Cómo segmentar el centro de datos.La forma en que segmente su centro de datos depende de los requisitos de su negocio y de la arquitectura de red de su centro de datos, incluida su solución SDN, que puede dictar el método de segmentación. Por ejemplo, las interfaces vwire controlan la conectividad del firewall en un host NSX.
Debido a que las interfaces vwire no enrutan ni cambian el tráfico en un host NSX, deben pertenecer a la misma zona, por lo que todos los recursos para un inquilino particular (departamento, cliente o nivel de aplicación) residen en una zona y el firewall utiliza dinámicos grupos de direcciones para segmentar el tráfico de aplicaciones dentro de esa zona. Cada inquilino tiene una zona separada con sus propias interfaces vwire. Para otras soluciones SDN, las instancias separadas de firewall virtual pueden segmentar el tráfico.
Los firewalls de la próxima generación proporcionan herramientas flexibles para segmentar el tráfico:
Zonas—El tráfico que cruza zonas atraviesa el firewall para su inspección. Toda la comunicación permitida del centro de datos debe atravesar un firewall y someterse a una inspección de amenazas completa (antivirus, antispyware, protección contra vulnerabilidades, bloqueo de archivos, análisis WildFire y filtrado de URL para el tráfico del centro de datos que sale de la empresa y para las aplicaciones alojadas por los clientes inquilinos). Por defecto, el firewall niega todo el tráfico entre zonas (tráfico intrazona).
Debe escribir reglas de política de seguridad específicas para permitir que el tráfico pase entre zonas, de modo que solo el tráfico que permita explícitamente pueda moverse de una zona a otra. La forma en que use las zonas para segmentar su centro de datos depende de los activos que necesite separar de otros activos. Por ejemplo, una arquitectura común incluye zonas separadas para servidores de desarrollo y servidores de producción.
Considere el uso de perfiles de protección de zona para proteger zonas contra inundaciones, actividades de reconocimiento (escaneos de puertos y barridos de host), ataques basados en paquetes de Capa 3 y ataques basados en paquetes de protocolo no IP (Capa 2).
Grupos de direcciones dinámicas.Para este propósito, los grupos de direcciones dinámicas son listas de direcciones IP que el firewall importa y usa en la política de seguridad para definir grupos de servidores dinámicamente en lugar de estáticamente. Agregar y eliminar direcciones IP de un grupo de direcciones dinámicas actualiza la política de seguridad automáticamente, sin una acción de confirmación en el firewall. Dentro de una zona, el uso de grupos de direcciones dinámicas en las reglas de la lista blanca de políticas de seguridad permite la interacción de servidor a servidor para aplicaciones y servicios específicos. Por ejemplo, en NSX, use grupos de direcciones dinámicas para segmentar los niveles del servidor dentro de un nivel de aplicación.
ID de usuario—Habilite la ID de usuario para crear reglas de la lista blanca de aplicaciones basadas en grupos de usuarios para segmentar a los usuarios de las aplicaciones y grupos de servidores.
Cuando diseñe el plan de segmentación de su centro de datos, tenga en cuenta las siguientes pautas generales:
Cómo evaluar su centro de datos , de modo que pueda segmentarlo por etapas y proteger primero los activos más valiosos y sensibles.
Use una solución SDN (como NSX, ACI, OpenStack) dentro del centro de datos para proporcionar una infraestructura virtualizada, ágil y escalable. SDN es la mejor manera de centralizar la administración de la red del centro de datos, maximizar la utilización de los recursos informáticos, escalar y automatizar la red, y controlar y asegurar el tráfico en una red virtualizada.
Aunque puede crear una arquitectura que no sea SDN que esencialmente reproduzca una arquitectura SDN, es difícil y requiere mucho tiempo, es propensa a errores que provocan interrupciones y no se considera una práctica recomendada. Las soluciones SDN maximizan el uso de los recursos informáticos subyacentes del centro de datos sin sacrificar la seguridad.
Use firewalls físicos de próxima generación para segmentar y proteger servidores heredados no virtualizados y use firewalls VM-Series para segmentar y asegurar la red del centro de datos virtual.
Agrupe los activos que realizan funciones similares y requieren el mismo nivel de seguridad en el mismo segmento del centro de datos. Por ejemplo, coloque los servidores que se conectan a Internet en el mismo segmento.
Base su plan de segmentación en múltiples criterios para desarrollar el plan correcto para asegurar su negocio.
Consultar también:Crear una estrategia de segmentación del centro de datos; Mejores prácticas para la gestión del cambio en el centro de datos; Elementos críticos de un centro de datos eficiente
This post is also available in:
Español
