|
|||
Advanced Security Service ใน OpenStack Cloud ฝ่าย IT ของหลายๆ องค์กร ตื่นตัวกับการนำระบบ Cloud Computing มาใช้เพิ่มประสิทธิภาพการทำงานและเพิ่มความรวดเร็วในการทำธุรกิจ OpenStack เองก็ได้รับความสนใจเป็นอย่างมากในฐานะเครื่องมือยอดนิยมสำหรับสร้างระบบ Cloud Data Center แบบ On-premise แต่การนำ OpenStack Cloud มาใช้งานบน Network ขององค์กร นับว่าเป็นเรื่องท้าทายของระบบรักษาความปลอดภัย อีกทั้งต้องรองรับ แยกผู้เช่าใช้งานออกจากกัน รวมไปถึงการอนุมัติ Workload ในระดับ Trust Level ที่หลากหลาย ดังนั้น OpenStack ที่ช่วยให้ผู้ใช้สามารถขนย้ายหรือนำออก Workload Instance ได้อย่างรวดเร็วทันใจต้องมีระบบรักษาความปลอดภัยที่ทำงานได้รวดเร็วและต่อเนื่องเพื่อรองรับปริมาณของ Workload Instance ที่ไม่หยุดนิ่ง ระบบรักษาความปลอดภัยของ OpenStack ประกอบด้วยการรักษาความปลอดภัยขั้นแรกสำหรับ Traffic ระหว่าง Virtual Machine มี Plug in ของระบบ FWaaS (Firewall-as-a-Service) ให้ผู้ใช้งานสามารถตั้งค่า Rule และ Policy ใน Firewall หรือ Intrusion Prevention Systems (IPS) ได้ แต่ก็มีข้อจำกัดคือ กลุ่มการรักษาความปลอดภัยนี้ทำงานในระดับ Instance Level โดย FWaaS ทำหน้าที่ดูแล Virtual Router ภายในแต่ละ Project และเมื่อมีการตั้งค่าจะถูกนำไปใช้กับทุก Virtual Router รวมไปถึง Subnet ทั้งหมด ทำให้ขาดความยืดหยุ่นและไม่สามารถ Deploy ระบบ Enterprise-critical Production Workload ได้ เพื่อแก้ปัญหานี้ผู้ใช้บริการต้องพึ่ง Network Virtualization Platform หรือ SDN ในการทำ L2-L4 stateful Firewall เพื่อแบ่ง Segment ภายใน Virtual Network แต่ระบบ Security นี้เป็นแบบ Port-bound ที่ขาดความสามารถในการควบคุมการเข้าถึง Application ทำให้อาจจะไม่สามารถป้องกันภัยคุกคามสมัยใหม่ได้ Mirantis และ Palo Alto Network ได้ร่วมกันพัฒนา VM-Series Virtual Firewall ของ Palo Alto ขึ้นมา ในรูปแบบ Virtual Network Function (VNF) บน Mirantis OpenStack แม้ว่า VNF จะเกี่ยวข้องกับพวกโทรคมนาคม (Telcos) หรือผู้ให้บริการด้านการสื่อสารอื่นๆ (Communication Service Providers / CSPs) ซึ่งไม่ได้มีข้อจำกัดเพียงเท่านี้ รูปแบบการทำงานร่วมกันระหว่าง OpenStack และ VNF นั้น เหมาะสำหรับรักษาความปลอดภัยให้กับ Traffic ระหว่าง Application มักจะเป็นภาระของ Traffic ขนาดใหญ่ใน Web-Scale ที่รันตาม Cloud และ Application ที่มีความยืดหยุ่นของการ Scale สูง วิธีการนี้ถูกออกแบบเพื่อป้องกันให้ Application และ Data จากการโจมตีทางไซเบอร์ระดับสูงหลากหลายรูปแบบโดย
VM-Series Firewall บน Mirantis OpenStack ระบบนี้ Fuel เป็น Deployment และ Management Tool ตัวหลัก มี Cluster ที่ประกอบด้วย OpenStack Controller, OpenStack Compute Node ที่รันซอฟต์แวร์ Contrail SDN Controller, OpenStack Compute Node ที่รัน Palo Alto VM-Series Virtual Firewall, และอีกตัวที่รัน Instance ซึ่ง Host พวก Application ของ Palo Alto VM-Series Firewall
(ภาพแสดง Mirantis OpenStack ที่ Deploy กับ VM-Series Firewall) เพิ่มระบบ Security ระดับสูง ฟังก์ชั่นเด่นของระบบร่วมนี้ คือ การ Map ระบบ Security Policy ของ VM อย่างชาญฉลาด และจัดการควบคุม Traffic ของ Workload จาก VM ไปส่วนที่มีระบบรักษาความปลอดภัยระดับสูงได้อย่างมีประสิทธิภาพ Traffic Flow จะถูกควบคุมและประมวลผลโดย Palo Alto VM Series Firewall ซึ่งใช้ 1 จาก 3 บริการเสริม (Service Insertion หรือ Service Chaining Mode) ที่รองรับโดย Contrail ได้แก่ :
จากแผนภาพด้านบน คือ การทำงานร่วมกันของระบบ โดย Service Intersection จะคุม Traffic ของข้อมูลโดยอาศัย In-Network Mode ดังนี้ :
(ภาพแสดง Policy ใน Horizon) 3. PAN VM-Series จะวิเคราะห์ Traffic ทั้งหมดผ่านเส้นทางเดียว เพื่อระบุและควบคุม Application มีการจำกัดการ เข้าถึง (Limit Access) ขึ้นอยู่กับผู้ใช้งาน ทั้งยังป้องกัน Known Threat และ Unknown Threat นอกจากนี้ Mission-critical Application และ Data ที่สำคัญมากๆ สามารถแยกไว้ใน Segment ต่างหากได้ โดยตั้งค่า Zero Trust (ตรวจสอบไฟล์เสมอ) ซึ่งเป็นรูปแบบการรักษาความปลอดภัยแบบใหม่ที่ยกระดับขึ้นมาอีกขั้น อย่างไรก็ตาม ในตัวอย่างข้างต้นนั้น VM-Series Firewall ACL ได้ทำการอนุญาต Traffic ที่เข้ามาแล้วTraffic นั้นจึงถูกส่งต่อไปยัง Instance B ได้ ส่วน Traffic ที่กลับจาก Host B ก็จะผ่านขั้นตอนคล้ายๆ กันก่อนไปถึง Host A
(ภาพแสดง ACL สำหรับ Palo Alto Network VM-Series) สรุป Palo Alto Network VM-Series Firewall Application ทำงานบน Mirantis OpenStack วิธีแก้ปัญหาที่ทำให้ IT ปลดล็อคความสามารถของ OpenStack ออกมาได้มากยิ่งขึ้น ไม่ว่าจะเป็นประสิทธิภาพความรวดเร็ว, ความยืดหยุ่น, Utilization, และระบบการปฏิบัติการ โดยหมดกังวลเรื่องความปลอดภัย รูปแบบการแก้ปัญหานี้เกิดขึ้นหลัง Mirantis NFV Initiative ที่มีโครงสร้างอิงกับ NFV ช่วยให้ Developer สามารถ Deploy NFV ได้ง่าย บน OpenStack และโปรแกรมตรวจสอบของ OpenStack สำหรับ Partner ใน Virtual Network Functions (VNFs) อีกไม่นานจะมีการนำ VNFs, Tools, Infrastructure Component และ Application อื่นๆ เข้ามาเสริมใน Platform นี้ด้วย
|
สมาชิกหมายเลข 3872753
Rss Feed ผู้ติดตามบล็อก : 1 คน [?] All Blog
Link |
||
Pantip.com | PantipMarket.com | Pantown.com | © 2004 BlogGang.com allrights reserved. |