Aggiungere la "S" alla SMT

NetApp, Cisco e VMware aumentano la sicurezza degli ambienti multi-tenancy

Che si tratti dell'implementazione della virtualizzazione su larga scala o di un cloud privato o pubblico, la protezione può essere un problema. Cisco, NetApp e VMware considerano la protezione un elemento critico delle infrastrutture condivise e collaborano da anni per risolvere questo problema.

Avrete forse letto i precedenti articoli di Tech OnTap® sulla nostra soluzione congiunta di multi-tenancy sicura (SMT, Secure Multi-tenancy). Nel gennaio 2010, Chris Naddeo di Cisco ha scritto molti articoli sulle relative funzionalità di qualità di servizio (QOS, Quality Of Service). Alcuni mesi dopo, è stato pubblicato un articolo sull'implementazione della nostra soluzione SMT di prima generazione negli ambienti cloud, seguendo le linee guida della progettazione convalidata Cisco® (CVD, Cisco® Validated Design). Tuttavia, nessuno di questi articoli offriva le informazioni complete sulle funzionalità di protezione della SMT.

Adesso, a meno di un anno dalla versione iniziale, abbiamo creato un'edizione migliorata della SMT in grado di aumentare la flessibilità di implementazione e ampliare ulteriormente le funzionalità e la protezione della progettazione. In questo articolo analizzeremo l'architettura di protezione della nostra multi-tenancy sicura avanzata. La progettazione della SMT avanzata si basa su una serie di componenti di base, con la possibilità di aggiungerne altri per adattare l'ambiente in base agli specifici requisiti di protezione. Nel resto dell'articolo offriremo informazioni su questi componenti.

Comprendere la protezione della SMT

La progettazione iniziale della SMT era incentrata su quattro elementi di base:

• Disponibilità
• Separazione sicura
• Garanzia di servizio
• Gestione dei servizi

La nostra architettura di SMT avanzata parte da questi elementi di base. Pur avendo ottenuto numerosi risultati in tutti i settori rispetto alla prima versione, parleremo in dettaglio della separazione sicura degli ambienti multi-tenant. Per i nostri propositi, ciò si riferisce agli ambienti in cui l'infrastruttura è condivisa da tenant che è possibile definire come singoli clienti, unità di business, dipartimenti, applicazioni o come qualsiasi altra entità da isolare in maniera sicura.

Figura 1) Servizi offerti dal componente di separazione sicura della SMT avanzata.

La separazione sicura impedisce a un tenant di accedere alle risorse di un altro, come ad esempio le macchine virtuali (MV), la rete e lo storage. Bisogna separare ciascun tenant dagli altri, garantendo la protezione.

L'architettura della SMT avanzata impedisce a un tenant di accedere ai dati di un altro e alle funzioni amministrative dell'infrastruttura condivisa. La principale innovazione della nostra SMT di prima e seconda generazione è la possibilità di implementare la separazione protetta su ogni livello: calcolo, rete e storage. Le altre soluzioni possono offrire solo sacche di isolamento all'interno di infrastruttura e non una separazione end-to-end dei tenant.

I più importanti principi di protezione implementati in questa architettura sono:

• Isolamento: la base per la protezione dei data center multi-tenant. In base agli obiettivi della progettazione, è possibile implementare l'isolamento attraverso firewall, elenchi di accesso, VLAN, virtualizzazione, storage e separazione fisica. La combinazione di tutti questi elementi offre il corretto livello di protezione per applicazioni e servizi nell'ambito dei diversi tenant.
   
• Applicazione delle policy e controllo degli accessi: in un ambiente multi-tenant, il problema del controllo degli accessi e dell'applicazione delle policy richiede un'attenta valutazione. Bisogna poter sfruttare le funzionalità dei dispositivi di ogni livello dell'architettura per creare complesse policy e livelli di controllo degli accessi in grado di migliorare la separazione sicura di ogni tenant.
   
• Visibilità: le infrastrutture condivise possono cambiare dimensioni in maniera sempre più fluida per accogliere nuove macchine virtuali e servizi. Con la virtualizzazione dei server e tecnologie come VMotion è possibile implementare nuovi server e spostarli da una posizione fisica all'altra con minimo intervento manuale. Spostando queste macchine e modificando gli schemi di traffico, gli amministratori della protezione possono avere difficoltà nel tenere sotto controllo eventuali minacce. Questa architettura sfrutta le funzionalità di rilevamento e attenuazione delle minacce, disponibili su ogni livello di rete, per raccogliere informazioni su allarmi, dati ed eventi, in modo da analizzare e correlare in maniera dinamica tali informazioni allo scopo di identificare l'origine delle minacce, visualizzare i percorsi di attacco e suggerire o applicare azioni di risposta.
   
• Elasticità: gli endpoint, l'infrastruttura e le applicazioni nell'ambiente multi-tenant sono protette e possono resistere ad attacchi che potrebbero causare interruzioni di servizio, diffusione di dati e accessi non autorizzati. Il corretto rafforzamento dell'infrastruttura, la ridondanza delle applicazioni e l'implementazione dei firewall sono alcuni dei passaggi necessari per ottenere il livello di elasticità desiderato.

I componenti di rete, calcolo, storage e gestione dell'architettura offrono funzioni utili a costituire una struttura in grado di garantire una separazione sicura. La figura 2 descrive l'architettura di protezione utilizzata da questa progettazione, evidenziando le aree funzionali della soluzione e i relativi componenti e funzionalità di sicurezza.

Figura 2) Struttura architetturale della SMT avanzata.

La SMT avanzata consente di gestire i diversi schemi di traffico che si trovano all'interno dell'ambiente condiviso. I flussi di traffico vengono suddivisi in maniera logica, adoperando due categorie distinte: est-ovest e nord-sud. In questo caso specifico, VMware® vShield protegge il traffico est-ovest, mentre una combinazione di servizi di protezione Cisco offre il necessario livello di protezione per il traffico nord-sud. Questi componenti verranno descritti in dettaglio più avanti.

Figura 3) Protezione del traffico "est-ovest" e "nord-sud".

I flussi di traffico nord-sud possono essere in ingresso o in uscita rispetto all'infrastruttura di SMT e sono spesso di natura client-to-server. Il traffico passa attraverso il data center e, durante il percorso, viene intercettato da servizi come i firewall, il bilanciamento del carico, il rilevamento delle intrusioni e i dispositivi di analisi di rete. In un ambiente multi-tenant, è possibile anche indirizzare il traffico fra tenant attraverso i servizi di rete dell'infrastruttura condivisa. Si tratta di una funzionalità ottimale, poiché ogni policy di ciascun tenant può essere applicata fra di essi in maniera uniforme. L'intercettazione del traffico in ingresso e in uscita da parte dei servizi di protezione del data center dipende dagli specifici requisiti delle applicazioni e dalle policy generali di protezione dell'azienda.

È importante sottolineare la natura flessibile di questa architettura, in cui un architetto di protezione può utilizzare una qualsiasi combinazione delle funzionalità di protezione (come sarà descritto nella prossima sezione sulle opzioni di protezione della SMT avanzata) per creare offerte di sicurezza. Questa flessibilità è denominata difesa approfondita.

Il traffico est-ovest è la comunicazione fra server all'interno del data center. La protezione delle comunicazioni fra server può dipendere dalle applicazioni o dalle esigenze dell'azienda. Di solito, le applicazioni di livello enterprise hanno bisogno di più disponibilità, scalabilità e potenza di calcolo rispetto alle possibilità di una singola istanza di server. Per risolvere questi problemi, gli sviluppatori utilizzano ruoli dedicati per i server. Ogni ruolo è specializzato e dipende dagli altri server. Le macchine virtuali supportano questo modello applicativo in maniera integrale. Nella SMT, i flussi da server a server fra macchine virtuali possono aver luogo solo in un singolo contenitore di tenant o fra tenant.

