Новости Статьи VMware Veeam StarWind vStack Microsoft Nakivo Citrix Symantec События Релизы Видео Контакты Авторы RSS
Виртуализация и виртуальные машины

Все самое нужное о виртуализации и облаках

Более 6300 заметок о VMware, AWS, Azure, Veeam, Kubernetes и других

VM Guru / Articles / Службы VMware SD-WAN Enhanced Firewall Services - для кого это, какие проблемы решают и как работают?

Службы VMware SD-WAN Enhanced Firewall Services - для кого это, какие проблемы решают и как работают?

Службы VMware SD-WAN Enhanced Firewall Services - для кого это, какие проблемы решают и как работают?

Автор: Александр Самойленко
Дата: 30/01/2024

Поддержите VM Guru!

USDT / TRC20, адрес: TCDP7d9hBM4dhU2mBt5oX2x5REPtq9QdU1




Статья:

Полтора года назад мы писали о платформе VMware SASE, которая построена на базе технологии программно-определяемых сетей SD-WAN. Концепция SD-WAN позволяет виртуализовать WAN-сети в целях отделения программных сетевых служб от оборудования и оконечных устройств, что дает гибкость, простоту управления, производительность, безопасность и возможность быстрого масштабирования в облаках.

На конференции VMware Explore 2023 был представлен интересный доклад "Fortify Your Branches with Enhanced Firewall Service for VMware", в котором было представлен глубокий обзор функций безопасности VMware SD-WAN Edges. В этой сессии, проведённой экспертами VMware и компании CBTS, было рассказано об эволюционирующем ландшафте сетевой безопасности, функциях безопасности VMware SD-WAN и VMware SASE, а также решениях современных проблем в области безопасности.

Также у VMware есть отличный обзор функций VMware SD-WAN Enhanced Firewall Services в консоли VMware SASE Orchestrator, о которых мы расскажем ниже:

Для решения проблем безопасности современной распределённой корпоративной сети, включая рост объема сетевых сервисов на периферии сети, VMware и предлагает услугу VMware SD-WAN Enhanced Firewall Services. Эта услуга предназначена для предоставления продвинутых функций безопасности непосредственно на границе сети (Edge), что отвечает потребностям распределённой рабочей силы и филиалов.

VMware SD-WAN Enhanced Firewall Services являются важным элементом многоуровневого решения по обеспечению безопасности VMware SASE. Этот сервис, основанный на давно разрабатываемой технологии безопасности NSX от VMware, встроен как в физические, так и в виртуальные устройства VMware SD-WAN Edge.

Сам продукт позволяет повысить и стабилизировать производительность сети и исключить необходимость использования устаревших фаерволов в филиалах, обеспечивая при этом комплексный подход к безопасности. Как и все компоненты VMware SASE, управление Enhanced Firewall Service интегрировано в VMware SASE Orchestrator, что упрощает операции сетевых администраторов и избавляет от необходимости управления безопасностью в разных точках.

Решаемые проблемы

Давайте посмотрим на список проблем, присутствующих в современных распределенных сетевых инфраструктурах крупных предприятий, решением которых занимается Enhanced Firewall Service:

  • Традиционные офисные и удаленные рабочие места используют неэффективные WAN-архитектуры, изначально разработанные для приложений в корпоративных датацентрах. Обратная передача всего интернет-трафика через эти датацентры для маршрутизации и проверки безопасности уже там приводит к задержкам и сложности управления из-за разных политик безопасности. Также надо отметить, что устаревшая WAN-архитектура часто не включает современные проверки безопасности, оставляя уязвимости для хакерских атак.
  • Традиционное устройство фаерволов требует установки и управления вместе с другим оборудованием, что приводит к затратам ресурсов ИТ-отделов на их мониторинг и обновления безопасности.
  • Недостаточная защита в традиционных сетях не может эффективно обнаруживать и защищать от сложных DDoS-атак, что может привести к простоям сетевых сервисов, потере данных или правовым проблемам.
  • Растущая потребность в поддержке удаленной работы и увеличение числа подключенных к корпоративным сетям устройств IoT создает новые вызовы безопасности. Незащищенные устройства в разных географических локациях увеличивают риск утечек данных и кибератак.
  • Наличие разнородных сетевых архитектур и отсутствие единой системы управления затрудняют обеспечение комплексной оценки безопасности и своевременное реагирование на угрозы.

Функции VMware SD-WAN Enhanced Firewall Service

Основными функциями Enhanced Firewall Service являются:

1. Система обнаружения и предотвращения вторжений (IDS/IPS)

Функция обнаружения и предотвращения вторжений (IDS/IPS) в усиленном сервисе брандмауэра повышает общую безопасность сети филиалов. IDS и IPS отслеживают сетевой трафик, анализируют его на предмет вредоносных или подозрительных активностей и предпринимают меры для предотвращения возможных атак. Они работают вместе, чтобы обнаруживать и блокировать потенциально опасный трафик до того, как он попадет в сеть. В целом, функция IDS/IPS, интегрированная в Edge, имеет ключевое значение для защиты корпоративных сетей филиалов от киберугроз.

2. Предотвращение DDoS-атак

Отказ в обслуживании (Denial-of-service, DoS) - одна из самых распространенных атак на предприятия, которые наблюдаются ежедневно. В усиленном фаерволе предпринимаются различные меры для защиты всех компонентов VMware SD-WAN. Встроенная функция брандмауэра "network and flood protection" на стороне Edge может обнаруживать и отбрасывать соединения, превышающие настроенный уровень ("flooding"). Она также может автоматически блокировать атаки, основанные на TCP, ICMP и другие известные атаки.

3. Централизованное ведение журналов фаервола, собирающее логи со всех сервисов VMware SASE

Сервис централизованного ведения логов фаервола представляет собой безопасное и масштабируемое решение, предназначенное для организаций любого размера. Это централизует логи в одном облачном местоположении, облегчая отслеживание и анализ событий безопасности в рамках нескольких сайтов и приложений. Облачное ведение журналов брандмауэра обеспечивает видимость сетевого трафика и событий безопасности в реальном времени, позволяя администраторам быстро обнаруживать и реагировать на угрозы. Также функция hosted firewall logging может обеспечить хронологические записи для аудита, требуемые для соответствия регулятивным стандартам, таким как PCI, HIPAA и GDPR.

VMware SD-WAN Edge Firewall сертифицирован организацией ICSA Labs, а сами компоненты Edges соответствуют требованиям комплаенса FIPS 140-2.

4. Stateful inspection (или так называемый dynamic packet filtering) для приложений на уровнях L4-L7

Функция анализа активных соединений для уровней L4-L7 брандмауэра встроена в data plane на стороне Edge. Она осуществляет проверку входящих и исходящих пакетов и учитывает сессии. Поддерживая таблицу соединений и состояний, фаервол пропускает только разрешенные соединения и входящий трафик, блокируя весь остальной трафик от внешних источников. Этот фаервол также осведомлён о работающих приложениях, что позволяет ему определять и блокировать вредоносный трафик.

5. Сегментация трафика, которая разделяет различные его типы

Технология VMware SD-WAN позволяет пользователям разделять сеть с помощью сегментов и функций VRF (Virtual routing and forwarding). Пользователи могут не только отделять разные типы трафика (корпоративный, голосовой, гостевой, и т. д.), но и применять различные политики фаервола, уникальные для каждого сегмента. Например, вы можете изолировать гостевой трафик в отдельном сегменте и отключить функции корпоративного VPN, тем самым уменьшая риск перемещения угроз (Network Lateral Movement) в сети.

6. Шаблонизируемая политика брандмауэра для быстрого создания правил безопасности на основе различных критериев и лёгкого их применения

Edge-фаервол предлагает готовые шаблоны для удобного создания политик и управления ими. Это позволяет администраторам быстро создавать правила безопасности на основе различных критериев и легко применять их к нескольким Edge на разных сайтах, обеспечивая единообразие во всей корпоративной сети и детализированный контроль.

