Konsolidacja centrum danych

Transkrypt

OPRACOWANIE
Zwiększanie dynamiki i bezpieczeństwa
dzięki konsolidacji centrum danych
OPRACOWANIE: KONSOLIDACJA CENTRUM DANYCH
Wprowadzenie
Aby zachować konkurencyjną pozycję na rynku, przedsiębiorstwa muszą zwiększać dynamikę działania przy
jednoczesnym kontrolowaniu kosztów. Prawdziwa wartość infrastruktury informatycznej leży w jej możliwościach
usprawniania prowadzonej działalności poprzez ciągłe dostarczanie nowych aplikacji i usług zapewniających
wymierne korzyści zarówno firmom, jak i osobom prywatnym.
Konsolidacja centrum danych jest częścią ciągłego procesu zmian, który ma na celu modernizowanie środowisk
informatycznych przedsiębiorstw, tak by były one szybsze i bardziej dynamiczne, co przekłada się także na
większą dynamikę działania całej firmy. W ramach tego procesu zwiększa się elastyczność architektur oraz
wdrażane są nowe technologie umożliwiające szybkie wprowadzanie nowych aplikacji i usług w sposób
bezpieczny, efektywny i odporny na awarie.
Przy ciągłym nacisku na zwiększanie wydajności przy mniejszej ilości zasobów konsolidacja centrum danych
zapewnia następujące główne korzyści:
n
n
n
Obniżenie wydatków kapitałowych i kosztów operacyjnych
•Zmniejszenie fizycznych obiektów centrów danych
•Konsolidację personelu informatycznego
•Zmniejszenie potrzebnego miejsca
•Bardziej ustandaryzowaną infrastrukturę
Dynamiczność
•Wirtualizację zwiększającą efektywność i dynamikę zasobów obliczeniowych
•Zaawansowane technologie, takie jak SDN
•Wzrost wydajności i zgodność z umowami SLA
Szybkość działania
•Krótkie cykle wdrażania aplikacji i usług
•Przyspieszenie wprowadzania produktów na rynek
Aby osiągnięcie lepszej wydajności i dynamiki działania było możliwe, zabezpieczenia należy uwzględnić
w procesie projektowania i implementacji konsolidacji centrum danych jako jego integralną część. Jest to
niezbędne do uzyskania naprawdę BEZPIECZNEGO i dynamicznego centrum danych.
2
www.fortinet.com
Aspekty procesu konsolidacji związane z bezpieczeństwem
Typowy proces konsolidacji centrum danych obejmuje kilka etapów. W przypadku większości z nich jako główny aspekt należy brać
pod uwagę bezpieczeństwo, jak pokazano poniżej.
Ocena
Planowanie
Implementacja
Zarządzanie
•
Aplikacje
•
Aplikacje
•
Aplikacje
•
Konfiguracja
•
Moc obliczeniowa
•
Hosty/wirtualizacja
•
Moc obliczeniowa
•
Monitorowanie
•
Pamięć
•
•
Pamięć
•
Raporty
•
Sieć
Architektura pamięci
masowej
•
Sieć
•
Analiza
•
Architektura sieci
•
Zabezpieczenia
•
Optymalizacja
•
abezpieczenia
Z
Architektura
•
Zabezpieczenia
Przyjrzyjmy się powyższym etapom i powiązanym z nimi zagadnieniom związanym z bezpieczeństwem:
1. Ocena
3. Implementacja
Ocena pozwala opracować podstawę zasobów informatycznych
przedsiębiorstwa pod względem wdrażania i używania aplikacji,
zasobów i wykorzystania mocy obliczeniowej i pamięci masowej,
architektury i możliwości sieci, infrastruktury i zasad zabezpieczeń
oraz dodatkowych czynników związanych z infrastrukturą
i środowiskiem (energii, zajmowanego miejsca itd.). Na jej
podstawie następnie identyfikowane są główne luki, które
trzeba wypełnić, aby osiągnąć cele konsolidacji. Z punktu
widzenia bezpieczeństwa na etapie oceny należy w podobny
sposób przeanalizować istniejącą strategię zabezpieczeń
przedsiębiorstwa, infrastrukturę, usługi, obowiązujące zasady
i ogólny stan zabezpieczeń oraz wskazać niedociągnięcia.
Uzyskana w ten sposób podstawa może posłużyć jako baza dla
następnego etapu procesu konsolidacji — planowania.
Na etapie Implementacji realizowany jest szczegółowy projekt
zdefiniowany w fazie planowania. Jest to etap o znaczeniu
krytycznym, w ramach którego różne domeny centrum
danych (aplikacje, moc obliczeniowa, pamięć masowa, sieć
i zabezpieczenia) są łączone w funkcjonujący, zintegrowany
i funkcjonalny ekosystem służący rozwojowi i celom biznesowym
firmy. Aby móc wykonać to niezwykle złożone zadanie,
przedsiębiorstwo musi zaufać specjalistycznej wiedzy dostawcy,
jego doświadczeniu i wskazówkom przekazywanym w ramach
profesjonalnych usług i wsparcia.
2. Planowanie
Na etapie Planowania wyniki oceny są przekładane na
szczegółowy,
wykonywalny
projekt
skonsolidowanego
centrum danych. Umożliwia on porównanie potrzeb i celów
przedsiębiorstwa dotyczących infrastruktury informatycznej
i kosztów eksploatacji/zwrotu z inwestycji z opracowaną
podstawą w celu wskazania luk w zasobach. Nawet jeśli
w ramach konsolidacji do centrum danych nie są dodawane
żadne nowe aplikacje ani usługi, może mieć ona duży wpływ
na istniejące zasoby i infrastrukturę. Przykładowo, zastosowanie
w skonsolidowanym centrum danych wirtualizacji w celu obniżenia
kosztów sprzętu i zwiększenia dynamiki działania wymaga
wdrożenia w nim poza fizycznymi firewallami także zabezpieczeń
w formie wirtualnej. Ten etap obejmuje także wysyłanie do
dostawców zapytań ofertowych w celu przedstawienia dostępnej
oferty rozwiązań, architektur zabezpieczeń i usług oraz wybrania
spośród nich najodpowiedniejszych dla siebie.
4. Zarządzanie
Na etapie Zarządzania realizowany jest cykl życia centrum
danych. Zapewniane są tu narzędzia i procedury umożliwiające
monitorowanie, ocenę i rozwijanie usług centrum danych,
zgodności z umowami SLA i ogólnego działania we wszystkich
domenach. Zarządzanie zapewnia podstawę planowanego
rozwoju. Ze względów bezpieczeństwa ważne jest, by narzędzia
do zarządzania używane w środowisku hybrydowym zapewniały
pełne, całościowe możliwości konfiguracji, monitorowania,
analizowania i raportowania.
3
Z punktu widzenia bezpieczeństwa najważniejszym etapem jest
etap planowania. Wtedy właśnie definiowane są rzeczywiste
potrzeby, architektury i zasady związane z bezpieczeństwem,
które należy wdrożyć. Aby lepiej zrozumieć kluczowe zagadnienia
dotyczące zabezpieczeń, które należy uwzględnić na tym etapie,
przeanalizujemy poszczególne poziomy zmian, jakie może
obejmować proces konsolidacji, zgodnie z opisem poniżej:
1. Konsolidacja obiektów fizycznych
Przedsiębiorstwa i usługodawcy konsolidują wiele obiektów
centrów danych, aby obniżyć koszty, zwiększyć efektywność
operacyjną oraz uzyskać kontrolę i możliwości zarządzania.
Skonsolidowane centrum danych charakteryzuje się:
1.Rozszerzonym zakresem aplikacji — nie jest to regułą,
ale skonsolidowane centra danych mogą mieć większe
„zagęszczenie” i różnorodność aplikacji. Przykładowo,
skonsolidowanie wewnętrznych i udostępnianych klientom
aplikacji i usług może spowodować zgromadzenie w jednym
centrum danych nowych typów aplikacji, takich jak aplikacje
webowe, portal dla użytkowników, poczta e-mail czy
systemy CRM i ERP.
Z punktu widzenia bezpieczeństwa należy przeanalizować
cały zestaw aplikacji i ich użytkowników, co pozwoli wybrać
odpowiednie zabezpieczenia i zasady, które zapewnią
ochronę wszystkich aplikacji, dostępu użytkowników i praw
użytkowania. Dlatego też wdrażane firewalle centrum
danych muszą obejmować bogaty zestaw funkcji, takich
jak antywirus, system ochrony przed włamaniami, kontrolę
aplikacji i usługi reputacyjne.
2.Zwiększonym natężeniem ruchu danych — większa
liczba aplikacji i korzystających z nich użytkowników bardzo
zwiększa ruch pod względem natężenia, liczby sesji,
ruchu szyfrowanego za pomocą protokołu SSL i połączeń
IPsec VPN.
Stosowane rozwiązania i infrastruktura zabezpieczeń muszą
gwarantować wymagane usługi ochrony o wydajności
zaspokajającej obecne i przyszłe potrzeby w zakresie
przepustowości, szybkości interfejsów, liczby nowych
i jednoczesnych sesji i połączeń IPsec VPN. Aby zapewnić
bezpieczne działanie transakcji SSL i odpowiednią jakość
usług świadczonych użytkownikom (QoE), należy przenieść
obciążające procesor wszechstronne szyfrowanie SSL
z poziomu aplikacji do specjalnych rozwiązań opartych
na procesorach ASIC w ramach stosowanej ogólnej
infrastruktury udostępniania aplikacji.
4
3.Zwiększeniem szybkości i zagęszczenia interfejsów
— wraz ze wzrostem natężenia ruchu w skonsolidowanym
centrum danych pojawia się zapotrzebowanie na szybsze
sieci lokalne. W takiej sytuacji konieczne może być
wdrożenie infrastruktury Ethernet 10/40/100 Gb/s w celu
zapewnienia jego obsługi. Poza tym zwiększająca się liczba
aplikacji, użytkowników i grup użytkowników powoduje
wzrost liczby segmentów sieci fizycznej i wirtualnych sieci
lokalnych (VLAN).
Z punktu widzenia bezpieczeństwa firewalle centrum
danych muszą być w stanie obsłużyć zarówno szybkość
interfejsów, jak i ich fizyczne i wirtualne zagęszczenie
w sposób skalowalny i bez powodowania potencjalnych
wąskich gardeł w sieci.
2. Wirtualizacja
W celu uzyskania dużej dynamiki i efektywnego wykorzystania
zasobów stosuje się wirtualizację mocy obliczeniowej, pamięci
masowej i sieci. Chociaż poziom wirtualizacji centrum danych
może być różny, warto zauważyć, że ogromny udział ma w nim
wirtualizacja mocy obliczeniowej. W 2014 roku przekroczyła
ona 50% wszystkich operacji przeprowadzanych na serwerze
centrum danych, a zdaniem firmy Gartner w roku 2016 ta
wartość osiągnie 86%. Wirtualizacja jest główną podstawą
przetwarzania i usług w chmurze.
Jako że wiele organizacji stosuje w swoich centrach danych
zasadę „najpierw wirtualnie”, zgodnie z którą wszystkie nowe
obciążenia mają być wdrażane na maszynie wirtualnej, należy
pamiętać o zabezpieczeniu wirtualnego środowiska centrum
danych:
1.Widoczność ruchu wschód–zachód — wirtualizacja
mocy obliczeniowej pozwala na współdzielenie zasobów
mocy hosta fizycznego przez wiele wystąpień maszyn
wirtualnych (VM). Prowadzi to do zmian we wzorcach
ruchu danych, gdzie do 76% ruchu w centrum danych*
odbywa się między maszynami wirtualnymi i nie wychodzi
poza obręb hosta fizycznego. Taki ruch określa się mianem
ruchu wschód–zachód, w odróżnieniu od ruchu północ–
południe, który przychodzi do hostów i wychodzi z nich do
domeny fizycznej.
Środowisko wirtualne zapewnia tradycyjnym urządzeniom
zabezpieczającym, takim jak firewalle i firewalle aplikacji
webowych (WAF), bardzo trudne warunki, ponieważ nie
mają one w nim wglądu w ruch wschód–zachód, przez co
nie mogą zapewniać ochrony i egzekwować obowiązujących
zasad bezpieczeństwa. Tworzy to lukę w podejściu do
zabezpieczeń w centrum danych jako ruchu wschód–
zachód, w wyniku czego nie jest ono chronione przed
złośliwymi i niezłośliwymi zagrożeniami, takimi jak wirusy,
niewłaściwe działanie aplikacji, błędy w konfiguracji itd.
www.fortinet.com
Dlatego też niezwykle istotne jest integrowanie wirtualnych
firewalli i specjalistycznych zabezpieczeń, takich jak WAF,
jako maszyn wirtualnych z hostami składającymi się na
wirtualne środowisko obliczeniowe. Wirtualne urządzenia
zabezpieczające zapewniają widoczność ruchu wschód–
zachód, eliminują luki w zabezpieczeniach centrum danych
i pozwalają zachować spójne ogólne podejście do kwestii
bezpieczeństwa. Muszą one zapewniać taki sam poziom
funkcjonalności jak sprzętowe firewalle i inne urządzenia
zabezpieczające, ponieważ zarówno domenom fizycznym,
jak i wirtualnym zagrażają podobne niebezpieczeństwa.
2.Złap mnie, jeśli potrafisz — KORZYŚCIĄ płynącą
z wirtualizacji mocy obliczeniowej w centrum danych
i chmurze jest dynamika.
n
n
n
n
P
ozwala ona na tworzenie maszyn wirtualnych i nowych
przepływów pracy w ciągu kilku minut, a nie dni i godzin.
Z
większa dostępność aplikacji i usług, zapewniając
stabilność sesji w trakcie migracji na żywo.
U
możliwia tworzenie i zatrzymywanie nowych przepływów
pracy i usług na żądanie.
U
możliwia zawieszanie i wznawianie przepływów pracy
z kopii migawkowej na różnych maszynach wirtualnych.
Firewalle wirtualne i inne urządzenia zabezpieczające
muszą dotrzymywać kroku tym nieustannym zmianom
przepływów pracy i maszyn wirtualnych, aby utrzymywać
zdefiniowane zasady bezpieczeństwa i unikać możliwych
luk w zabezpieczeniach powstających na skutek
niedopasowania przepływów pracy do egzekwowania
zasad ochrony. Można to osiągnąć poprzez:
n
n
D
obrze zdefiniowane procedury dopasowywania
aplikacji, przepływów pracy i maszyn wirtualnych
do obowiązujących zasad bezpieczeństwa i punktów
kontrolnych usług. Przykładowo, wdrożenie aplikacji
dostępnej z Internetu wymaga zastosowania takich usług
ochrony jak firewall aplikacji webowych (WAF) zapewniany
przez wirtualne wystąpienie WAF na hoście aplikacji.
n
Automatyzację zabezpieczeń w takim środowisku,
którą można także osiągnąć przez integrację z takimi
rozwiązaniami, jak sieci sterowane programowo (SDN)
i zarządzanie chmurą, np. OpenStack.
3.Rozbudowa i skalowalność — w skonsolidowanym
centrum danych współistnieją zarówno fizyczne, jak
i wirtualne urządzenia zabezpieczeń.
Do definiowania granic centrum danych, egzekwowania
zasad dostępu, umożliwiania segmentacji oraz ochrony
przed zagrożeniami zewnętrznymi, takimi jak ataki typu APT
(Advanced Persistent Threat), złośliwe kody, wirusy, ataki
typu DDoS, złośliwe witryny internetowe itd. wymagane
są urządzenia fizyczne, takie jak obrzeża centrum danych
i firewalle rdzenia. Są one wyposażone w technologie
sprzętowe umożliwiające obsługę stale rosnącego
ruchu sieciowego wchodzącego do centrum danych,
wychodzącego z niego i przechodzącego przez niego bez
tworzenia wąskich gardeł ani pogarszania działania usługi.
Zasadniczo umożliwiają one skalowanie zabezpieczeń.
Urządzenia wirtualne z kolei uzupełniają fizyczną
infrastrukturę zabezpieczeń, zapewniając widoczność ruchu
wschód–zachód i egzekwowanie zasad bezpieczeństwa
w środowisku wirtualnym/chmurze. Udostępniają one
pełen zestaw usług ochrony, umożliwiają mikrosegmentację
przepływów pracy i zachowanie zgodności z przepisami
oraz zapewniają dynamikę zabezpieczeń. Umożliwiają
rozbudowę zabezpieczeń.
4.Jedna konsola zarządzania — pojedyncza konsola
zarządzania
umożliwiająca
spójne
konfigurowanie
usług, zarządzanie i raportowanie dotyczące fizycznych
i wirtualnych domen zabezpieczeń ma znaczenie kluczowe,
ponieważ pozwala uniknąć luk w podejściu do zabezpieczeń
centrum danych.
Ś
cisłą integrację ze środowiskiem wirtualnym
umożliwiającą zautomatyzowanie wdrażania zasad
bezpieczeństwa dla nowych i zmieniających się
przepływów pracy, zarówno na poziomie wdrożenia,
jak i egzekwowania. Przykładowo, w przypadku
oprogramowania vSphere vMotion firmy VMware wirtualny
punkt kontrolny jest automatycznie tworzony na docelowej
maszynie hosta, a zdefiniowane zasady — egzekwowane
w przepływach pracy.
5
3. Usługi chmury
Nawet w skonsolidowanym centrum danych trzeba wdrażać nowe hosty, pamięć masową, platformy wirtualizacji, sprzętową
i wirtualną infrastrukturę zabezpieczeń oraz inne komponenty umożliwiające rozwój oraz obsługę nowych aplikacji i usług. Wszystkie
one wymagają dodatkowych wydatków kapitałowych i kosztów operacyjnych oraz czasu.
Aby uzyskać większą dynamikę i jeszcze bardziej obniżyć koszty, przedsiębiorstwa poszukują rozwiązań poza swoimi prywatnymi
centrami danych i chmurami. Dostępność i dojrzałość dostawców chmur pozwala im korzystać z wielu różnych usług chmur, takich jak:
Infrastruktura jako usługa (Infrastructure-as-a-Service — IaaS) — umożliwia korzystanie z maszyn wirtualnych i innych zasobów,
n
np. firewalli wirtualnych, jako usług. Pozwala to zwiększyć dynamikę i zapewnia rozwój przy niższych kosztach, ponieważ nie trzeba
ponosić wydatków kapitałowych, a z usługi można korzystać i rezygnować na żądanie, zgodnie z potrzebami przedsiębiorstwa.
