FortiGateGuías técnicas

Ventajas de Fortigate VMX

En las infraestructuras de red tradicionales, protegemos el tráfico entre distintas VLANs a través de un Firewall físico, esta arquitectura también es válida para entornos virtuales pudiendo proteger el tráfico en sentido “norte-sur”, es decir, entre distintas VLANs. Qué sucede si queremos proteger el tráfico dentro de la propia infraestructura virtual?

Protección “Norte-Sur”

Aunque nos centramos en las infraestructuras virtuales de VMware por ser ampliamente aceptadas por el mercado, esto también sería aplicable a otras arquitecturas de distintos fabricantes e incluso a hyperconvergencia.

En el siguiente gráfico, representamos la protección “norte-sur” con sus dos posibilidades.

Cuando un servidor físico interviene en la comunicación como origen o destino, el único camino de comunicación que existe es a través del Firewall, por lo tanto, podemos aplicar cualquier perfil de seguridad (IPS, AV, etc) a esta comunicación en nuestro FortiGate.

Si la comunicación existente es entre dos máquinas virtuales de distinta VLAN, entonces, hacemos pasar el tráfico 2 veces (ida y vuelta) por el firewall a través del enlace 802.1q para poder aplicar perfiles de seguridad, por lo tanto, esta arquitectura no es optima pues duplicamos el tráfico de nuestro enlace.

Protección “Este-Oeste”

Llamamos tráfico “Este-Oeste” al tráfico existente entre dos máquinas pertenecientes a la misma VLAN.

Con la arquitectura de Firewalls físicos, es posible proteger el tráfico “Este-Oeste” configurando las “private-vlan” en los switches y sólo para máquinas físicas ya que esta funcionalidad (en estos escenarios) no está disponible.

Protección en entornos virtuales

Como hemos podido ver en los puntos anteriores, los Firewalls físicos están pensados para proteger el tráfico en conexiones físicas pero para entornos virtuales no es eficiente para tráfico “norte-sur” y, en principio, no es posible para tráfico “este-oeste”.

Con el desarrollo de la tecnología NSX de VMware, se ha abierto la posibilidad de controlar el tráfico “este-oeste” en nuestros servidores y de una posible eficiencia en el tráfico “Norte-Sur”.

NSX permite asignar unas etiquetas a nuestras máquinas virtuales y hacer grupos en base a dichas etiquetas, una vez que ya tenemos clasificados nuestros grupos de máquinas (independientemente de la VLAN a la que pertenezcan), NSX nos permite enviar el tráfico a nuestro firewall VMX.

En esta implementación, cuando un grupo de máquinas quiere comunicarse con un grupo distinto, ya sea virtual o física, se envía el tráfico a nuestro Firewall Virtual VMX para su inspección a nivel 7 (IPS, AV, etc) y únicamente el tráfico permitido será cursado hacia el mundo físico, o devuelto al entorno virtual sin pasar por el mundo físico.

Con esta topología se optimiza el tráfico entre máquinas virtuales ya que no se requiere duplicarlo por un firewall físico como en el punto anterior, el tráfico queda confinado dentro del entorno virtual.

Cuando una máquina virtual quiere comunicarse con algún servicio a través del mundo físico, también se optimiza la comunicación pues el filtrado se hace dentro del entorno virtual antes de salir hacia el mundo físico.

Además, esta topología nos permite proteger tanto el tráfico “norte-sur” (entre VLANs) como “este-oeste” (entre grupos de etiquetas).

Integración VMX con NSX

La integración se realiza mediante una máquina virtual llamada “Service Manager”, esta máquina tiene las mismas posibilidades que un firewall físico y el mismo entorno gráfico, la diferencia está en que se encarga de desplegar una pequeña (50 MB) máquina virtual dentro de cada uno de los ESXi.

Estos Firewalls locales a cada ESXi permiten realizar el filtrado dentro del entorno virtual independientemente de en qué ESXi esté la máquina origen o destino a proteger.

Como puede verse en el siguiente gráfico, el Service Manager sincroniza los objetos existentes dentro del NSX (Grupo de etiquetas) para poder utilizarlos en las políticas.

Gestión centralizada

Este producto es “fabric-ready” con las implicaciones positivas que ello implica como puede ser la gestión centralizada a través de FortiManager, la gestión centralizada de logs con FortiAnalyzer, los conectores a nubes, etc.

Tags

Contenidos relacionados

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *