Когда мы рассказывали новом пакете продуктов VMware vCloud Suite, мы уже упоминали о том, что вместо линейкий продуков VMware vShield, которая поставлялась в дополнение к версии vSphere 5.0, компания VMware выпустила перепакованный продукт VMware vCloud Networking and Security 5.1, который позиционируется как универсальное решение по обеспечению безопасности для платформы vSphere 5.1 и облачной инфраструктуры под управлением vCloud Director.
Как мы видим из рисунка, в решении VMware vCloud Networking and Security 5.1 есть следующие компоненты:
vCloud Ecosystem Framework - возможности интеграции с продуктами семейства VMware vCloud и другими решениями на различных уровнях, например, виртуальными модулями, в которых реализован механизм обнаружения и предотвращения вторжений (IDS/IPS-системы).
vShield Manager - средство управления инфраструктурой безопасности ЦОД.
Шлюз Edge - защита периметра виртуального датацентра и предоставление защищенного шлюза.
Data Security - компонент, позволяющий обнаруживать конфиденциальные данные в документах, размещенных в виртуальных машинах.
App - средство контроля трафика виртуальных машин на базе определяемых политик.
VXLAN - технология сетевой организации "эластичных датацентров" на базе виртуальных логических сетей (подробнее тут).
Давайте рассмотрим некоторые компоненты VMware vCloud Networking and Security поподробнее.
С точки зрения интеграции, vCloud Ecosystem Framework предоставляет 3 точки включения сторонних решений в инфраструктуру виртуального датацентра: на уронве отдельной ВМ (без агентов через VMsafe и EPSEC), на уровне исходящего и входящего трафика ВМ (через App), а также на уровне взаимодействия датацентра с внешним миром (через Edge):
Шлюз Edge предоставляет софтовые механизмы балансировки нагрузки, сетевой экран на входе в периметр датацентра и средство безопасного доступа VPN:
Компонент Data Security позволяет обнаруживать конфиденциальные данные (таких как информация о банковских картах, личные данные) которые могут быть сохранены внутри документов в виртуальных машинах (это делается за счет технологии Data Loss Prevention от RSA, DLP, которая может выявлять данные из файлов, например, PDF). На базе этого анализа делается заключение о данных, нуждающихся в защите с помощью политик безопасности. Самое интересное, что это делается без агентов.
Для России соответствующих политик, понятное дело, нет. По-прежнему, для соответствия требованиям наших регуляторов можно использовать только решение vGate R2 от компании Код Безопасности.
Контроль трафика виртуальных машин на различных уровнях средствами компонента App:
Про использование VXLAN в датацентрах крупных предприятий или сервис-провайдеров:
Интересная картинка про развитие протоколов до VXLAN:
Еще одно нововведение - включение компонента vShield Endpoint в состав платформы VMware vSphere:
Мы уже писали о подобных решениях под Endpoint на базе технологии VMsafe.
vCloud Networking and Security поставляется в двух редакциях: Standard и Advanced, при этом vCNS требует обязательного наличия издания VMware vSphere Enterprise Plus.
Сравнение функциональности изданий vCNS:
Касательно мапинга существующих лицензий VMware vShield для пользователей с действующей технической поддержкой и подпиской (SnS):
Для доступно 2 варианта лицензирования - по числу виртуальных машин (покупаются пакеты по 25 ВМ) или в составе пакета VMware vCloud Suite - по процессорам:
В зависимости от приобретаемого издания vCloud Suite вы получаете соответствующее издание vCNS:
А вот как выглядит vCNS в сравнении с предыдущей линейкой vShield и его компонентов для vCloud Director: