Achtergrondartikel


Security geleverd als onderdeel van de netwerkinfrastructuur

Check Point integreert vSEC met VMware NSX

In het ‘software-defined tijdperk’ is het lang niet altijd duidelijk meer hoe verkeersstromen door het datacenter lopen, en waar een securitygateway moet worden geplaatst. De oplossing is security een integraal onderdeel maken van de netwerkinfrastructuur zoals Check Point en VMware dat hebben gedaan door vSEC te integreren met het netwerkvirtualisatieplatform NSX.

“De markt beweegt richting ‘software-defined’; daar gaan we niet aan ontkomen”, zo is de overtuiging van Niels den Otter, SE Team Leader bij Check Point Software Technologies. Waar ‘Software-Defined Networking’ (SDN) al langer een veelbesproken onderwerp is, kan nu ook het ‘Software-Defined Data Center’ (SDDC) – waar netwerkvirtualisatie een belangrijk onderdeel van vormt – rekenen op een toenemende belangstelling. “Bedrijven die op dit moment staan voor de vervanging van hun datacenterinfrastructuur denken serieus na over het Software-Defined Data Center, en zullen het ook gaan implementeren.”

Snel applicaties uitrollen
Het belangrijkste doel van een Software-Defined Data Center is het snel, veilig en (kosten-) efficiënt uitrollen, opereren, beheren en updaten van applicaties. “Binnen een traditionele omgeving kan het ingebruiknemen van een nieuwe applicatieserver vlot één of twee weken in beslag nemen”, stelt Den Otter. “Niet alleen het netwerk, maar bijvoorbeeld ook de firewall en het Domain Name System moeten worden voorbereid op de komst van de nieuwe applicatieserver. Binnen een SDDC moet het mogelijk zijn dat werknemers zelf via een selfserviceportal een nieuwe applicatieserver binnen enkele minuten in de lucht brengen, inclusief alle onderdelen die daarvoor nodig zijn en met de juiste securitypolicy’s.”

Om die flexibiliteit te bereiken, worden binnen een SDDC alle elementen van de infrastructuur (netwerk, storage, server en de beveiliging) gevirtualiseerd en op basis van policy’s ‘as-a-Service’ geleverd. Door deze vergaande virtualisatie zijn alle infrastructuurcomponenten via een Application Programming Interface (API) te provisionen en beheren. Door de uitrol, provisioning, configuratie en exploitatie van de IT-infrastructuur los te weken van de hardware kan de ‘as-a-Service’ geleverde IT bovendien volledig via een centrale beheerconsole worden geautomatiseerd, beheerd en gemonitord.

Implicaties voor security
Deze benadering heeft echter wel consequenties voor de manier waarop bedrijven hun beveiliging inrichten, zo waarschuwt Den Otter. “In een traditionele omgeving moet je er altijd voor zorgen dat de security zich in het datapad bevindt. Dan kijk je op de netwerktekeningen hoe de netwerkstromen lopen en hoe je de securityzones moet inrichten, en tussen die zones plaats je dan de securitygateways.”

“In het ‘software-defined tijdperk’ is het allemaal niet meer zo duidelijk”, vervolgt Den Otter. “Het verkeer kan alle kanten opschieten; afhankelijk van de applicatie kan het netwerkverkeer de ene keer linksom en de andere keer rechtsom gaan. Maar je kunt moeilijk op al die verbindingen een firewall gaan plaatsen.”

Volgens Den Otter is het dan ook zaak dat security volledig wordt geïntegreerd met de virtualisatieplatformen die worden gebruikt voor het inrichten van Software-Defined Data Centers, zodat security een onderdeel wordt van de netwerkinfrastructuur. Zo biedt Check Point al integratie met OpenStack, een open source cloudcomputingplatform voor het bouwen van public, private en hybride clouds en een belangrijke pilaar onder de cloudplatformen van bijvoorbeeld Dell en HP. Aan de integratie met Cisco’s Application Centric Infrastructure wordt gewerkt, zo laat Den Otter doorschemeren.

Check Point en VMware
Afgelopen zomer kondigde Check Point een samenwerking aan met VMware voor de integratie van de vSEC virtuele netwerkbeveiliging van Check Point met het NSX-netwerkvirtualisatieplatform van de marktleider op het gebied van virtualisatie. Deze integratie stelt klanten in staat om de beveiliging af te dwingen voor al het datacenterverkeer.

“We werken al sinds 2008 nauw samen met VMware”, vertelt Den Otter. “Zo is het al geruime tijd mogelijk om firewalls van Check Point in te richten binnen een omgeving die is gevirtualiseerd met de ESX-hypervisor van VMware. Op die manier is het mogelijk om tussen virtuele switches en tussen virtuele machines zaken te doen als firewalling en verkeersinspectie. Maar binnen een software-defined omgeving moet je er ook voor gaan zorgen dat al het verkeer wordt doorgestuurd naar het centrale punt dat het netwerk of het datacenter aanstuurt.”

Met VMware NSX in combinatie met Check Points vSEC wordt security geleverd als onderdeel van de netwerkinfrastructuur van het datacenter inclusief de zeer belangrijke managementintegratie. Den Otter: “Door de koppeling tussen beide managementplatformen kunnen de VM’s en ‘securitygroepen’ geconfigureerd binnen de VMware-managementomgeving automatisch gebruikt worden binnen de Check Point-securityconfiguratie.” Als je een node toevoegt aan de VMWare-omgeving zal die automatisch beschikbaar komen binnen het Check Point-management.

Volledig beschermd
VMware NSX integreert en orkestreert Check Point vSEC voor geavanceerde verkeersinspectie. Klanten kunnen hierdoor de implementatie van securitydiensten versnellen en in het datacenter hetzelfde beveiligingsniveau behalen als op de gateway. Dit is extra belangrijk bij de huidige dynamische cloudomgevingen, waar applicaties on-demand moeten worden provisioned en verplaatsbaar moeten zijn binnen de infrastructuur. Dankzij de gecombineerde oplossing is al het verkeer – of dat nu in of uit het datacenter gaat, of binnen het datacenter plaatsvindt – volledig beschermd tegen malware, APT’s en zero-day aanvallen.

“Klanten die met NSX bezig zijn, brengen doorgaans ook hun security op een hoger niveau”, besluit Den Otter. “Met vSEC bieden we naast een firewall ook additionele securityservices zoals IPS en antibot. Eigenlijk alle mogelijkheden die we met onze Software Blades bieden, bieden we nu ook binnen een NSX-omgeving. Door de koppeling die kan worden aangebracht tussen het management van Check Point en het management van VMware kun je bovendien via één managementomgeving je fysieke en je virtuele securityomgeving beheren en VMware-objecten opnemen in je access policy’s.”

 


Lees meer over