Fortinet, integratie met NSX en verder

Ronald de Jong

Vanuit de integratie met NSX ben ik in aanraking gekomen met Fortinet als leverancier van (onder andere) security-oplossingen. Eén van de uitkomsten van deze samenwerking tussen PQR en Fortinet is de mogelijkheid om in ons PQR Experience Center meer te laten zien over de integratie tussen VMware NSX en FortiGate VMX (zie blog:  http://www.pqr.com/blogs/het-pqr-experience-center-breidt-uit-met-fortig...), maar er kan (uiteraard) meer met de producten van Fortinet dan enkel de Next Generation FireWall (NGFW) functionaliteit in een virtuele netwerk-infrastructuur brengen, op virtuele machine-niveau.

Recent had ik de gelegenheid om van gedachten te wisselen met een van de System Engineers van Fortinet en ik was bijzonder gecharmeerd van één van de oplossingen die Fortinet biedt voor het verder beschermen van het datacenter bij onze klanten.

Eén van de functionaliteiten van VMware NSX waar klanten erg in geïnteresseerd zijn, is de mogelijkheid van microsegmentatie. Dit zorgt ervoor dat verkeer van, naar of tussen virtuele machines, kan worden gecontroleerd middels een firewall.

Deze functionaliteit van NSX werkt op “laag-2” niveau. Dat houdt in dat zelfs als communicatie tussen apparaten in hetzelfde laag-2 netwerk plaatsvindt, het mogelijk is om hier firewall functionaliteit op toe te passen. In onderstaande afbeelding staat weergegeven wat het verschil is tussen “laag-2” en “laag-3” communicatie is:

 

 

 

 

 

 

 

Verkeer binnen hetzelfde laag-2 netwerk, wordt rechtstreeks door de switch verplaatst van het ene apparaat naar het andere apparaat. Verkeer wat van het ene laag-2 netwerk naar een ander laag-2 netwerk loopt, zal door een laag-3 apparaat (router) worden geleid.

Zo’n router kan eventueel worden ingevuld door een Firewall, waardoor het tevens mogelijk wordt om de betreffende datastromen te controleren en (eventueel) te blokkeren:

 

 

 

 

 

 

 

 

Met VMware NSX is het mogelijk om verkeer wat in hetzelfde laag-2 netwerk blijft, tóch te beveiligen. Dat doet NSX met de “distributed firewall”, deze is actief binnen de kernel van de hypervisor en elk netwerk-pakket wat van en/of naar een virtuele machine loopt, kan op deze manier worden gefirewalled.

Wanneer daarnaast gebruik gemaakt wordt van de 3rd party integratie van vendoren zoals Fortinet, kan zelfs Next Generation FireWall (NGFW) functionaliteit worden toegepast op dergelijk verkeer, zodat (bijvoorbeeld) inspectie van verkeer kan plaatsvinden.

Het is dus mogelijk om datastromen te beveiligen tussen virtuele machines onderling, maar ook verkeer waarbij een virtuele machine de bron of het doel is, in combinatie met fysieke machines. Het enige wat niet kan met VMware NSX is het beschermen van fysieke naar fysieke datastromen (nou ja, het kan technisch wel, maar het is in de praktijk niet realistisch).

Fortinet heeft voor deze wens echter wél een antwoord. Ze noemen dit “Internal Segmentation Firewall”. Door een FortiGate Firewall te gebruiken als vervanger voor de switch waarop een fysieke machine wordt aangesloten, is het mogelijk om verkeer van de ene fysieke machine naar de andere fysieke machine in hetzelfde laag-2 netwerk door deze firewall te laten beoordelen. Dat kan packet filtering zijn (vergelijkbaar met de laag-2 tot laag-4 microsegmentatie functionaliteit van VMware NSX), maar dat kan ook NGFW-functionaliteit zijn.

Al met al een zeer interessante optie voor klanten die naast een grote virtuele footprint, ook (nog) een aanzienlijke fysieke footprint hebben, in hun datacenter.

Door de integratie van alle componenten met FortiManager wordt het daarnaast mogelijk om deze fysieke bescherming te managen in dezelfde interface als waar de overige Fortinet apparaten mee worden gemanaged, zoals de virtuele firewalls die de NGFW-functionaliteit toevoegen aan VMware NSX.

Mocht u hierover, of over andere zaken gerelateerd aan het Software Defined Datacenter, vragen hebben, laat het mij vooral weten (rjo@pqr.nl). Of neem contact op met uw accountmanager.

Mocht u interesse hebben om in ons PQR Experience Center langs te komen om te zien hoe VMware NSX werkt, eventueel in combinatie met de FortiGate VMX oplossing, dan nodig ik u van harte uit. Eventueel is het ook mogelijk om deze demonstratie bij u op locatie te komen geven. 

Ronald de Jong

Senior Consultant SDDC, PQR

>>> meer blogs

Reacties

Reactie toevoegen