Guías técnicas

Integración Fortinet – NSX

Tradicionalmente, cuando todos los servidores eran equipos físicos, utilizábamos un Firewall físico para poder proteger los accesos de clientes y servidores. A día de hoy, los servidores están virtualizados y por lo tanto no es posible protegerlos entre sí mediante un firewall perimetral

Para poder proteger servidores virtualizados disponemos de distintas estrategias

Segmentación por VLAN

En este modelo, posicionamos una serie de servidores en distintas VLANs, por ejemplo, DMZ, LAN, etc. Cuando un servidor de una VLAN necesita comunicarse con otro servidor en otra VLAN, hacemos que el tráfico salga de los host de virtualización hacia un firewall externo y, posteriormente, tras su análisis y/o permisos devolvemos el tráfico a los mismos host de virtualización pero a una VLAN distinta

Mediante este modelo aseguramos el tráfico entre distintas VLAN pero no podemos proteger el tráfico entre servidores de la misma VLAN

Tampoco es eficaz hacer salir el tráfico por un interface físico y hacerlo volver por el mismo interface tras su análisis pues estamos consumiendo recursos de forma innecesaria

Microsegmentación

Esta arquitectura nos permite agrupar servidores de distinta forma a las VLAN, en su lugar, disponemos de unos grupos, llamados “Security Groups”, que contienen servidores idependientemente de su VLAN, una vez agrupados los servidores podremos desviar el tráfico a un firewall virtual

Este modelo simplifica la arquitectura de red permitiendo que todos los servidores pudieran estar incluso en la misma VLAN y agruparlos en función de sus necesidades de seguridad, por ejemplo, DomainControllers, ServidoresWEB, ServidoresBD, etc

Arquitectura NSX

Gracias a NSX, todos nuestros ESXi disfrutan de uno o varios switches distribuidos de tal forma que cuando creamos una VLAN, dicha VLAN está presente en todos los ESXi de forma simultánea y sincronizada

Cuando una máquina virtual se traslada de host, no hay que preocuparse por sus VLANs puesto que están sincronizadas

Una vez resuelta la capa de conectividad, creamos unas etiquetas que asignamos a nuestras máquinas virtuales, después, creamos los grupos de seguridad conteniendo las etiquetas convenientes

Por último creamos las políticas de redirección en las cuales se especifica si el tráfico originado/destinado por un grupo de seguridad debe ser inspeccionado por nuestro firewall

Arquitectura Fortinet SVM

Nuestra solución SVM permite instalar una única máquina virtual con las mismas funcionalidades que nuestros firewalls hardware. Esta máquina virtual tiene las siguientes funciones

  •        Interface gráfico de gestión idéntico a los appliances
  •        Desplegar una instancia (VMX) a cada ESXi existente en nuestro entorno NSX
  •        Sincronizar la configuración de todas las instancias
  •        Sincronizar los objetos SecurityGroups de NSX como objetos de tipo AddressGroup

Cada instancia (VMX) de nuestro firewall en cada ESXi nos permite crear VDOMs para la gestión Multi-Tenancy exactamente igual a nuestros firewalls hardware

Cada VDOM dispone de dos interfaces formando un Vritual Wire Pair, estos interfaces son

  •        Internal: De cara a las máquinas virtuales
  •        External: De cara al hypervisor

La solución puede ser gestionada con FortiManager para varios entornos NSX y almacenar sus logs en un FortiAnalyzer

Funcionamiento Integración

Cuando un tráfico sale de una máquina virtual atraviesa los siguientes pasos

  1.     NSX verifica el Security Group al que pertenece mediante las etiquetas de la VM
  2.     NSX comprueba si existe una política de redirección, en caso afirmativo, envía el paquete al interface internal del Fortigate VMX
  3.     El VMX verifica el security group del tráfico entrante y aplica la política de seguridad pertinente
  4.     VMX devuelve el tráfico ya securizado al hypervisor a través del interface external

Con esta integración, se permite poder inspeccionar el tráfico entre dos máquinas virtuales que estén en cualquier VLAN antes de ser entregado

Tags

Contenidos relacionados

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *