Integratie tussen VMware AirWatch en VMware NSX, hoe werkt dat?

Sven Huisman

Virtuele machines kunnen rechten krijgen om verkeer wel of niet te versturen of te ontvangen, maar hoe zit dat met gebruikers en hun (mobiele) apparaten?

De laatste jaren is het risico dat een bedrijf slachtoffer wordt van een cyberaanval of -diefstal enorm gegroeid. De vraag is niet óf maar wanneer uw bedrijf ten proof valt aan een kwaadwillende. Software Defined Networking, zoals VMware NSX, is één van de manieren om uw netwerk te beveiligen tegen dergelijke aanvallen. Met VMware NSX kunt u uw netwerk beter beveiligen door middel van microsegmentatie. Vanuit de IT-organisatie bekeken wordt uw omgeving een stuk veiliger, niet alleen van buitenaf wordt het netwerkverkeer gecontroleerd, ook het verkeer tussen de virtuele machines wordt gecontroleerd met behulp van virtuele firewalls.

Op basis van regels kunnen virtuele machines rechten krijgen om bepaald verkeer wel of niet te versturen, dan wel te ontvangen. Maar hoe zit het met de gebruikers en hun (mobiele) apparaten? In deze blog leg ik uit hoe VMware Airwatch integreert met VMware NSX. Op basis van NSX-beveiligingsregels kunnen mobiele gebruikers toegang worden verleend aan de gegevens en diensten binnen het datacenter.

Het dilemma

Het beveiligen van uw netwerk wordt een steeds grotere uitdaging. Aan de ene kant zijn er steeds meer verschillende manieren waarop cybercriminelen proberen in te breken in uw netwerk en aan de andere kant verwachten uw gebruikers dat ze overal vandaan en vanaf elk (mobiel) apparaat toegang kunnen krijgen tot de zakelijke applicaties en data. Hoe kunt u er nou voor zorgen dat de IT-infrastructuur, uw datacenter, zo goed mogelijk is beveiligd en aan de andere kant u uw gebruikers de flexibiliteit en de vrijheid kunt bieden om overal en altijd te kunnen werken?

Enterprise Mobility Management

Enterprise Mobility ManagementMobiele apparaten worden tegenwoordig gebruikt voor zowel privédoeleinden als voor zakelijke doeleinden. Een mobiel apparaat, zoals een smartphone of tablet, heeft in een zakelijke omgeving steeds vaker een mix van persoonlijke en zakelijke applicaties. Met een Enterprise Mobility Management (EMM) oplossing zoals VMware AirWatch bent u in staat om het apparaat goed te beveiligen. Persoonlijke en zakelijke applicaties en data worden op het apparaat zelf gescheiden. De IT-organisatie is in staat om het zakelijke deel van het mobiele apparaat te beheren en te beveiligen en de gebruiker kan daarnaast gewoon gebruik maken van persoonlijke applicaties. Het beveiligen van het apparaat met behulp van EMM is echter niet voldoende.

Per-device VPN

Device-Level VPNDe zakelijke applicaties hebben in veel gevallen toegang nodig tot gegevens en diensten (services) in het datacenter. Een veel gebruikte oplossing is om het mobiele apparaat via een VPN-tunnel een verbinding te laten maken met het datacenter.

Naast het feit dat het opzetten van een dergelijke VPN-verbinding voor een gebruiker lastig is, wordt er ook een onveilige situatie gecreëerd. De gebruiker moet zelf de configuratie van de VPN instellen en de verbinding opzetten (AirWatch kan hierbij overigens helpen) en het hele apparaat heeft toegang tot het datacenter en niet alleen de zakelijke applicaties.

App-Level VPNPer-app VPN

Met VMware AirWatch kunt u ervoor zorgen dat er per applicatie een VPN-tunnel wordt opgezet. Dit wordt ook wel 'per-app' VPN of 'micro-VPN' genoemd. In plaats van dat het hele apparaat toegang krijgt tot het datacenter via een 'per-device' VPN, wordt er per applicatie een VPN-tunnel opgezet. Alleen door IT beheerde applicaties krijgen hierdoor toegang tot het datacenter. Het probleem hierbij is echter dat wanneer een kwaadwillende gebruiker toegang heeft tot één van de zakelijke applicaties met een 'per-app' VPN-tunnel naar het datacenter, diegene toegang heeft tot het gehele datacenter. Met andere woorden, eenmaal binnen kan een kwaadwillende (gebruiker of virus) overal bij.