Per ottimizzare gli schemi di traffico est-ovest di un data center virtualizzato, è consigliabile utilizzare un firewall virtuale come vShield, in modo da proteggere la connettività fra macchine virtuali. Questo servizio può supportare anche le comunicazioni protette intra o intertenant. Ad esempio, un firewall virtuale può proteggere la connettività delle macchine virtuali di un tenant che devono accedere ai servizi dell'infrastruttura (come Active Directory), contenuti in un tenant comune dell'infrastruttura.

Componenti di base della SMT avanzata

L'infrastruttura di base utilizzata per la SMT è costituita da:

• Switch per data center Cisco Nexus®
• Cisco Unified Computing System (Cisco UCS)
• Switch virtuale distribuito Cisco Nexus 1000V
• Storage NetApp®
• VMware vSphere
• VMware vCenter Server

L'infrastruttura necessaria per la SMT è sostanzialmente identica a quella di FlexPod, un recente prodotto descritto in un altro articolo di questo numero di Tech OnTap. Anche se FlexPod è un ottimo punto di partenza per la SMT avanzata, per impostazione predefinita non offre questo tipo di funzionalità.

La base per la SMT avanzata richiede una serie di componenti aggiuntivi da inserire in cima ai componenti di base dell'infrastruttura.

La famiglia di soluzioni di protezione VMware vShield consente di proteggere, in maniera compatibile con la virtualizzazione, i data center virtuali e gli ambienti cloud, rafforzando la sicurezza di applicazioni e dati, migliorando visibilità e controllo e velocizzando le attività di conformità IT. La famiglia di vShield comprende:

• vShield Edge, per proteggere i servizi e le parti periferiche della rete in modo da isolare dalla rete esterna le macchine virtuali di un gruppo di porte. Con vShield Edge è possibile collegare le reti di stub dei tenant alle reti condivise (in uplink), offrendo servizi di protezione perimetrale di larga diffusione come DHCP, VPN e NAT.
   
• vShield App agisce come firewall fra macchine virtuali, collocando un filtro di firewall su ogni adattatore di rete virtuale. Il filtro agisce in maniera trasparente e, per creare zone di protezione, non richiede alcun cambiamento alla rete o modifiche degli indirizzi IP. Per ridurre il numero di regole del firewall e semplificare la gestione, è possibile scrivere regole utilizzando raggruppamenti di vCenter come data center, cluster, pool di risorse e vApp, oppure oggetti di rete come gruppi di porte e VLAN.
   
• VMware vShield Zones è un firewall stateful, virtuale, distribuito e a gestione centralizzata, in dotazione a vSphere 4.1, che consente di sfruttare la prossimità con gli host ESXi e la visibilità della rete virtuale per creare zone di protezione. Sfruttando diversi contenitori logici VMware, è possibile ridurre notevolmente il numero di regole necessarie per proteggere l'ambiente multi-tenant, diminuendo anche il carico operativo per l'isolamento e la segmentazione di tenant e applicazioni. Questo nuovo metodo per creare policy di protezione è strettamente legato agli oggetti delle macchine virtuali di VMware e consente di seguire le MV durante l'attività di VMotion.
  
  Oltre a essere un endpoint e un firewall compatibile con le risorse, vShield Zones contiene un sistema di creazione dei rapporti di rete virtuale a livello di microflusso, essenziale per comprendere e monitorare i flussi di traffico virtuale e per implementare policy di zoning basate sulle precise informazioni a disposizione degli amministratori di protezione e di rete.
   
• La funzionalità di monitoraggio del flusso consente di visualizzare i flussi di rete consentiti e bloccati a livello di ciascun protocollo applicativo. È possibile utilizzarla per controllare il traffico di rete e come strumento operativo per la risoluzione dei problemi.

Cisco Nexus 1000V. Anche se si tratta un componente standard di FlexPod, analizzeremo ugualmente lo switch Cisco Nexus 1000V a causa delle sue funzionalità di protezione. Cisco Nexus 1000V è uno switch software su server che offre i servizi Cisco VN-Link alle macchine virtuali in esso ospitate. Il prodotto consente di sfruttare il framework di VMware vSphere per integrare in maniera efficace gli ambienti di server e di rete, offrendo funzioni di rete, coerenti e basate su policy, a tutti i server del data center. È possibile anche spostare le policy insieme alle macchine virtuali durante la migrazione in tempo reale, garantendo la persistenza della conformità storage, rete e protezione, migliorando al contempo la business continuity, la gestione delle performance e la conformità della protezione.

