Nutanix Flow
Flow is het netwerk virtualisatie product van Nutanix. Met Flow kan software-defined virtuele netwerkbeveiliging uitgerold worden – zoals microsegmentatie – zonder de complexiteit van het installeren en beheren van aanvullende producten, welke vaak weer hun eigen beheer en onderhoud nodig hebben.
Nutanix Flow is geïntegreerd in de hypervisorlaag van het Nutanix platform en kan worden beheerd vanuit de centrale management interface: Prism Central. De afbeelding hiernaast laat in een versimpelde weergave de architectuur zien.
Beheer
Door het beheer van Flow te integreren in de centrale beheerinterface Prism Central kiest Nutanix voor de ‘single pane of glass’-aanpak. Dat betekent één interface van waaruit vrijwel alle Nutanix services kunnen worden beheerd.
Vanuit Prism Central krijg je inzicht in de verkeersstromen op het virtuele netwerk, kan je (micro)segmentatie policies aanmaken en beheren, en kan je door middel van service chains virtuele firewalls van bijvoorbeeld Fortinet of Palo Alto integreren in Flow.
Dynamisch
Door middel van de ‘Identity Firewall’ in Flow kan je end-user computing policies toepassen aan de hand van groep- en rol-informatie uit directory services zoals active directory. Op deze manier kan je een dynamisch policy model introduceren. Om machines toe te kennen aan policies hoeven deze niet expliciet toegevoegd te worden aan deze policies. Je kan voorwaarden stellen, zoals het hebben van een categorie: heeft een machine een bepaalde categorie dan is policy X van toepassing. Dit is een makkelijke en snelle manier om policies toe te passen.
Nutanix Security Central
Een goede uitbreiding op Flow is Nutanix Security Central. Deze SaaS-oplossing helpt je inzicht te verkrijgen de beveiligingscompliance over jouw (hybride) multi-cloud infrastructuur.
Out-of-the-box komt Security Central met meer dan 800 beveiligingscontroles waarmee je kan detecteren, analyseren en over rapporteren. Security Central monitort continu voor events die gegenereerd worden door activiteiten op de cloud-omgeving en kan geautomatiseerd beveiligingsaudits uitvoeren op basis van de aard van de event. Zo kan Security Central in bijna real-time beveiligingsproblemen identificeren én mogelijk verhelpen.
Microsegmentatie
Bij microsegmentatie wordt het netwerk in verschillende kleine (lees: micro) segmenten ingedeeld. Om dit duidelijk te maken onderstaande vereenvoudigde weergave van een netwerk.
De grijze stippellijn is de grens tussen het interne netwerk en het internet. Binnen de grenzen zitten alle apparaten met een netwerkverbinding verbonden, waarover doorgaans vrij met elkaar gecommuniceerd kan worden. Hier en daar zal afscheiding van subnetten plaats vinden.
In een netwerk kunnen er twee soorten verkeer onderscheiden worden: noord-zuid en oost-west.
Het noord-zuid verkeer is het verkeer dat vanuit het netwerk naar het internet gaat en andersom. Dat verkeer wordt gereguleerd door een firewall op de grens van het netwerk.
Oost-west verkeer betreft het onderlinge verkeer tussen de apparaten in het netwerk. Simpeler gezegd: al het netwerkverkeer binnen de randen van het netwerk.
Bij microsegmentatie wordt het interne netwerk in meerdere kleine segmenten ingedeeld, in de tekening hiernaast zou dat als volgt weergeven kunnen worden.
De apparaten in het netwerk hebben nu ook randen om zich heen, welke het segment aangeven. Deze randen zijn te vergelijken met die van de grens van het netwerk en kan je tot op de machine nauwkeurig instellen.
Maar je kan nog verder gaan: binnen segmenten met meerdere machines kan je de machines van elkaar afschermen. Zo zou het kunnen dat machines wel tot hetzelfde segment behoren, maar toch niet of beperkt bij elkaar kunnen komen.
Waarom microsegmenteren
Het ‘oost-west’ verkeer in een netwerk wordt vaak niet of weinig in de gaten gehouden, en nog minder gereguleerd. De mogelijke gevolgen daarvan heeft het verleden ons reeds geleerd. Te denken aan ransomwares als WannaCry, Petya, NotPetya – noem maar op.