App-Level VPNMet de integratie tussen VMware Airwatch en NSX wordt dit probleem aangepakt. Per applicatie wordt er niet alleen een VPN-tunnel opgezet maar wordt er toegang verleend tot alleen de data en services die toegestaan wordt door middel van beveiligingsregels (security policies). Op basis van applicaties, gebruikers en apparaten wordt er toegang verleent tot specifieke gegevens en services binnen het datacenter. Dit noemt men 'per-app' VPN met microsegmentatie.

Hoe werkt het?

De configuratie van NSX wordt geregeld met de NSX Service Composer. Met de Service Composer worden Security Groups en Security Policies gedefinieerd. Een Security Group kan statisch zijn (bijvoorbeeld bepaalde virtuele machines) of dynamisch waarbij het lidmaatschap afhangt van:

  • Welke vCenter container gebruikt wordt, zoals clusters, port groups, of datacenters;
  • Security tags, bijvoorbeeld wanneer er een virus gevonden is, krijgt de virtuele machine de security tag “AntiVirus.virusFound”;
  • Active Directory groepen;
  • Patronen, bijvoorbeeld virtuele machines waarvan de naam begint met VM1.

Een Security Policy bestaat uit één of meer:

  • Firewallregels: welk verkeer is toegestaan tussen welke componenten;
  • Endpoint services: data security of service zoals een antivirus oplossing;
  • Network introspection services: een service om het netwerkverkeer te monitoren, zoals IPS.

Een Security Policy wordt gekoppeld aan een Security Group. Hierdoor ontstaat er een dynamische, flexibele en veilige netwerkinfrastructuur. Afhankelijk van de Security Group waarin een virtuele machine of gebruiker zich bevindt wordt er toegang verleent (of juist niet) tot bepaalde services binnen het datacenter.

Om ervoor te zorgen dat AirWatch kan integreren met NSX dienen er een aantal zaken geregeld te zijn. Binnen de beheerconsole van AirWatch moet het adres van de NSX-manager worden opgegeven:

Beheerconsole Airwatch

Vervolgens kunnen de Security Groups vanuit NSX gesynchroniseerd worden naar AirWatch. Door aan de beschrijving van een Security Group “@Airwatch” toe te voegen worden alleen deze Security Groups gesynchroniseerd met AirWatch en niet allemaal.

VMware vSphere Web Client

Vervolgens is het een eenvoudige stap om per applicatie een 'per-app' VPN-profiel op basis van de NSX securitygroepen in te stellen:

Instellen security groepen

Op het moment dat de gebruiker deze applicatie start kan de gebruiker via deze applicatie alleen bij de data en services in het datacenter die gedefinieerd zijn binnen de NSX Security Policy.

Doelgroep

Voor wie is dit nou interessant? Voor elke organisatie die de medewerkers, vanaf mobiele apparaten, toegang wil verlenen tot zakelijke applicaties en data vanuit het datacenter. Naast VMware NSX (Advanced of Enterprise) heeft u VMware AirWatch nodig (Blue of Yellow suite). U kunt ook kiezen voor VMware Workspace ONE. VMware AirWatch is onderdeel van Workspace ONE. U heeft dan de Advanced- of Enterprise-versie nodig.

Met de integratie tussen AirWatch en NSX wordt een veilige toegang tot data en applicaties binnen het datacenter vanaf mobiele apparaten geleverd. Hierdoor wordt de kans op datalekken of een aanval van kwaadwillende gebruikers geminimaliseerd. U wilt toch ook een volledig veilige IT-infrastructuur? 

Laat u informeren over VMware AirWatch en VMware NSX en neem contact op met PQR

Sven HuismanVMware EUC Champion 2016
Senior Consultant PQR

>> meer blogs

Reacties

Reactie toevoegen