This post is also available in: Inglese

Reading Time: 5 minutes

Come scritto in un post precedente, VMware NSX (il prodotto di Network Virtualization derivato dall’acquisizione di alcuni anni fa di Nicira) è stato uno degli argomenti caldi dell’ultimo VMworld e non solo sono state annunciate nuove versioni del prodotto, ma molti interessanti scenari di utilizzo dello stesso.

Visto che il prodotto non è che sia proprio per tutti (sia per il costo che per il tipo di approccio) è chiaro che sono i casi d’uso a diventare molto più interessanti che non le feature del prodotto stesso: per quanto bello deve poi poter fornire un reale vantaggio!

Uno dei casi d’uso più interessanti riguarda la cosiddetta micro-segmentazione. In questo caso il vantaggio è talmente tangibile, da giustificare in molti casi (anche da solo) l’adozione di questo tipo di prodotto. Ovviamente se la sicurezza è uno dei valori primari che si sta cercando.

Il problema dell’approccio tradizionale alla sicurezza, ed in particolare alla tipica implementazione dei firewall, è che si concentrano ed attuano solo secondo principi di sicurezza perimetrale. Mentre invece le esigenze di sicurezza sono via via sempre più dettagliate e granulari e dovrebbero arrivare fino al singolo oggetto da proteggere.

Nel caso dei firewall sarebbe utile una protezione direttamente a livello di workload, ma questo è sicuramente complicato con un approccio tradizionale ed è maggiormente aggravato dalla virtualizzazione che sposta una parte di networking dal mondo fisico al mondo virtuale e quindi (spesso) fuori dalla portata dei firewall tradizionali.

In un datacenter tradizionale, si utilizza la segmentazione della rete in più sottoreti (o con VLAN o con reti fisiche separate) con diversi sistemi firewall (appliance fisici o a volte virtuali) per collegare tra loro questi segmenti e regolamentarne il traffico. Il problema tipico è il dimensionamento di questi appliance sia in termini di prestazioni, ma anche dal punto di vista della resilienza e continuità di servizio.

Permettono di regolamentare il traffico, rappresentano pochi punti di passaggio, possono facilmente essere gestiti, ma per contro non hanno modo di regolamentare il traffico all’interno dei segmenti e quindi si creano potenziali problemi di sicurezza per attacchi interni o per un mancato isolamento tra i sistemi.

Ogni sistema operativo moderno ha un personal firewall che potrebbe essere utilizzato per incrementare la sicurezza, o molte soluzioni di antivirus includo personal firewall. Ma si tratta sempre di soluzioni all’interno del workload. Con VMware NSX e la Network Virtualization è possibile applicare regole di firewall su ogni singolo workload, ma agendo all’esterno del workload stesso (direttamente a livello dell’hypervisor che lo controlla), in modo da implementare una micro segmentazione della rete.

NSX-MicroSegmentation

Ma perché le aziende potrebbero richiedere o volere la micro-segmentazione?

Non necessariamente per esigenze di compliance, dato che spesso è possibile soddisfarle anche con approcci tradizionali. In generale, qualunque azienda particolarmente attenta alla sicurezza (si pensi al settore bancario, ad esempio, ma potenzialmente anche ad un cloud provider) potrebbe utilizzare un approccio Zero Trust, che però con le soluzioni tradizioni è poco praticabile.

E l’aspetto interessante di NSX è che le regole di firewall sono “attaccate” alle varie VM, e quindi si spostano con le VM in caso di migrazione (potenzialmente anche di migrazione tra datacenter diversi).

Tutto rose e fiori?

Troppo bello per essere vero? In realtà vi sono almeno due aspetti da considerare: quello economico e quello implementativo.

Sull’aspetto economico, come molti avranno scoperto, NSX non è proprio una soluzione entry level (ma ricordiamoci che anche le prime versioni di VMware ESX erano particolarmente costose). Quindi il gioco deve valere la candela: vi deve essere un vantaggio tangibile anche dal punto di visto economico, o in semplificazione, o in diminuzione del rischio (come in questo caso) o in altro.

Sull’aspetto implementativo, vorrei per un attimo paragonare NSX a SELinux (un potente strumento di hardening per sistemi Linux): con questi strumenti è possibile implementare livelli di sicurezza impensabili con soluzioni tradizionali ed estramentente granulari e dettagliati. Ma quanti oggi usano veramente SELinux (soprattutto per tutti i servizi)? Benché sia incluso in praticamente tutte le distribuzioni l’uso è ancora limitato per mancanza di regole pre-definite su come usarlo per i propri servizi (o almeno i più comuni). Ovviamente chi ha competenze molto elevate può costruirsi le sue regole, ma per gli altri?

Ecco, per NSX (al momento) è così: la micro-segmentazione è un approccio potente, ma richiede molte regole di firewall (il vantaggio è che poi sono abbinabili direttamente alle VM e quindi valgono anche come documentazione), ma richiede qualcuno che configuri queste regole in modo corretto.

Per VM di proprietà magari è possibile individuarle facilmente, ma cosa fare per Virtual Appliance (VA) o VM di terze parti (consulenti, aziende esterne, tenant)?

Per le VA la soluzione banale (ma intelligente) sarebbe di includere queste regole di sicurezza direttamente nel file OVF o OVA: in questo modo durante il deploy possono essere applicate (magari chiedendo conferma, un po’ come avviene con le App di uno smartphone).

Per le VM di terzi il problema è più complesso: non sempre queste persone potrebbero essere in grado di specificare le regole corrette. In parte potrà aiutare la nuova versione 6.1.1 di vCAC (prevista per il Q3 2014) che aggiungerà funzioni di creazione dinamica dei security group per NSX. Ma potrebbe anche aiutare una qualche modalità di “apprendimento” delle regole di firewall, con NSX che si limita a far passare, creare le regole e poi chiedere conferma all’amministratore.

Share

Virtualization, Cloud and Storage Architect. Tech Field delegate. VMUG IT Co-Founder and board member. VMware VMTN Moderator and vExpert 2010-24. Dell TechCenter Rockstar 2014-15. Microsoft MVP 2014-16. Veeam Vanguard 2015-23. Nutanix NTC 2014-20. Several certifications including: VCDX-DCV, VCP-DCV/DT/Cloud, VCAP-DCA/DCD/CIA/CID/DTA/DTD, MCSA, MCSE, MCITP, CCA, NPP.