Revolutie in netwerkland

Ronald de Jong

Security en flexibiliteit slaan nieuwe weg in.

In het verleden werd functionaliteit in het datacenter verkregen door inzet van specifieke hardware. Functies waren ingebed in geoptimaliseerde hardwarecomponenten en voor het gebruik van nieuwe functies was het vaak nodig om de nieuwste hardware aan te schaffen. De laatste jaren is er echter een ontwikkeling ontstaan waarin steeds vaker gebruik gemaakt wordt van standaard ‘off the shelf’ hardware, waarbij de intelligentie in de software zit. Dit maakt het mogelijk om nieuwe technologische ontwikkelingen te volgen, zonder daarvoor constant te hoeven investeren in nieuwe hardware. Dit heeft er inmiddels toe geleid dat vrijwel alle bedrijven en organisaties wereldwijd gebruik zijn gaan maken van servervirtualisatie. Ook op het gebied van dataopslag vinden momenteel grote veranderingen plaats.

Een relatief nieuwe ontwikkeling  ligt op het gebied van het netwerk. Meerdere nieuwe stromingen zoals Software Defined Networking (SDN) en Network Function Virtualization (NFV) worden steeds populairder. En terecht!

Waar SDN vooral betrekking heeft op het loskoppelen van de verschillende lagen die een traditioneel netwerk omvatten, is NFV een methode om netwerkdiensten zoals firewalls en load-balancers te virtualiseren. De combinatie van de twee maakt het dé oplossing voor de toekomst op netwerkgebied.

VMware heeft hierin met NSX een product gebracht dat voor netwerken is wat ESX ooit was voor servers. Een revolutie in netwerkland, die zijn weerga niet kent. PQR ziet VMware NSX als dé oplossing voor het verhogen van security en flexibiliteit in de automatisering. En dat allemaal tegen lagere kosten en inspanningen én zonder investeringen in nieuwe hardware!

Software Defined Networking

Binnen VMware NSX wordt een scheiding gemaakt tussen de verschillende netwerklagen:

  • Management: de laag die verantwoordelijk is voor het beheer van de omgeving en belast is met het doorvoeren van wijzigingen;
  • Controle: de laag die verantwoordelijk is voor het sturen van de verkeersstromen, zoals het bijhouden van de routing- en arp-tabellen;
  • Data: de laag die verantwoordelijk is voor het daadwerkelijk versturen en ontvangen van datapakketjes van A naar C (eventueel via B).

Door het scheiden van deze lagen wordt het mogelijk om onafhankelijk van de onderliggende hardware (enkel nog verantwoordelijk voor het versturen en ontvangen van pakketjes), configuraties aan te passen of functionaliteit toe te voegen. De mogelijkheid om dat geautomatiseerd en pragmatisch uit te voeren, maakt het toevoegen van een dergelijke functionaliteit een stuk eenvoudiger en sneller.

Network Function Virtualization

Een andere veelgebruikte term is Network Function Virtualization (NFV). Hoewel gerelateerd aan - en soms nauw samenwerkend met SDN - staat het op zichzelf. Waar SDN vooral is gericht op het scheiden van de verschillende lagen, is NFV gericht op het softwarematig aanbieden van bepaalde netwerkfuncties.

In traditionele netwerkomgevingen wordt netwerkfunctionaliteiten verkregen vanuit hardware appliances, zoals firewalls, load-balancers en vpn-gateways. Al langere tijd is er een ontwikkeling gaande om deze hardware-appliances deels te vervangen door virtuele appliances, maar dit betreft meestal een één op één vervanging van een fysieke door een virtuele oplossing. Beheer van deze virtuele appliances wordt echter nog steeds op dezelfde manier gedaan, waardoor een groot voordeel van virtualisatie, namelijk centralisatie van beheer, niet wordt gerealiseerd. Door NFV te combineren met SDN wordt het mogelijk om gebruik te maken van een gedistribueerd model. Hierdoor kunnen bepaalde netwerkfuncties worden verplaatst naar de kernel van de server waarop de virtuele machines actief zijn. Zo zal een gedistribueerde virtuele firewall de communicatie kunnen controleren en eventueel blokkeren, nog voordat er data op het fysieke netwerk terecht komt.