Deze virussen maakten heel handig gebruik van het gebrek aan interne maatregelen. Het begint met het versturen van een mailtje met een virus er in. Wanneer deze wordt geopend installeert het virus zich op de achtergrond en verspreidt het zich verder over het netwerk. Dat was mogelijk dankzij het gebrek aan beveiligingsmechanismen op het interne netwerkverkeer.
Deze maatregelen tegen de laterale verspreiding van ransomware of andere kwaadwillende bewegingen kunnen we uitleggen aan de hand van de coronamaatregelen.
Van een groep mensen raakt één persoon besmet met het coronavirus. Deze steekt vervolgens de overige personen van de groep aan, wat mogelijk is doordat er geen regels zijn die dit kunnen voorkomen. Dit is vergelijkbaar met de verspreiding van ransomware in een netwerk.
Deze groep mensen komt weer met andere mensen in aanraking en steken ook die één voor één aan, tótdat we mensen gaan scheiden van elkaar. We stellen regels op en plaatsen ze in quarantaine of gaan in lockdown. Hierdoor neemt de dreiging van besmetting met corona aanzienlijk af.
Dit is te vergelijken met de VM’s in een netwerk. We scheiden ze van elkaar, stellen regels voor ze in en kunnen ze in quarantaine gaan plaatsen. We gaan dus microsegmenteren. Machine A mag bijvoorbeeld nog wel handen schudden met machine B, maar niet met machine C. Hierdoor kunnen ransomware of andere kwaadwillenden zich moeilijker verspreiden door het netwerk.
Zero Trust
Microsegmentatie sluit naadloos aan bij het Zero Trust concept: “never trust, always verify”. Met andere woorden: vertrouw niets, totdat het geverifieerd is. Dit geldt zowel binnen als buiten de grenzen van het netwerk.
Voor bronnen buiten het netwerk word dit vaak al toegepast. IDS/IPS-systemen, next-gen firewalls, spamfilters etc. worden ingezet om alles wat van buiten komt te controleren.
Binnen het netwerk schort het hier echter vaak nog aan, maar met microsegmentatie op basis van Nutanix Flow hoeft dat niet meer. Firewalling tot op de machine nauwkeurig, dynamisch en zelfs in combinatie met virtuele firewalls zoals die van Fortinet.
Service chaining
Met zogeheten service insertion, of service chaining, kunnen virtuele netwerkfunctionaliteiten van third-party software gebruikt worden op Nutanix Flow. Hierbij kan het netwerkverkeer door een applicatie heen geleid worden, of ‘afgetapt’ worden, zonder dat de bron en ontvanger van het netwerkverkeer hier weet van hebben. Respectievelijk ook wel ‘in-line’ en ‘intap-mode’ genoemd. Dit is ideaal wanneer je het netwerkverkeer door bijvoorbeeld een IDS/IPS wil laten controleren.
Waar en hoe te beginnen
Wanneer je microsegmentatie, of Zero Trust in het algemeen, gaat implementeren is het voornemen vaak om te beginnen met de belangrijkste assets. De ‘kroonjuwelen’ zogezegd. Dit is echter niét best practice.
Het beste is om te beginnen met kleine, minder belangrijke systemen, en zo toe te werken naar uiteindelijk de ‘kroonjuwelen’. Op deze manier wordt de impact van de transitie duidelijk en kan je vooraf evalueren of Zero Trust/microsegmentatie, op de manier zoals deze wordt geïmplementeerd, geschikt is om verder uit te rollen binnen de organisatie.
Begin je met de belangrijkste assets, dan kan het moeilijker zijn om terug te gaan naar de oude situatie of heb je meer impact gehad van problemen die kunnen ontstaan bij het implementeren van een nieuwe werkwijze.Een ander goed startpunt voor de invoering van microsegmentatie kan een ontwikkel- of testomgeving zijn. Vaak is het niet nodig dat de machines uit de verschillende straten met elkaar kunnen communiceren. Je wilt immers voorkomen dat je ontwikkelomgeving gegevens van de productie raadpleegt of erger nog wijzigt en vice versa. Het scheiden van de ontwikkelstraten is dan ook een makkelijke en effectieve start met microsegmentatie en is makkelijk te bewerkstelligen door hier Nutanix Flow in te zetten.
Meer weten over Nutanix Flow en microsegmentatie?
Wil je een compleet overzicht van de mogelijkheden en onderzoeken wat dit voor jouw organisatie kan betekenen? Neem dan contact met ons op. Wij laten graag in een open en eerlijke sessie zien hoe Nutanix Flow de veiligheid van jouw netwerk verder kan vergroten.