CiscoNL – Technology

Op Vmworld 2010 in San Francisco heeft Ed Bugnion de Cisco Virtual Security Gateway geintroduceerd voor de Nexus1000v. De VSG is een virtuele firewall die op een Nexus1000v omgeving geimplementeerd kan worden Om een goed beeld te geven van Cisco’s security portfolio en om te laten zien waar de VSG geplaatst kan worden geeft onderstaande slide een goede guideline.

De Virtuele Security Gateway is de eerste virtuele service binnen de Data Center services strategie die Cisco op dit moment naar de martk brengt en waar u in de komende weken meer over kan verwachten. Met deze virtuele services wordt een flexibele oplossingen aangeboden waarmee security en L4-7 services in een virtuele en cloud omgeving toegepast kunnen worden.

De Virtual Security Gateway is een voorbeeld van een Virtual Service Node (VSN). Een VSN is een virtuele appliance die services aanbiedt in een virtuele omgeving. De Virtual Security Gateway geeft u de mogelijkheid om firewall policies te managen en toe te passen op VM-level. De VSG is een uitbreiding bovenop de Nexus1000v en maakt gebruik van de successen van de Nexus1000v, waaronder:
VM-level granularity – Toepassen en maangen van policies op VM niveau.
vMotion support – Policies blijven de VM volgen wanneer een Vmotion plaats zal vinden op het VM.
Gescheiden rollen – beheer en verantwoordelijke voor security policies blijft binnen het security team en het nis niet meer noodzakelijk om server beheerders security policies te laten bepalen.

De VSG maakt gebruik van zones wanneer security policies worden aangemaakt. Een VM maakt deel uit van een zone door middel van het toepaasen van VM profiles. Hierdoor is de policy die aan een VM hangt losgekoppeld van de locatie in het Data Center. Zone Membership is nu onafhankelijk van de fysieke server, locatie ,fysieke poort of VLAN.
Op het moment dat een VM onderdeel uit maakt van een zone, dan beslist de VSG door gebruik te maken van security regels met welke andere zones gecommuniceerd mag worden.

Het designen van de zones kan op verschillende manieren opgepakt worden.
Wanneer een serivce provider zoning wil gaan toepassen zal die kiezen voor een zone voor elke klant. Een enterprise klant zal kiezen voor zoning op basis van de verschillende afdelingen binnen zijn of haar organisatie of op basis van type applicaties.

Wat de Virtual Security Gateway interessant maakt is een nieuwe feature in de Nexus1000v, genaamd Cisco vPath. vPath is een intelligent mechanisme om pakketten te sturen richting een Virtuele Service Node voordat deze bij de VM aankomt. Door deze oplossing wordt het implementeren van een VSN flexibel en efficient.

De Virtual Security Gateway kan op dezelfde host geplaatst worden als de host waarop de VM’s draaien. Daarnaast kan de VSG geplaatst worden op een eigen server. Een VSG kan meerdere ESX hosts voorzien van security features.
Om een redundante omgeving te bewerkstelligen kan een VSG in een Active/Standby opstelling ingezet worden.

vPath zorgt voor enorme performance voordelen omdat alleen de initiele eerste pakketten van de flow naar de VSG gestuurd worden. De policy die toegepast wordt op de flow kan door de Nexus1000v lokaal in de Virtual Ethernet Module op de ESX host gecached worden. Hierdoor kunnen volgende beslissingen lokaal gemaakt en toegepast worden.

Met de implementatie van de VSG zal de security beheerder de controle over de security policies behouden, maar we maken het voor de server beheerder gemakkelijk om in Vcenter toegang te krijgen tot security policies die vanuit vCenter toegepast kunnen worden.

Op het gebied van beheerbaarheid van de omgeving is Cisco samen met VMware de VSG aan het integreren in vCloud Director, zie ook: http://www.vmware.com/products/vcloud-director/.

Voor vragen:

Jan Heijdra
Data Center Systems Engineer
Cisco Nederland
jheijdra(at)cisco.com