La sempre maggiore fluidità della natura dei data center non aiuta gli amministratori della protezione a tenere attivamente sotto controllo le minacce presenti all'interno dell'infrastruttura. Per risolvere questo problema, lo switch virtuale distribuito Cisco Nexus 1000V supporta il monitoraggio via NetFlow, Switch Port Analyzer (SPAN) ed Encapsulated Remote SPAN (ERSPAN). Si tratta di funzioni che consentono a Cisco Nexus 1000V di esportare i dati del traffico delle MV dall'ambiente virtuale ai tradizionali dispositivi esterni di analisi, oppure a blade avanzati per i servizi virtuali. In entrambi i casi, con Cisco Nexus 1000v, le squadre di protezione avranno una maggiore visibilità in modo da identificare più facilmente l'origine delle minacce, visualizzare i percorsi di attacco ed eseguire azioni correttive.

Il dispositivo di servizi virtuali Cisco Nexus 1010 integra il modulo di supervisore virtuale (VSM) Cisco Nexus 1000V e supporta i blade di servizi virtuali del modulo di analisi di rete (NAM) Cisco Nexus 1000V, offrendo una completa soluzione di switch dell'accesso virtuale. Cisco Nexus 1010 dispone di hardware dedicato per il VSM, in modo da semplificare l'implementazione dello switch di accesso virtuale aumentando le performance e l'efficienza operativa.

NetApp MultiStore®: creazione di partizioni logiche separate e completamente private su un singolo sistema storage NetApp all'interno di domini amministrativi discreti denominati unità vFiler. Con le unità vFiler un singolo controller storage fisico può apparire come se fosse composto di più controller logici. È possibile gestire ciascuna unità vFiler attraverso diversi set di caratteristiche di performance e di policy. È possibile usare MultiStore per consentire a più clienti di condividere le medesime risorse storage, con minimi compromessi in termini di performance o riservatezza. È anche possibile delegare direttamente al cliente il controllo amministrativo del contenitore dello storage virtuale. MultiStore è stato oggetto di un recente articolo di Tech OnTap.

Opzioni per la protezione della SMT avanzata

Oltre ai componenti standard descritti nella precedente sezione, per soddisfare specifici requisiti di sicurezza, è possibile scegliere fra numerosi componenti aggiuntivi di protezione.

VMware vCloud Director (VCD) si basa su VMware vSphere e consente di rappresentare l'infrastruttura condivisa e virtualizzata come data center virtuali, multi-tenant e completamente slegati dall'hardware sottostante. In altre parole, utilizzando questa tecnologia è possibile offrire servizi IT standardizzati su infrastruttura condivisa attraverso un catalogo via Web. vCloud Director è stato oggetto di un altro recente articolo di Tech OnTap.

La piattaforma di sistema di switch virtuale (VSS) 1440 Cisco Catalyst® serie 6500 consente di utilizzare moduli integrati di servizio come il motore di controllo applicativo (ACE), i servizi firewall e i servizi di analisi di rete prodotti da Cisco. È possibile utilizzare Cisco Catalyst VSS come piattaforma di servizi basati su rete per le architetture multi-tenant sicure.

I servizi firewall Cisco offrono la protezione di un firewall stateful nell'ambito dell'architettura di SMT. È possibile inserire in maniera trasparente i contesti di protezione del firewall virtuale Cisco, come modulo o come dispositivo dedicato, nel livello di rete 2 o come hop del router a livello 3. Con entrambi i modelli di implementazione, le policy di protezione associate a ogni contesto di firewall virtuale vengono applicate in maniera coerente per proteggere le reti correlate.

Il modulo e le piattaforme applicative del controllo applicativo Cisco (ACE) gestiscono, all'interno di un singolo dispositivo di rete, il bilanciamento del carico dei server, il controllo del traffico di rete, la ridondanza dei servizi, la gestione delle risorse, la crittografia e la protezione, la velocizzazione e l'ottimizzazione delle applicazioni. Ai data center, le tecnologie Cisco ACE offrono funzioni di protezione, scalabilità e disponibilità a livello di servizi per dispositivi e rete.

Cisco ACE dispone dei seguenti servizi a livello di dispositivo:

• Ridondanza fisica con funzionalità di failover
• Scalabilità basata sulla virtualizzazione per partizionare le risorse di ACE e assegnarle per soddisfare i requisiti specifici dei servizi del tenant
• Servizi di protezione: ACL, crittografia del trasferimento (SSL/TLS) fra il contesto virtuale dell'ACE, riempimento dei client e farm di server associata

I sistemi di prevenzione delle intrusioni (IPS) Cisco sono sensori di rete che è possibile installare all'interno dell'infrastruttura come dispositivi promiscui di analisi di rete oppure come sistemi in linea per la prevenzione delle intrusioni. I sensori di Cisco IPS offrono protezione rilevando, classificando e bloccando le minacce di rete sfruttando le firme di attacco associate a worm, virus e scenari di abuso applicativo. Questo processo viene eseguito per ogni singola connessione, consentendo il libero flusso del traffico legittimo.

Il modulo di analisi di rete (NAM) Cisco è disponibile in diversi fattori di forma:

• Modulo integrato di servizi per la piattaforma di switch Cisco Catalyst 6500
• Dispositivo fisico in grado di supportare Ethernet Gigabit o 10 Gigabit
• Blade di servizi virtuali per le implementazioni di Cisco Nexus 1000v

Indipendentemente dal modello, NAM offre: analisi del traffico basata sul flusso di applicazioni, host e conversazioni; misurazioni di performance per applicazioni, server e latenza di rete; metriche della qualità dell'utilizzo dei servizi di rete e analisi dei problemi attraverso dettagliate e significative acquisizioni dei pacchetti. Cisco NAM utilizza una GUI per l'analisi del traffico integrata e basata su Web, che consente di accedere rapidamente ai menu di configurazione e visualizzare chiari report web sulle performance dei diversi tipi di servizio e traffico. La linea di prodotti Cisco NAM consente di migliorare la visibilità e di tenere sotto controllo le performance di molti livelli fisici e virtuali presenti nelle infrastrutture.

Cisco Security Manager è un'applicazione di gestione di livello enterprise per configurare i servizi di protezione di firewall, VPN e prevenzione delle intrusioni (IPS) su reti Cisco e dispositivi di sicurezza.

Conclusione

Anche se si tratta di un'analisi superficiale delle funzionalità della nostra architettura di SMT avanzata, questa introduzione offre una buona panoramica delle funzionalità di protezione in dotazione a tale tecnologia. Per ulteriori informazioni sulle funzionalità di separazione sicura e sulle nuove e migliorate capacità legate agli altri componenti di base (disponibilità, assicurazione dei servizi e gestione), è possibile consultare la nostra guida completa di progettazione. (Nota: in questa guida, la SMT avanzata viene denominata con il sinonimo ESMT). Questa guida di 140 pagine analizza ogni aspetto dell'architettura e dell'implementazione della SMT.

Chris O'Brien Solutions Architect Cisco Chris lavora nel gruppo di strategia e architettura dei sistemi di Cisco occupandosi dell'architettura delle più recenti tecnologie per data center. Attualmente lavora alla convalida delle progettazioni dei data center e all'ottimizzazione delle applicazioni. In precedenza, Chris era uno sviluppatore di applicazioni attivo da oltre 15 anni nel settore IT.

David Klem Reference Architect NetApp David è entrato in NetApp nel 2005, aggregandosi al team che ha originariamente progettato e costruito Kilo Client, un cloud interno da 1.700 nodi utilizzato dai tecnici NetApp. Ora David collabora con il team di Infrastructure and Cloud Enablement NetApp, occupandosi di best practice e soluzioni per le architetture cloud. Prima di entrare in NetApp, ha lavorato per sei anni in Cisco come ingegnere per la piattaforma di switch Cisco Catalyst®.