VMware NSX DFW ve Palo Alto Entegrasyonu

VMware NSX DFW ve Palo Alto Entegrasyonu

Merhabalar,

Bu makalemde VMware NSX Distributed (Dağıtık) Firewall (DFW) nedir? Nasıl çalışır ve Palo Alto Firewall entegrasyonunu anlatmaya çalışacağım.

Günümüz güvenlik ihtiyaçlarında güvenliği uç noktalara kadar taşımak elzem bir durum halini aldı. Yani sadece internet çıkışımıza Firewall yerleştirmek yetmiyor, güvenliği kullanıcı bilgisayarlarına kadar uzatıp bu bilgisayarlara Host IPS veya antimalware çözümleri uygulamamız gerekiyor. Sonuç olarak tüm tehtitler gateway den gelmeyebilir, son kullanıcı bilgisayarına USB, CD/DVD veya diğer arayüzlerden bulaşacak tehtitler içeride çok kolayca yayılabilir. Data Center içindeki trafiklerde de benzer durumlar söz konusu, az önce bahsettiğimiz son kullanıcı bilgisayarı burada bizim serverlarımız oluyor. Tabi serverlarımıza tehtitler genelde USB, CD/DVD den değil de gateway den sızan/kaçan ataklar olabiliyor. Bir servera hacklemeyi başaran hacker ın özellikle aynı segmentteki diğer serverlara zıplaması çok kolay olmaktadır.

İşte NSX DFW ile güvenliği microsegmentation seviyelere kadar daraltıp server ın NIC kartına kadar indirmiş oluyor. NSX DFW, tüm ESXi host lara dağıtılan ve enforcment ı kaynağa en yakın yer olan VM lerde uygulayabildiğimiz L2/L4 çalışan stateful bir firewall dur. DFW ESXi hostlarda kernel servis olarak çalışmaktadır. Yani VM den çıkan veya giren her trafik firewall policy e tabi tutulabilir.

DFW throughput u Cluster’a eklediğimiz ESXi host ile doğru orantılı olarak artmaktadır. Daha öncede belirttiğimiz gibi DFW L2/L4 çalışırken L7 FW özellikleri için ise 3-party üreticilerle entegrasyonu bulunmaktadır. Bugün ki yazım da Palo Alto entegrasyonunu anlatmaya çalışacağım.

Peki nsx firewall kurallarını her bir NIC e gidip ayrı ayrı mı yazacağız? Hayır tabi ki.

Aşağıdaki şekilde görüldüğü gibi distributed firewall kurallarını aşağıdaki şekilde NSX menüsündeki Firewall sekmesinden yapıyoruz.

Şekilde de görüldüğü gibi temel mantık şu şekilde ; biz sanal sunucularımızı security grup lara dahil ediyoruz ve security grup lara göre kurallar yazıyoruz. Örneğimizde dikey trafikten gelen (kuzey-güney) web serverlara giden trafik allow iken diğer tüm trafikler ve özellikle web to web trafikleri deny durumda. Yani aynı subnette olan iki sanal sunucu arasındaki trafik deny edilmiş durumda. Buda microsegmentation en önemli özelliği.

Bu kısımdaki en güzel özelliklerden birisi ve diğer klasik firewalllarda alışkın olmadığımız bir durumda, sunucuları security gruplara dinamik olarak atayabilmemiz. Mesela sanal sunucu ismi “web” ile başlayanlar web security gurubunda olmalı diye filtre oluşturduğumuzda tüm sanal makine ismi web ile başlayan sanal sunucular otomatik olarak bu guruba dahil oluyor. Doğal olarak yeni yaratacağınız ve ismi web ile başlayan bir sanal sunucu da otomatik bu guruba üye olacak. İleride otomasyon yazılımı ile oluşturduğumuz BluePrint lerinizi bu mantıktan oluşturursanız zaten yeni eklenen bir sunucu için hiçbir ekstra firewall ayarları yapmamıza gerek kalmıyor.

Buraya kadar bahsettiğimiz firewall özellikleri hep layer3/4 yani en fazla ip ve port numaralarına göre filitreleme yapabiliyor. Peki layer7 denetlemeden geçirmek istersek ne yapacağız? İşte bu noktada 3party üretici entegrasyonları devreye giriyor. Bu üreticilerden birisi olan Palo Alto entegrasyonunu özet bir şekilde anlatmak istiyorum.

Öncelikle yapının nasıl olacağından bahsetmek gerekiyor. Çünkü çoğu müşterimizin kafasında bu entegrasyon tam şekillenmeyebiliyor. Biz entegrasyonu kuzey güney trafiğini denetlediğimiz appliance olarak kullandığımız firewall ile mi yapıyoruz? gibi sorular gelebiliyor. Tabi ki hayır. Sadece entegrasyon için kuracağımız yönetim yazılımı Panaroma ile appliance olan ve kuzey-güney trafiğini denetleyen firewallu da yönetebiliriz. Esas denetlemeyi yapacak olan firewall lar clusterlardaki hostların üzerine kuracağımız vm serisi sanal firewallar olacaktır.

Entegrasyondaki ilk olmazsa olmazımız Palo Alto Panaroma yazılımı. Panaroma bir den fazla palo alto firewall larınızı tek bir arayüzden yönetebildiğiniz, policy lerinizi yazabildiğiniz bir yönetim yazılımı. Entegrasyonu panaroma ile nsx manager arasında yapacağız. Panaroma’yı management cluster ımıza kurduktan sonra NSX Manager’a registrasyonunu yapıyoruz ve palo alto vm serisi firewall ovf dosyasını bir IIS serverda bir klasöre yüklüyoruz.

Vm serisi firewall’larımız için bir device grup ve template oluşturmamız gerekiyor. Oluşturduğumuz device grup ve template isimlerini panoramayı nsx’e register ederken kullanıyoruz. Dolayısıyla NSX üzerinden vm serisi firewalllarımız kurduğumuz zaman bu device grup içinde yer alacaklar ve bu template i kullanacaklar. Bu kısımdaki registrasyon bittikten sonra ve ovf file ı bir IIS server a yükledikten sonra sıra NSX üzerinden Palo alto servisini ve vm serisi firewallları clusterlara kurmaya geliyoruz.

Panaroma üzerinden NSX registrasyonunu yaptığımızda yukarıdaki şekilde görüldüğü gibi Palo Alto servisi nsx service definations kısmına ekleniyor. Daha sonra NSX menüsünden installation -> services deployment kısmında vm serisi firewalları hostlar üzerine yüklememiz gerekiyor.

Service yüklemesini yaptıktan sonra vm serisi firewalllarımızı compute cluster’a yani web/app/db sunucularımızın olduğu clustera sanal makine olarak kurulmuş olup Panaroma da device grup altından yönetilebilir hale geliyorlar.

Peki şimdi hangi trafikleri ve nasıl palo alto vm serisi firewallara yönlendireceğiz ve panaroma da kuralları nasıl yazacağız? Öncelikle NSX tarafında yarattığımız security grupları Panaroma tarafında bir security obje ile eşleştirmemiz gerekiyor. Panaroma ekranında device group -> Object -> Address Groups sekmesinde add ile yeni bir adress grup ekleyip type Dynamics seçtiğinizde NSX üzerindeki security grupların nsx manager üzerinden çekildiğini göreceksiniz.

Burada eşleştirmeyi yaptıktan sonra panaroma üç adet ve her biri nsx deki security gruplarla eşleşen address group larımız olacak. Artık panaroma üzerinde kurallarımızı bu address gruplarına göre yazabiliriz.

Peki son olarak biz hangi trafikleri palo alto vm serisi firewallara yönlendireceğiz? NSX firewall üzerinde partner security services kısmında hangi trafikleri Palo alto vm serisi firewallara yönlendireceğimizi belirliyoruz. Aşağıdaki örneğimizde görüldüğü gibi web serverlardan app serverlara giden http trafiği Palo Alto firewalllara redirect edilerek Layer7 denetlemeden geçilirmiştir.

Artık redirect ettiğimiz sanal sunucular arası trafiklerimizi aşağıdaki şekilde panaroma ekranında görmemiz gerekiyor. Bu trafiklere panaroma da yazacağımız antivirus, anti-spyware, url filtering ve IPS gibi security profiller uygulayabiliriz.

Bu makalemde sizlere NSX distributed firewall özelliklerinden, ne işe yaradığından ve nasıl kullanıldığından ve palo alto entegrasyonu ile bize kazandırdıklarından bahsetmek istedim. Umarım faydalı olmuştur. Bir sonraki yazımda NSX – Intel Security (Mcafee) entegrasyonunu anlatmaya çalışacağım.