Apple
Optične in bakrene inštalacije v kampusu podjetja ali ustanove
Komunikacije: Cisco (stikala Catalyst in Nexus, brezžična omrežja, usmerjevalniki)
HPE/Arruba (stikala, brezžična omrežja ), Lenovo (stikala)
VMware NSX SDN omrežja
Varnostne platforme: Palo Alto Networks, Cisco, Sophos
Povezava podatkovnih centrov preko najetih optičnih vlaken - WDM sistemi proizvajalca ADVA
Zaščita podatkov: Veeam, CA ARCserve, HP Data Protector
Podatkovne baze: MS SQL
Elektronska pošta: Exchange, Zimbra
Nadzorni sistemi: Nagios, OP Manager, Veeam ONE, Panorama, MS System center
Oprema delovnega mesta – delovne postaje (HP, Lenovo), tiskalniki, čitalci, monitorji, licence….
Podpora strankam: Arhides – Asistenca (klicni center, usposobljena ekipa)
Arhides Izobraževalni Center in Pearson VUE izpitni center
Gostovanje podatkovnega centra (Hosting)
Področja – ki jih pokrivamo
Project Engineering – Celovite rešitve
5
Izhodiščna dejstva
• Najbolj pomemben je VAŠ (NAŠ) Datacenter
Naš Data Center
• Internet in Uporabniki so NE-VARNI
“Trust no one”
• 7-kratni GARTNER Magic Quadrant Leader
PaloAlto Networks
NGFW
Data is giving rise to a new economy – Fuel of the future
6
Ekonomija se obrača
1. Data … , 2. Oil … , 3. Arms … , …
GDPR - Do the data protection rules apply to data about a company?
https://ec.europa.eu/info/law/law-topic/data-protection/reform/
Answer: No, the rules only apply to personal data about individuals, they don’t govern data about
companies or any other legal entities.
7
L3
L2
L2
ISP1
Single Trust – Network security model
sever-jug
Edge
WAN - Internet
Network segmetacija
SwitchRouterFirewall
NATDHCP
DMZMail
Proxy
Web
Web
App
Db
Področje NE-zaupanja
Wireless
L3
L2
L2
ISP1
Edge
WAN - Internet
Network segmetacija
SwitchRouterFirewall
NATDHCPPodročje zaupanja Internal)
DMZMailProxy
Web
Web
App
Db
Wireless
ISP1 ISP2
Področje NE-zaupanja
• Port – Aplikacije ?
• IP naslov – Uporabnik ?
• Paketi – Vsebine ?
Kaj gre dejansko skozi?
• Pregled prometa• Razmejitev področij
Varovanje na prehodu v Internet, SECURITY ZONE, ...
Profil uporabnikov:
• Delovne postaje, AD – varni uporabniki• Wifi dostop, Mobile, IoT – nevarni uporabniki
Naš Data CenterEXTERNAL Treat
EXTERNAL Treat
Področje zaupanja Internal)
Farma Serverjev Farma Serverjev
8
Razpršena omrežja – sever-jug, …?
• Centralna lokacija – varnost FW (Sever-Jug)
• Problem proti strežnikom in delovnim postajam
• Oddaljene lokacije – varnost FW (Sever-Jug)
• ACL – Layer 3 stikala
L3
L2
L2
Firewall
ISP1 ISP2
L3
L2
L3
L2
Oddaljena lokacija
OSPF, IPSec in GRE
VLAN 10,11,22, ...
VLAN 20,21,22, ...
OSPF, IPSec in GRE
Oddaljena lokacija
OSPF, IPSec in GRE
Na Core stikalih ACLi?
No comment …
…
Internet in/ali
MPLS
SwitchRouterFirewall
NATDHCP
Web
App
Db
Internet promet• Lokalno ven - ne• Čez centralno lokacijo - da
VPN SSL
Naš Data Center
9
Štiri leta star – “Legacy” Firewall
Legacy Firewall• Duplicated
• Redundant
• Shadowed
• Unused
• Overlay
• Permissive
Prenos Access List s pomočjo script … ZGODOVINA SE PONAVLJA!
