Hakutulokset

Kuinka ottaa mikrosegmentointi käyttöön

BlogiPilvipalvelutTurvallisuus 22.8.2017

VMware NSX:n yksi kehutuimmista ominaisuuksista on mikrosegmentointi. Mikrosegmentointi parantaa palvelinympäristön tietoturvaa suojaamaalla sisäistä ns. east-west–liikennettä tehokkaasti ilman, että kaikkea liikennettä ohjataan keskitetylle palomuurille tai reitittimille. Useille VMware-käyttäjille tämä ominaisuus ei kuitenkaan vielä ole kovin tuttu.

Mikrosegementoinnin käyttöönotto ei ole kovin vaikeaa, mutta se voi olla kuitenkin työlästä. Työlääksi mikrosegementoinnin käyttöönoton tekee se, että usein sisäverkon liikenne ei ole kovin hyvin dokumentoitua. Perinteinen palvelinarkkitehtuuri kuitenkin on yleensä sinänsä melko yksinkertaista, joten mahdottomasta tehtävästä ei kyse kuitenkaan ole.

Hyvin hajautuneeseen Microservice-arkkitehtuuriin mikrosegementoinnin jälkeenpäin toteuttaminen voi olla hankala. Toisaalta konttiajoympäristöt tuovat tähän omia työkaluja. NSX-mikrosegmentointi ei myöskään toimi konttiajoympäristöjen overlay-verkkojen sisällä.

Testiympäristö apuun käyttöönotossa

Työlääksi mikrosegementoinnin käyttöönoton voi tehdä myös testiympäristön puuttuminen. Pilvipalveluissa tällaisen onneksi pystyy luomaan suhteellisen helposti varsinkin, jos infrastruktuurin rakentamista on automatisoitu.

Jos automaatioaste on vähäinen ja palvelimet on konfiguroitu käsin, voidaan ympäristöä rakentaa myös palvelimia kloonaamalla, ellei sitten tässä yhteydessä haluta aloittaa automaatiotyötä. Usein ohjelmistolisenssit ovat tässä työssä suurin este, mutta usein käytettävissä on myös ilmaisia testi- ja kehityslisenssejä.

Hyvä dokumentaatio - puoliksi tehty

Mikrosegementointia ei yleensä kannata yrittää implementoida kerralla vaan palvelin/palvelinryhmä kerrallaan. Kun muutoksia tehdään yhdessä paikassa, on helpompi havaita muutosten vaikutukset ja muokata tarvittavia sääntöjä. Hyvä dokumentaatio auttaa alkuun, jolloin on paremmat mahdollisuudet saada asiat toimimaan heti oikein.

Vaihe vaiheelta kerrallaan

Aluksi mikrosegmentoinnissa kannattaa lähteä etsimään selkeitä rooleja sisältäviä palvelimia, kuten tietokannat, verkkofrontit, AD-palvelimet, jne. Palvelinrooleille voidaan käyttää yhteisiä sääntöjä. Esimerkiksi kaikille www-fronteille voidaan avata HTTPS-yhteydet internetiin tai sovelluspalvelimilta voi antaa oikeudet tietokantapalvelimille.

Vaikka jotain tehtävää hoitaakin vain yksi palvelin, sille kannattaa antaa oma ryhmä. Tämä tekee sääntöjen luomisesta selkeämpää ja tätä voi käyttää myöhemmin hyödyksi, kun palvelinta päivitetään. Kun ensimmäinen palvelinryhmä on valittu, niin sen jälkeen lähdetään toteuttamaan sille sääntöjä.  Kannattaa myös muistaa, että yksi palvelin voi olla useammassa palvelinryhmässä.  

Usein palvelinryhmästä ulospäin lähtevää liikennettä ei rajoiteta mikrosegementointitasolla, koska se on vaikeammin selvitettävää. Jos ulospäin lähtevää liikennettä rajoitetaan, kannattaa muistaa, että tarvitaan myös käyttöjärjestelmätason palvelut avata. Tämä dokumentointi ei ole usein niin hyvää kuin sovellustason. Esimerkiksi logien hallinnan, NTP-, AD-, NFS–palvelujen portit helposti unohtuvat. Kaikkia ongelmia ei usein havaita heti. Yleensä on riittävää, että kohdepään säännöissä on määritelty, että ketkä voi ottaa yhteyttä AD-palveluun. Kaikille palvelimille voidaan myös luoda yhteinen ryhmä, jolloin esimerkiksi voidaan määritellä, että kaikki pääsevät NTP- tai logienhallintapalveluun.

Kun pohjatyö on kunnossa ja tiedetään mitä halutaan konfiguroida, mikrosegementoinnin käyttöönotto ei ole vaikeaa. Varsinaisten sääntöjen luonti on hyvin samankaltaista kuin keskitettyihin palomuureihin. Suurimpana erona on, että ei mietitä niin paljoa ip-osoitteita vaan palvelinryhmiä. Huomaathan, että VMware NSX-mikrosegmentointi on Advanced gateway –palvelu, ja se pitää erikseen ottaa käyttöön omalla edge gatewayllä.

 

Jaa