7. Единое управление и мониторинг безопасности в одной консоли с помощью VMware Edge Cloud Orchestrator

Политики фаервола, как и все компоненты инфраструктуры SASE, централизованно управляются из одной консоли с помощью VMware SASE Orchestrator.

Централизованная конфигурация, мониторинг и управление позволяют администраторам поддерживать постоянство политик безопасности на всех сайтах, быстро реагировать на потенциальные события безопасности и эффективно диагностировать и устранять проблемы, тем самым снижая риск утечек данных и других инцидентов безопасности.

Дополнительные возможности обеспечения сетевой безопасности и контроля

Помимо перечисленного, улучшенная служба брандмауэра VMware SD-WAN включает:

  • Расширенную защиту от вирусов и вредоносного ПО, обеспечивая дополнительный уровень безопасности для предотвращения угроз.
  • Глубокий анализ пакетов для обеспечения более детального контроля и отслеживания сетевого трафика.
  • Автоматическое обновление сигнатур безопасности и алгоритмов обнаружения, что обеспечивает актуальность защиты от новейших угроз.
  • Поддержка облачных сервисов и интеграция с облачными провайдерами, что позволяет легко расширять защиту на облачные ресурсы.
  • Доступный пользовательский интерфейс для более интуитивного управления политиками безопасности и мониторинга сети.
  • Возможность интеграции с другими продуктами и сервисами VMware, создавая комплексную систему безопасности для всей ИТ-инфраструктуры компании.

Итоги

VMware SD-WAN Enhanced Firewall Service представляет собой инновационное решение в области сетевой безопасности, предназначенное для среднего и крупного размера, стремящихся обеспечить надежную защиту своих распределенных корпоративных сетей, включая региональные офисы и удаленные филиалы. Это решение особенно актуально для предприятий с распределенной сетью филиалов и облачных сред, которые сталкиваются с вызовами, связанными с устаревшими WAN-архитектурами и необходимостью адаптации к современным угрозам безопасности.

Интересное:





Зал Славы Рекламодателя
Ближайшие события в области виртуализации:

Быстрый переход:
VMware Broadcom Offtopic Microsoft Veeam Cloud StarWind VMachines NAKIVO vStack Gartner Vinchin Nakivo IT-Grad Teradici VeeamON VMworld PowerCLI Citrix VSAN GDPR 5nine Hardware Nutanix vSphere RVTools Enterprise Security Code Cisco vGate SDRS Parallels IaaS HP VMFS VM Guru Oracle Red Hat Azure KVM VeeamOn 1cloud DevOps Docker Storage NVIDIA Partnership Dell Virtual SAN Virtualization VMTurbo vRealize VirtualBox Symantec Softline EMC Login VSI Xen Amazon NetApp VDI Linux Hyper-V IBM Google VSI Security Windows vCenter Webinar View VKernel Events Windows 7 Caravan Apple TPS Hyper9 Nicira Blogs IDC Sun VMC Xtravirt Novell IntelVT Сравнение VirtualIron XenServer CitrixXen ESXi ESX ThinApp Books P2V HCX vSAN Private AI VCPP VCF Workstation Labs Backup Explore vDefend Data Protection ONE Tanzu AI Intel Live Recovery VCP V2V Aria NSX DPU Update EUC Avi Community Skyline Host Client Chargeback Horizon SASE Workspace ONE Networking Ransomware Tools Performance Lifecycle Network AWS API USB SDDC Fusion Whitepaper SD-WAN Mobile VMUG SRM ARM HCI Converter Photon OS Operations VEBA App Volumes Certification VMConAWS Workspace Imager SplinterDB DRS SAN vMotion Open Source iSCSI Partners HA Monterey Kubernetes vForum Learning vRNI UAG Support Log Insight AMD vCSA NSX-T Graphics NVMe HCIBench SureBackup Carbon Black vCloud Обучение Web Client vExpert OpenStack UEM CPU PKS vROPs Stencils Bug VTL Forum Video Update Manager VVols DR Cache Storage DRS Visio Manager Virtual Appliance PowerShell LSFS Client Datacenter Agent esxtop Book Photon Cloud Computing SSD Comparison Blast Encryption Nested XenDesktop VSA vNetwork SSO VMDK Appliance VUM HoL Automation Replication Desktop Fault Tolerance Vanguard SaaS Connector Event Free SQL Sponsorship Finance FT Containers XenApp Snapshots vGPU Auto Deploy SMB RDM Mirage XenClient MP iOS SC VMM VDP PCoIP RHEV vMA Award Licensing Logs Server Demo vCHS Calculator Бесплатно Beta Exchange MAP DaaS Hybrid Monitoring VPLEX UCS GPU SDK Poster VSPP Receiver VDI-in-a-Box Deduplication Reporter vShield ACE Go nworks iPad XCP Data Recovery Documentation Sizing Pricing VMotion Snapshot FlexPod VMsafe Enteprise Monitor vStorage Essentials Live Migration SCVMM TCO Studio AMD-V KB VirtualCenter NFS ThinPrint Director Memory SIOC Troubleshooting Stretched Bugs ESA Android Python Upgrade ML Hub Guardrails CLI Driver Foundation HPC Orchestrator Optimization SVMotion Diagram Ports Plugin Helpdesk VIC VDS Migration Air DPM Flex Mac SSH VAAI Heartbeat MSCS Composer
Полезные постеры:

Постер VMware vSphere PowerCLI 10

Постер VMware Cloud Foundation 4 Architecture

Постер VMware vCloud Networking

Постер VMware Cloud on AWS Logical Design Poster for Workload Mobility

Постер Azure VMware Solution Logical Design

Постер Google Cloud VMware Engine Logical Design

Постер Multi-Cloud Application Mobility

Постер VMware NSX (референсный):

Постер VMware vCloud SDK:

Постер VMware vCloud Suite:

Управление памятью в VMware vSphere 5:

Как работает кластер VMware High Availability:

Постер VMware vSphere 5.5 ESXTOP (обзорный):

 

Популярные статьи:
Как установить VMware ESXi. Инструкция по установке сервера ESXi 4 из состава vSphere.

Включение поддержки технологии Intel VT на ноутбуках Sony VAIO, Toshiba, Lenovo и других.

Типы виртуальных дисков vmdk виртуальных машин на VMware vSphere / ESX 4.

Как работают виртуальные сети VLAN на хостах VMware ESX / ESXi.

Как настроить запуск виртуальных машин VMware Workstation и Server при старте Windows

Сравнение Oracle VirtualBox и VMware Workstation.

Что такое и как работает виртуальная машина Windows XP Mode в Windows 7.

Диски RDM (Raw Device Mapping) для виртуальных машин VMware vSphere и серверов ESX.

Работа с дисками виртуальных машин VMware.

Где скачать последнюю версию VMware Tools для виртуальных машин на VMware ESXi.

Подключение локальных SATA-дисков сервера VMware ESXi в качестве хранилищ RDM для виртуальных машин.

Как перенести виртуальную машину VirtualBox в VMware Workstation и обратно

Инфраструктура виртуальных десктопов VMware View 3 (VDI)

Как использовать возможности VMware vSphere Management Assistant (vMA).

Бесплатные утилиты для виртуальных машин на базе VMware ESX / ESXi.

Интервью:

Alessandro Perilli
virtualization.info
Основатель

Ратмир Тимашев
Veeam Software
Президент


Полезные ресурсы:

Последние 100 утилит VMware Labs

Новые возможности VMware vSphere 8.0 Update 1

Новые возможности VMware vSAN 8.0 Update 1

Новые документы от VMware

Новые технологии и продукты на VMware Explore 2022

Анонсы VMware весной 2021 года

Новые технологии и продукты на VMware VMworld 2021

Новые технологии и продукты на VMware VMworld 2020

Новые технологии и продукты на VMware VMworld Europe 2019

Новые технологии и продукты на VMware VMworld US 2019

Новые технологии и продукты на VMware VMworld 2019

Новые технологии и продукты на VMware VMworld 2018

Новые технологии и продукты на VMware VMworld 2017



Copyright VM Guru 2006 - 2025, Александр Самойленко. Правила перепечатки материалов.
vExpert Badge