10
TDL-4
Poison IVY
Rustock
APT1
Ramnit
Bot
Citadel
Aurora
Team viewer
Stateful Inspection kasificira promet s pregledom IP header-ja• Source IP, source port
• Destination IP, destination port
• Protocol
Interne tabele kreirajo mapiranje na well-known protokole/port-e• HTTP = TCP port 80
• SMTP = TCP port 25
• SSL = TCP port 443
Freegate
Tcp / 443
SSL/Port 443 – Univerzalni mimohod
PaloAlto NG FW
Cisco ASA FW
Port-hopping, uporaba SSL in ssh,
uporaba porta 80 ali ostalih
nestandardnih portov – različni
načini vstopa v računalniške
sisteme?
Layer 7 “Next Generation” Appliance
Paketno filtriranje, ACLi, zaščita po IP/Port-u za znani promet? SSL dekripcija, AP-ID, User-ID in Contetnt-ID
port 53 (DNS)
Benign – varno
Grayware – nezaželeno (adware, spyware, Browser Helper Objects)
Malware – nevarno (viruses, worms, trojans, Remote Access Tools, rootkits in botnets)
Layer 1-4 Stateful Firewall (Cisco ASA)
11
PaloAlto Networks – NG Firewall
In Security Zone
DNS Alert
Endpoint Alert
AV Alert
SMTP Alert
AV Alert
Web Alert
Web Alert
SMTP Alert
DNS Alert
AV Alert
DNS Alert
Web Alert
Endpoint Alert
WildFire – zero-day malware (New signature in 15 min)
Avtomatski pdf reporti
Sledimo napadom
12
Single Trust
• Externi Firewall
Dual Trust
• LB (IPS) – Full TCP proxy
• Interni Firewall (pogojno)• hitrost (10Gbps in več)
Dual Trust – Network security model
L3
L2
L2
WAN - Internet
Network segmetacija
I. Področje zaupanja (Internal) DMZMailProxy
Web
Web App Db
Wireless
ISP1 ISP2
Področje NE-zaupanja (External)
Naš Data Center
DbApp
App Db
Web
Web
II. Področje zaupanja (Server)
HA Load Balancer
Farma Serverjev III. Produkcijsko omrežje
• Roboti, ICS/SCADA, PLC stroji,
MESs (manufacturing execution systems)
II. Poslovno omrežje
• Farma serverjev
ScadaCNC
MESs
Scada
Raspberry PI
Robot
Krmilnik
MESs
III. Področje zaupanja (SCADA)
Produkcija
PLC
NGFWVery High SpeedMultiple 10GBuild Security into Network DNA
Segmentation Gateways
Internal firewalls – Intrusion prevention, Application layer monitoring or Malware protection
• StateFull Firewall?
• Session Offload?
Ločujemo zunanje in notranje Firewall-e!
13
Roko na srce – vsi imamo “Backdoor-e”
Predjamski Grad
Mikrotik (lan)
Linksys (wifi)
Industrijski sistemi v4.0 in Industrijski IoT z LTE vmesniki
pFsense (VMs)
https://researchcenter.paloaltonetworks.com/tag/backdoor/
Panorama• VM or Appliance
PaloAlto Captive Portal
Unit 42
14Uporabljamo (EDL) External Dynamic Liste v kombinaciji z URL filtri in Security Policy
PaloAlto NGFW ni več samo APP-ID,
User-ID in Content-ID
• Štirje bonbončki:
• Uspešno varovanje Microsoft Office 365
• Uspešno varovanje pred Ramsonware
• Dinamično sledenje Remote VPN uporabniškim sejam
• Remote Access s Multi-Factor avtentifikacijo
• ...