Przykładem dostawcy usług w modelu IaaS jest firma Amazon Web Services (AWS).
nPlatforma
jako usługa (Platform-as-a-Service — PaaS) — umożliwia korzystanie z kompletnej platformy obliczeniowej, obejmującej
system operacyjny, bazę danych, serwer sieciowy i inne komponenty, jako usługi. Ten model umożliwia obniżenie kosztów, pozwalając
programistom na opracowywanie i uruchamianie aplikacji bez ponoszenia wydatków kapitałowych i kosztów operacyjnych
związanych z zakupem sprzętu i zarządzaniem nim. Przykładem dostawcy usług w modelu PaaS jest Microsoft Azure.
nOprogramowanie
jako usługa (Software-as-a-Service — SaaS) — umożliwia korzystanie z aplikacji i ich baz danych, np. SalesForce,
jako usługi bez ponoszenia wydatków kapitałowych i kosztów operacyjnych związanych z infrastrukturą wymaganą do uruchamiania
i utrzymywania aplikacji.
Korzystanie z usług w chmurze rozszerza centrum danych i chmurę prywatną przedsiębiorstwa oraz pozwala utworzyć środowisko
hybrydowe — chmurę hybrydową — w którym niektóre zasoby centrum danych są zlokalizowane i używane poza jego fizycznymi
granicami. Z punktu widzenia bezpieczeństwa, jednak, chmura hybrydowa musi stosować takie samo podejście do zabezpieczeń
i egzekwować takie same zasady, jakie obowiązują w chmurze prywatnej przedsiębiorstwa:
n
W przypadku
modeli PaaS i SaaS zabezpieczenia są obsługiwane i gwarantowane przez usługodawcę, a przedsiębiorstwo musi
upewnić się, że spełniają one jego wymagania.
nW przypadku
modelu IaaS przedsiębiorstwo może wydzierżawić wymagane wirtualne urządzenie i usługi ochrony oraz mieć do nich
pełen dostęp z uprawnieniami do obsługi administracyjnej, zarządzania i raportowania. Używanie wówczas tych samych urządzeń,
jakie są wykorzystywane w prywatnej chmurze przedsiębiorstwa, niesie istotne korzyści, ponieważ można wtedy korzystać ze
znanych już funkcji zarządzania, obsługi administracyjnej i raportowania.
6
www.fortinet.com
Tworzenie ekosystemu ochrony centrum danych
Centrum danych oraz chmury prywatne i hybrydowe stanowią serce infrastruktury informatycznej przedsiębiorstwa. Nie tylko
zapewniają moc obliczeniową, pamięć masową i aplikacje wymagane do realizowania podstawowych operacji wewnętrznych w firmie,
lecz także umożliwiają interakcję i przeprowadzanie transakcji z ogólnym ekosystemem zewnętrznym — partnerami, dostawcami czy
klientami. Dlatego właśnie centrum danych jest podstawowym celem ataków i należy je wyposażyć w odpowiednie zabezpieczenia
gwarantujące nieprzerwaną, skuteczną ochronę przed ciągle zmieniającymi się zagrożeniami.
Efektywne zabezpieczenia centrum danych nie mogą opierać się na pojedynczym produkcie lub technologii ze względu zarówno na
rozwój i stopień złożoności samego centrum, jak i na czyhające zagrożenia. Trzeba je raczej zaplanować i wdrożyć jako adaptacyjny
ekosystem złożony ze specjalistycznych rozwiązań, które razem mogą zapewnić jak najbardziej wszechstronną ochronę. Należy go
oprzeć na następujących głównych założeniach:
n
n
n
n
ożliwość adaptacji — do zmieniających się zagrożeń dzięki automatycznym usługom aktualizowania danych przekazującym do
M
ekosystemu zabezpieczeń aktualne informacje o nowych i rozwijających się zagrożeniach.
d sieci do aplikacji — ekosystem musi zapewniać całościową ochronę przed atakami na wszystkich poziomach — zarówno
O
przed atakami na poziomie sieci, takimi jak wolumetryczne ataki DDoS, jak i przed atakami na poziomie konkretnych aplikacji, takimi
jak ataki Cross Site Scripting (XSS) czy wyłudzające informacje wiadomości e-mail.
ynamiczny i zautomatyzowany — aby nie ograniczać dynamiki i automatyzacji zapewnianych przez wirtualizację w chmurze
D
prywatnej, ekosystem zabezpieczeń należy zintegrować z wirtualnym środowiskiem centrum danych i sieciami sterowanymi
programowo (SDN).
lasa centrum danych — ekosystem zabezpieczeń centrum danych musi działać efektywnie w dużych środowiskach o wysokiej
K
wydajności i małych opóźnieniach, a przy tym nie stanowić wąskiego gardła ani nie pogarszać punktów usług.
7
Ekosystem zabezpieczeń firmy Fortinet dla skonsolidowanych
centrów danych
Udostępniając kompletny i wszechstronny ekosystem zabezpieczeń centrum danych, firma Fortinet umożliwia i ułatwia przedsiębiorstwu
przejście przez proces jego konsolidacji. Oferowane przez nią urządzenia zabezpieczające zarówno płaszczyzny fizyczne, jak i wirtualne
oraz niezrównana wydajność i funkcje ochrony umożliwiają wzrost i rozwój skonsolidowanego centrum danych bez pogarszania
jakości usług czy powodowania wąskich gardeł. Zachowują przy tym pełen zakres ochrony i zapewniają niezwykle korzystny zwrot
z inwestycji:
Rozwiązanie Fortinet do ochrony centrum danych jest adaptacyjne dzięki programowi FortiGuard do badania zagrożeń
n
i aktualizowania danych na ich temat, co gwarantuje nieprzerwaną i dynamiczną ochronę za pomocą automatycznych usług
aktualizacji przekazującym do ekosystemu aktualne informacje o nowych i rozwijających się zagrożeniach.
nEkosystem
zabezpieczeń firmy Fortinet zapewnia kompletną, całościową ochronę przed atakami na wszystkich poziomach,
zarówno przed atakami na poziomie sieci, takimi jak wolumetryczne ataki DDoS, jak i przed atakami na poziomie konkretnych
aplikacji, takimi jak ataki Cross Site Scripting (XSS) czy wyłudzające informacje wiadomości e-mail:
1. FortiGate obsługuje segmentację, firewall, antywirusa, systemy IPS, kontrolę aplikacji, kategoryzację i filtrowanie stron WWW,
NGFW itd.
2. FortiDDoS chroni przed atakami DDoS na poziomie sieci i aplikacji.
3. FortiWeb obsługuje firewall aplikacji webowych (WAF).
4. FortiMail zapewnia zabezpieczoną bramę poczty.
5. FortiADC gwarantuje świadczenie usług i odciąża SSL.
6. FortiSandbox wykrywa naruszenia zabezpieczeń i zapewnia ochronę przed zaawansowanymi zagrożeniami (Advanced Threat
Protection — ATP).
n
Szeroki
zakres wirtualnych urządzeń centrum danych i domen wirtualnych (VDOM) umożliwia integrację rozwiązań Fortinet ze
środowiskami wirtualnymi i sieciami sterowanymi programowo (SDN), zapewniając szereg usług ochrony charakteryzujących się
wymaganą dynamiką i automatyzacją, jak przedstawiono w poniższej tabeli:
VMware
Urządzenie wirtualne
Open Source
Amazon
Microsoft
vSphere
v4.0/4.1
vSphere
v5.0
vSphere
v5.1
vSphere
v5.5
Xen
Server
v5.6 SP2
Xen
Server
v6.0
Xen
KVM
AWS
Hyper-V
2008 R2
Hyper-V
2012
FortiGate VM
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
FortiManager VM
✔
✔
✔
✔
✔
✔
✔
FortiAnalyzer VM
✔
✔
✔
✔
✔
✔
✔
FortiWeb VM
✔
✔
✔
✔
FortiMail VM
✔
✔
✔
✔
FortiAuthenticator VM
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
FortiADC VM
FortiCache VM
FortiSandbox VM
FortiGate VMX
8
Citrix
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
✔
www.fortinet.com
n
Urządzenia zabezpieczające firmy Fortinet zapewniają wysoką dostępność i opierają się na specjalnie opracowanej technologii
FortiASIC spełniającej najbardziej wygórowane wymagania w zakresie wydajności klasy centrum danych w kilku aspektach:
1. Przepustowość / opóźnienia — od 80 Gb/s do ponad 1 Tb/s / poniżej 7 µs
2. Zagęszczenie portów — od sześciu do setek portów na urządzenie
3. Szybkie interfejsy — 10/40/100 Gb/s n
Zarządzanie z jednej konsoli: Rozwiązania FortiManager i FortiAnalyzer zapewniają scentralizowane zarządzanie oraz funkcje
raportowania i analizy do zarówno sprzętowych, jak i wirtualnych urządzeń zabezpieczających.
Na poniższej ilustracji przedstawiono ekosystem Fortinet obejmujący fizyczne i wirtualne płaszczyzny centrum danych:
9
Płaszczyzna fizyczna
Chociaż wiele funkcji zabezpieczeń można, a czasami nawet trzeba, wdrożyć na poziomie płaszczyzny wirtualnej, nadal konieczne jest
wdrożenie fizycznych urządzeń zabezpieczających na poziomie płaszczyzny fizycznej, jak opisano w poniższych przykładach:
1. Ochrona przed atakami DDoS (FortiDDoS) musi działać w warstwie sieci fizycznej, aby chronić przed atakami DDoS na poziomie
sieci i aplikacji. Próba jej wdrożenia na płaszczyźnie wirtualnej spowoduje, że centrum danych nadal będzie podatne na tego typu
ataki przeprowadzane z sieci połączonych, na przykład z Internetu czy korporacyjnego ekstranetu.
2. Firewall brzegowy następnej generacji i firewall rdzenia centrum danych (FortiGate) także należy wdrożyć na fizycznej płaszczyźnie
centrum danych z następujących względów:
A. Ochrona zasobów niezwirtualizowanych — w większości przypadków centra danych nie są zwirtualizowane w 100%.
Dlatego też niezwirtualizowane zasoby obliczeniowe i pamięć masową należy chronić przed jak największym zakresem ataków,
korzystając z firewalla następnej generacji FortiGate.
B. Segmentacja fizyczna — kwestie operacyjne i konieczność zapewnienia zgodności z różnymi przepisami dotyczącymi
poufności i ochrony danych (takimi jak ustawy HIPPA i PCI) wymagają utworzenia zaufanych stref bezpieczeństwa
posegmentowanych za pomocą firewalla. Jeśli tylko te poufne zasoby i zaufane strefy bezpieczeństwa są wdrażane także na
płaszczyźnie fizycznej, do egzekwowania ich segmentacji i ochrony wymagany jest fizyczny firewall FortiGate.
C. Ochrona środowiska wirtualnego — jeśli na płaszczyźnie fizycznej nie ma żadnego fizycznego firewalla, który egzekwowałby
zasady bezpieczeństwa, samo środowisko wirtualne staje się potencjalnie podatne na ataki. Dzieje się tak dlatego, że firewalle
wirtualne zyskują wgląd w dane, dopiero gdy przejdą przez to środowisko. Jest to bardzo niebezpieczna luka w zabezpieczeniach,
którą należy eliminować przez wdrażanie na obrzeżach centrum danych rozwiązania FortiGate jako firewalla następnej generacji.
D.Wydajność — zabezpieczenia skonsolidowanego centrum danych muszą zapewniać bogaty zestaw usług ochrony
nieustannie rosnących ilości danych. Aby podołać temu zadaniu bez powodowania wąskich gardeł, urządzenia zabezpieczające
centrum danych muszą gwarantować odpowiedni poziom wydajności (przepustowość, możliwość skalowania sesji, opóźnienia
itd.). Podczas gdy wymaganą wydajność łatwo osiągnąć za pomocą fizycznych urządzeń FortiGate, zapewnienie jej poprzez
dodanie wirtualnych urządzeń ochrony w celu zwiększenia zagregowanej wydajności zabezpieczeń może być trudne zarówno ze
względu na koszty, jak i złożoność zarządzania.
W celu zapewnienia skutecznej i pełnej ochrony centrum danych konieczne jest wdrożenie na jego płaszczyźnie fizycznej fizycznych
urządzeń zabezpieczających (ochrony przed atakami DDoS i firewalla następnej generacji). Kierując się specjalnymi potrzebami
dotyczącymi na przykład wydajności, kosztu czy udostępnianych usług, niektóre ze specjalnie konstruowanych urządzeń
zabezpieczających, takie jak bezpieczna brama pocztowa (SMG — FortiMail), firewall aplikacji webowych (WAF — FortiWeb), kontroler
dostarczania aplikacji (ADC — FortiADC) i Sandboxing (FotiSandbox), można wdrażać jako urządzenia wirtualne.
Płaszczyzna wirtualna
Na wirtualnej płaszczyźnie centrum danych Fortinet oferuje bogaty zestaw urządzeń wirtualnych dostarczanych jako standardowe
maszyny wirtualne (VM) działające ponad wirtualnymi przełącznikami i funkcjami, które mogą dzięki temu korzystać z zapewnianej
dynamiki i elastyczności.
W środowisku VMware rozwiązanie FortiGate-VMX firmy Fortinet umożliwia integrację na poziomie jądra systemu, tak by każda
maszyna wirtualna w hoście mogła korzystać z pełnej segmentacji i ochrony zapewnianej przez firewalla następnej generacji (NGFW).
Rozwiązanie FortiGate-VMX jest zgodne z oprogramowaniem NSX firmy VMware, co pozwala na automatyczne i dynamiczne
egzekwowanie zasad bezpieczeństwa przepływów pracy w centrum danych sterowanym programowo (Software Defined Data Center
— SDDC) SDN.
System operacyjny zabezpieczeń firmy Fortinet, FortiOS, działa zarówno na fizycznych, jak i wirtualnych urządzeniach zabezpieczających.
Dzięki temu na obu płaszczyznach dostępny jest ten sam bogaty zestaw usług i funkcji, co eliminuje możliwe luki w zabezpieczeniach
i zapewnia pełen zakres usług ochrony przed obecnymi i przyszłymi zagrożeniami.
10 www.fortinet.com
Podsumowanie
Ekosystem zabezpieczeń firmy Fortinet zapewnia kompletne, wszechstronne rozwiązanie zabezpieczeń i umożliwia wdrożenie go
w skonsolidowanym centrum danych. Obejmuje on fizyczne i wirtualne urządzenia ochrony przeznaczone do fizycznych i wirtualnych
płaszczyzn nowoczesnych centrów danych zapewniające wysoką wydajność, dynamikę, zgodność z przepisami i efektywność
kosztową wymagane w tych wysoko wydajnych i dynamicznych środowiskach.
Rozwiązania FortiManager i FortiAnalyzer udostępniają funkcje scentralizowanego zarządzania urządzeniami oraz logowania
i analizowania zdarzeń, a także zarządzania bezpieczeństwem centrum danych.
Niezależnie od rozwoju centrum danych oraz etapu procesu konsolidacji firma Fortinet udostępnia rozwiązania, specjalistyczną wiedzę
i doświadczenie zapewniające optymalny poziom ochrony.
11
OPRACOWANIE
www.fortinet.com
Polska
ul. Złota 59/6F
Budynek Lumen II (6 piętro)
00-120 Warszawa
Polska
SIEDZIBA GŁÓWNA
Fortinet Inc.
899 Kifer Road
Sunnyvale, CA 94086
Stany Zjednoczone
Tel.: +1.408.235.7700
www.fortinet.com/sales
BIURO SPRZEDAŻY —
REGION EMEA
120 rue Albert Caquot
06560, Sophia Antipolis,
Francja
Tel.: +33 4 8987 0510
BIURO SPRZEDAŻY —
REGION APAC
300 Beach Road 20-01
The Concourse
Singapur 199555
Tel.: +65 6513 3730
BIURO SPRZEDAŻY — AMERYKA
ŁACIŃSKA
Prol. Paseo de la Reforma 115 Int. 702
Col. Lomas de Santa Fe,
C.P. 01219
Del. Alvaro Obregón
México D.F.
Tel.: 011-52-(55) 5524-8480
Copyright © 2015 Fortinet, Inc. Wszelkie prawa zastrzeżone. Fortinet®, FortiGate®, FortiCare®, FortiGuard® oraz niektóre inne znaki są zastrzeżonymi znakami towarowymi firmy Fortinet, Inc. Pozostałe nazwy związane z firmą Fortinet zawarte
w niniejszym dokumencie również mogą być znakami towarowymi i/lub zastrzeżonymi znakami towarowymi firmy Fortinet. Wszelkie inne nazwy produktów lub firm mogą być znakami towarowymi ich odpowiednich właścicieli. Przedstawione
w niniejszym dokumencie parametry wydajności i inne dane uzyskano podczas testów laboratoryjnych w warunkach idealnych, zatem faktyczna wydajność może być inna. Ostateczne parametry wydajności mogą ulec zmianie pod wpływem
zmiennych sieciowych, różnorodnych środowisk sieciowych i innych uwarunkowań. Żadne ze stwierdzeń zawartych w niniejszym dokumencie nie stanowi wiążącego zobowiązania ze strony firmy Fortinet, a firma Fortinet nie udziela żadnych
gwarancji, wyraźnych ani dorozumianych, z wyjątkiem sytuacji, gdy firma Fortinet zawrze wiążącą umowę z kupującym, podpisaną przez głównego radcę prawnego firmy Fortinet, w której złoży wyraźną gwarancję, że określony produkt
będzie działał zgodnie z wymienionymi w takim dokumencie parametrami wydajności. W celu uniknięcia niejasności dowolna tego typu gwarancja będzie ograniczona do działania w takich samych warunkach idealnych, w jakich firma Fortinet
przeprowadziła wewnętrzne testy laboratoryjne. Firma Fortinet wyłącza w całości wszelkie zobowiązania, interpretacje i gwarancje związane z niniejszym dokumentem, zarówno wyraźne, jak i dorozumiane. Firma Fortinet zastrzega sobie prawo
do zmieniania, modyfikowania, przenoszenia i dowolnego innego korygowania niniejszej publikacji bez uprzedzenia, a obowiązywać będzie najnowsza wersja publikacji.

Konsolidacja centrum danych

Transkrypt

Podobne dokumenty

Pobierz agende

Warmia i Mazury, jeden z najbardziej popularnych

więcej informacji

Pobierz agende

Optymalizacja WAN z wykorzystaniem urządzeń Fortinet

Urząd Marszałkowski Województwa Kujawsko-Pomorskiego

praktyczna ochrona sieci z wykorzystaniem urządzenia