Daarnaast zijn er veel leveranciers die gebruik maken van VMware NSX om hun eigen diensten op een virtuele of gedistribueerde manier aan te bieden. Bekende voorbeelden hiervan zijn Palo Alto met hun Next Generation Firewall oplossing, Trend Micro Deep Security en F5 Networks met BIG IP.

Security

Huidige netwerken bestaan uit segmenten als extern (de buitenwereld), een beperkt aantal Demilitarized Zones (DMZ) en een beperkt aantal interne netwerken. Het verkeer tussen deze segmenten wordt gecontroleerd door één of meerdere fysieke of virtuele firewalls. Veelal wordt hiermee verkeer tussen segmenten gescheiden, maar is er binnen de verschillende segmenten weinig tot geen controle. Eenmaal binnen in een bepaald segment heb je toegang tot alles wat zich in datzelfde segment bevindt. Hiervan maken kwaadwillenden graag gebruik; zij penetreren een veilig geacht deel van het netwerk en kunnen daar hun activiteiten verder ontplooien.

Een manier om dit probleem te adresseren, is het gebruik van ‘Zero Trust Networking’. Hierbij wordt enkel verkeer tussen apparaten toegestaan die vooraf zijn goedgekeurd. Om een dergelijke beveiliging met fysieke firewalls te bereiken, is een enorme investering nodig. Door gebruik te maken van de combinatie van VMware NSX, is dit ineens mogelijk.

Dé oplossing voor deze uitdaging is microsegmentatie. Elke virtuele machine bevindt zich in een eigen, afgeschermd deel van het netwerk, zelfs als deze logisch en fysiek naast andere virtuele machines draait. Verkeer tussen deze microsegmenten vindt plaats volgens vastgestelde policies, waarbij enkel verkeer dat vooraf is toegestaan tussen de virtuele machines wordt doorgelaten. De gebruikte policies kunnen dynamisch en/of pragmatisch worden aangepast. Hierdoor kan bijvoorbeeld een virtuele machine waarop gevoelige data of een virus wordt gedetecteerd, geïsoleerd worden van het netwerk.

Microsegmentatie betekent niet alleen dat de kans op een inbraak aanzienlijk afneemt, maar bovendien dat een inbraak beperkt blijft tot dat ene micro-segment. De veiligheid van het totaal neemt sterk toe.

Integratie met Palo Alto

VMware NSX biedt “out of the box” al firewall functionaliteit tot laag 4 van het OSI (Open Systems Interconnection) model. Dat wil zeggen dat verkeersstromen kunnen worden gecontroleerd op basis van ip-adressen en gebruikte protocollen.

Wanneer dat voor een organisatie niet genoeg is, kan gebruik gemaakt worden van “Palo Alto Networks VM-Series for NSX”. Een virtuele firewall die ook de hogere lagen van het OSI-model kan beveiligen. De integratie tussen NSX en Palo Alto zorgt er voor dat er automatisch een Firewall VM wordt uitgerold op elke vSphere server waar deze nodig is, om het verkeer van virtuele machines te controleren. Daarna wordt, met behulp van policies, verkeer tussen de virtuele machines (inclusief verkeer van en naar de fysieke wereld) gecontroleerd en eventueel geblokkeerd, als er ongewenst verkeer wordt gedetecteerd. Dit gebeurt vervolgens net zo dynamisch als het binnen de NSX geïntegreerde firewall gebeurt, omdat NSX de Palo Alto Firewall VM’s informeert over doorgevoerde wijzigingen.

Het toevoegen van een nieuwe virtuele machine, betekent dan ook dat deze meteen beschermd is, op dezelfde manier als de bestaande virtuele machines beschermd zijn. Zonder dat een beheerder daar iets voor hoeft te doen!

Flexibiliteit en Automatisering

Het ontwikkelen van nieuwe diensten, leidt vaak tot specifieke eisen en wensen aan de onderliggende infrastructuur. Door gebruik te maken van servervirtualisatie en ‘Automation & Orchestration’, kan hierin vaak al heel snel gereageerd worden op vragen uit de business. De onderliggende netwerkinfrastructuur is echter een stuk minder dynamisch, waardoor de snelheid waarmee kan worden ingesprongen op nieuwe ontwikkelingen, wordt verlaagd.

Door gebruikmaking van VMware NSX ontstaat een flexibele infrastructuur die programmeerbaar is. Hierdoor kunnen aanpassingen relatief eenvoudig, geautomatiseerd worden en kan een IT-afdeling snel inspelen op nieuwe of veranderende vragen uit de business.

Integratie met HP Enterprise Networking

Naast een virtuele infrastructuur hebben de meeste bedrijven ook vaak nog een gedeelte van hun omgeving gebaseerd op fysieke systemen. Om de virtuele wereld te laten communiceren met de fysieke wereld, is een koppeling tussen de twee nodig. VMware NSX biedt deze functionaliteit, maar het is ook mogelijk om hiervoor gebruik te maken van de hardwarecapabiliteiten van fysieke switches. Daarmee wordt de koppeling uitgevoerd op 'wire speed' en wordt de server ontlast.

HPE heeft een switch uitgebracht (HPE FlexFabric 5930 series), die deze functionaliteit biedt. Het wordt daarmee mogelijk om de fysiek aangesloten apparaten (servers, firewalls, appliances) te koppelen in dezelfde virtuele netwerken als waarin de virtuele machines zich bevinden. Dit gebeurt door het integreren van de fysieke switch in de VMware NSX-omgeving. De mogelijkheden die daardoor ontstaan zijn zeer interessant te noemen.

HPE biedt (al langer) de verbinding tussen de virtuele en fysieke netwerkomgeving, via haar HPE Virtual Application Networks (VAN) SDN Controller functionaliteit, waardoor een gefedereerde omgeving ontstaat. Hierdoor is het mogelijk om de virtuele (NSX) controllers te laten overleggen met de fysieke (HPE) controller om de beste netwerk-performance en functionaliteit te verkrijgen. Zo wordt het onder andere mogelijk om naast het virtuele deel van het netwerk, ook het fysieke deel programmatisch te veranderen.

PQR advies voor uw Software Defined Networking strategie

De combinatie van VMware NSX, HPE Networking en Palo Alto Next Generation Firewall is in de ogen van PQR hét platform waarmee al deze voordelen kunnen worden verkregen. Het biedt de mogelijkheid om zowel de beveiliging te verhogen, als om snel in te kunnen springen op nieuwe ontwikkelingen. VMware NSX kan gebruikt worden, zonder dat daarvoor grote aanpassingen of investeringen hoeven te worden gedaan aan de bestaande (fysieke) netwerkinfrastructuur. Het legt een virtuele laag over de bestaande netwerkinfrastructuur, vergelijkbaar met de manier waarop vSphere dat met fysieke servers doet.

De kracht van VMware NSX wordt nog eens vergroot, indien deze wordt gecombineerd met de fysieke switches van HPE Networking en de virtuele Next Generation Firewall oplossingen van Palo Alto Networks. Al met al kan met recht gezegd worden dat er een revolutie plaats aan het vinden is, in netwerkland.

Vrijblijvend advies

PQR helpt u graag bij het ontwikkelen van een visie op, of het implementeren van VMware NSX, HPE Networking Switches, Palo Alto Networks Next Generation Firewalls en aanverwante producten en diensten.  Indien u aanvullende vragen hebt, neem dan vooral contact met PQR op.

Ronald de Jong
Senior Consultant SDDC PQR

>> meer blogs

Reacties

Thanks for the wonderful post

Reactie toevoegen

Hoe zorgt u ervoor dat criminelen uw data niet gijzelen?
Niemand praat erover, terwijl het nagenoeg dagelijks ergens binnen een bedrijf gebeurt. Dagelijks zijn er meerdere bedrijven die getroffen worden door data-encryptie aanvallen. Deze bedrijven treden hiermee niet naar buiten, bang voor imagoschade,...
17/05/2016
Zonder Software Defined geen toekomst
In deze heldere blog over software defined o.a. de feitelijke verschillen tussen een traditioneel datacenter en een SDDC. Waarom een SDDC wèl voldoet en op welke aspecten een traditioneel datacenter nu precies achterblijft.
25/04/2016