Aperture
Continous Cloud
Monitoring
Traps Advanced Endpoint
Protections
15
Zero Trust – Network security model
L3
L2
L2
WAN - Internet
Network segmetacija
I. Področje zaupanja (Internal) DMZMailProxy
Web
Wireless
ISP1 ISP2
Področje NE-zaupanja (External)
Naš Data Center
II. Področje zaupanja (Server)
HA Firewall
Mikrosegmentacija• Pred vsak Server 10G interface• Pred vsak Server FW interface• DataCenter 60 Serverjev• DataCenter 100 Serverjev• Datacenter 200 Serverjev• Datacenter 300 Serverjev• ...
• Vsi strežniki pod kontrolo FW ne
glede na lokacijo
• Nadzor in logiranje vsega
prometa
• Zero Trust – “Verify and never
Trust!”
• Design from the inside out
• Design with compliance in mind
Never Trust, Always VerifyPromet: Vzhod-Zahod
16
Stack, … Stack, …
(VSS,vPC, IRF, VFS)
Uplink-i:
10, 40, 100 Gbps
Segmentation Gateway
Tradicionalna hierarhična omrežja
Kam bomo umestili FW-e:
• core/distribution/access
• colaps core
• leaf/spine
• …
Core
Aggregation
L3
L2
Access
(HSRP, VRRP)
(VLANi in RSTP+)
L3
L2
L2
Colaps core
L3
L2
L3 P2P, … (ECMP)
Spine, …
Leaf, …
iBGP
(IGRP, EIGRP in OSPF)
…
…
Leaf/Spine
Klasična omrežja se le počasi spreminjajo, ACLs, DNA, …
17
• SDN – OpenFlow v1.3
• Data plane: paketi (streaming)
• Control plane: sledenje sprememb topologij, preračunavanje route, postavljanje pravil (distributed algorithms)
• Management plane: konfiguriranje in kolekcioniranje podatkov (dynamic access control)
SDN – Software-Defined Networking
• Predstavljajmo si: kot controller based wireless
• Prim. Cisco WLC ali HPE Aruba
• Mreža 16x WLAN se definira centralno
• Kontrolni signali gredo po svojih linijah
• WLAN na VLAN se lahko attache-a lokalno, ali čez kontroller
• ...
18
Trinivojska arhitektura (deja vu) ...
VXLAN Overlay
Compute
Clusters
Management
Cluster
Edge Cluster
SDN na VMware-ov način – (NSXi,
VXLANi in omrežni servisi)
19
VMware vSphere network do včeraj
– “Application hair pinning”
ESXi-1 Standard Switch
ESXi-2 Standard Switch
• Standardno stikalo
• Promet med port-groupa-mi (VLANI) gre ven iz strežnika
• Sintaksa – napake
• Spremembe posebej na vsakem ESXi hostu
• Traffic shaping – outbound traffic
• Samo CDP
• Distribuirano stikalo
• Promet med port-groupa-mi (VLANI) gre ven iz strežnika
• Port-Groupe skupne – (VLAN, Private VLAN)
• Uplinki (enako število, lahko različni)
• LACP
• CDP in LLDP
• Traffic shaping – inbound in outbound
Za vse servise se gre ven:
Routing, DHCP, NAT, VPN,
FW, LB, ...
• VMware vSphere omrežje
• Klasično omrežje
Težko uskladiti:
20
Intel Procesor ranljivost L1TF:
• CVE-2018-3615 impacts Intel
Software Guard Extensions (SGX) and has a
CVSS Base Score of 7.9.
• CVE-2018-3620 impacts operating
systems and System Management Mode
(SMM) running on Intel processors and has
a CVSS Base Score of 7.1.
• CVE-2018-3646 impacts virtualization
software and Virtual Machine Monitors
(VMM) running on Intel processors and has
a CVSS Base Score of 7.1
Meltdown – poruši izolacijo med aplikacijo in OS-om
Spectre – poruši izolacijo med različnimi aplikacijami
• Specter - CVE-2017-5753 and CVE-2017-5715
• Meltdown - CVE-2017-5754
VM Firewall-i – Na Intel platformi
• Volkswagen emissions scandal, …?
• A Critical Intel Flaw breaks basic security for most computers,…?
21
DLR Kontrola VM
Zunanje Omrežje
Web1 App1 DB1
NSX Edge
Distributed Routing
ECMP HA Model
Active/Standby HA ModelPosamezni HA Model
Active Standby
Active/Standby HA Model
• Firewall, Load Balancer in VPN
State Full
• Routing podpira ECMP
(Equal Cost/Multiple Path)
Ni vsak HA za vse Servise
Primerno za:
leaf/spine okolja?
Ne smemo pozabiti: PaloAlto NGFW as a SERVICE !
VMware SDDC – NSX SDN omrežje
VM-Series Firewall• App-ID application traffic• Content-ID DNS queries, malware sites, exploits
Dynamic Address Group• Using Tags instead of ip addresses
Panorama Centralized management• PaloAlto Networks VM-series as service to NSX
1 - Distributed Switch .
2 - Distributer Router ..
3 - Distributed Firewall …
22
Distributed Firewall
• Micro-segmentation• Zero-trust• Goldilocks zone
Firewall Pravila• Layer 2,3,4
• User idetification (AD, LDAP, …)
• VMware vSphere Objekti
Če smo predaleč od Firewall-a:
imamo problem
Radi bi imeli ustrezno zaščito
na vsakem koraku
“Trust no one”
Micro-Segmentation:
A stateful Firewall at every
NIC or vNIC (not only VM)
NASA research – planet to support life
Klasika do danes:• Perimetrični Fizični firewall-i• V VM okolju SVM (serviceVM – (FW))
vNIC ima konektor na port-groupo!
Pozor, na ESXi hostu imamo lahko: 100, 200, 300 VMs z enim ali več Ethernet interface-om (vNics)
Firewall s 300 in več interface-i ???
23
Nivoji Distributed Firewall-a
Povezava med vCENTER-om in
NSX manager-em je po protokolu:
AMQP (PORT TCP 5671)
Povezava med NSX
managerjem in ESXi hosti je po:
VSFWD (vShield firewall daemon)
/var/log/vsfwd.log
vSIP kernel modul pripravi vsaki VM VNICu memory strukturo VNIC-FW (SLOT 2)!
V tem memory prostoru se nahajata obe tabeli:
(Connection tracker tabela in rule tabela) – tabeli sledita paketom v obeh smereh!
Promet pride v VNIC-FW
preden pride dejansko v
VDS!
SLOT2: Uporablja DWF
+ Wireshark
dvfilter
NSX in PaloAlto dobita IP od VMs: VMware Tools ali SpoofGuard
Integracija PaloAlto FW as service v NSXPanorama
VMware vSphere
Panorama VM
PA Firewall VM-Series
Firewall: Layer 2, Layer 3
in PaloAlto Networks
Virtual Wire
Različne VM-Series NGFW modeli – odlična integracija
PA NGFW – As VMware NSX service
25
• Zgradba FW pravil:
• Pravila niso zgrajena
samo po IP naslovih
• Vsebujejo široki nabor ti.
kontejnerjev (VMware
vSphere objektov)
• VM name
• VM tag, VM attributes
• Cluster, datacenter
• Portgroups
• …
VC containers
- Clusters
- datacenters
- Portgroups
- VXLAN
VM containers
• VM names
• VM tags
• VM attributes
Identity
- AD Groups
IPv6 compliant
• IPv6 address
• IPv6 sets
Services
- Protocol
- Ports
- Custom
IPv6 Services
Choice of PEP (Policy
Enforcement Point)
- Clusters
- VXLAN
- vNICs
- …
Action
- Allow
- Block
- Reject
ACL pravilo:
FW pravila lahko (we must to) urejati znotraj sekcij – lepša preglednost!
DFW ACL lahko: - shranimo v datoteko
- lahko naložimo iz
datoteke
Rule - vrstni red
izvedbe:- Later 2 (Ethernet)
- Layer 3 (General)
- PaloAlto (Partner Security
Services)
“Posebni” objekti v NSX DFW ACLs
Andrej Sekcija
- Nastavitve
- neposredno
- skozi DFW
Default Sekcija
- Default nastavitve
NSX Service Composer
Rule skozi:
- Security Groups
- Security Policies
- Security Tags
26
• Security grupe:• Določimo dinamično
članstvo
• Določimo statično
članstvo
• Določimo statične
izjeme
• Security pravila:• Guest in Network
Introspection
• Firewall rules
• …
• Security tag-i:• NSX Manager
• Third-Party Solutions• PaloAlto
• …
Service Composer omogoča gradnjo Kompleksnih - Dinamičnih pravil!
Security Policy
• Edit Firewall Rule
Security group
- Members after
- Security Tags
condition
Canvas
Service Composer in razširitev moči
DFW pravil
27Security Group – Dynamic Inclusion, Static Inclusion or Static Exclusion
A genius move – Step-back and shoot
• Vmware NSX objekte prenesemo v PaloAlto Security policies
– Security tag vežemo na vSphere Object
– Dynamic Security Group tagging (vSphere Objects)
• PaloAlto Dynamic Address Group vežemo na
– _nsx_<dynamic address group name>
vSphere objekti:• DataCenter, Cluster, Resource pool, Virtual Machine• Security group, Distributed port group• vApp, Security Tag (VM name, OS Type, …)• Directory group, Computer OS Name• Mac sets, vNIC, IP Sets, Logical Switch
Luka Dončić
Security Centric &
Operation Centric
• Security Groups
• Steering Rules
Security Centric – Panorama
Operations Centric – NSX Manager
28
Pet let kontinuiranega razvoja
2013 2014 2015 2016 2017 2018
vCloud Air
Google Cloud Deployment
Manager
Azure AppInsights
Azure Security Center
Google Stackdriver
AWS CloudFormation
AWS ELB
AWS Auto-Scaling
Azure
Azure ARM
Config Drive AWS Lambda
Azure App
Gateway
Azure Load
Balancer
Heat Templates
Podprte vse Cloud infrastrukture
Orkestracija in avtomatizirana integracija
Advanced Automation
VMware NSX je samo začetek: …
29
• VM-series FW modeli:• VM-50, VM-50 Lite
• VM-100,
• VM-200
• VM-300, VM-1000-HV
• VM-500
• VM-700
HA3 – Layer2 link Active/Active – Jumbo frames
PaloAlto NGFW in ostale virtualizacijske
ter Cloud platform-e
Cloud okolja:
• VM-Series for VMware vCloud Air
• VM-Series for Google Cloud Platform
• VM-Series for AWS (Amazon Web Services)
• VM-Series for Microsoft Azure• Vsi VM-Series modeli razen VM-50, VM50 Lite na Azure VNet
Virtualizacijska okolja:
• VM-Series for vSphere Hypervisor (ESXi)• Vsi VM-Series modeli kot guest virtual machine on VMware ESXi Server
• VM-Series for VMware NSX• Vsi VM-Series modeli, VMware NSX in Panorama
• VM-Series for Microsoft Hyper-V• Hyper-V service on Windows Server 2012R2
• VM-Series for KVM• Ubuntu 14.04 LTS, 16.04 LTS, CentOS/RHEL v7.2
• VM-Series for OpenStack• VM-Series model on KVM na OpenStack v2.31 in v2.51
• VM-Series for Cisco ENCS appliance• VM-Series model on Cisco 5400 appliance Cisco SDN Edge
30
Hvala, …
“Trust no one”
info@arhides.si