Nutanix Flow Network Security

Flow Network Security is het netwerk virtualisatie product van Nutanix. Met Flow Network Security kan software-defined virtuele netwerkbeveiliging uitgerold worden – zoals microsegmentatie – zonder de complexiteit van het installeren en beheren van aanvullende producten, die vaak weer hun eigen beheer en onderhoud nodig hebben.
Nutanix Flow is geïntegreerd in de hypervisorlaag van het Nutanix platform en wordt beheerd vanuit de centrale management interface: Prism Central.

Beheer

Door het beheer van Flow te integreren in de centrale beheerinterface Prism Central kiest Nutanix voor de ‘single pane of glass’-aanpak. Dat betekent één interface van waaruit vrijwel alle Nutanix services kunnen worden beheerd.

Vanuit Prism Central krijg je inzicht in de verkeersstromen op het virtuele netwerk, kan je (micro)segmentatie policies aanmaken en beheren, en kan je door middel van service chains virtuele firewalls van bijvoorbeeld Fortinet of Palo Alto integreren in Flow.

Meer weten?

bedrijfsfilm-flexvirtual2

Wil je een compleet overzicht van de mogelijkheden en onderzoeken wat dit voor jouw organisatie kan betekenen? Wij laten graag in een open en eerlijke sessie zien hoe Nutanix Flow Network Security de veiligheid van jouw netwerk verder kan vergroten. Neem contact met ons op. >

Picture2

Dynamisch policy model

Door middel van de ‘Identity Firewall’ in Flow kan je end-user computing policies toepassen aan de hand van groep- en rol-informatie uit directory services zoals active directory. Op deze manier kan je een dynamisch policy model introduceren. Om machines toe te kennen aan policies hoeven deze niet expliciet toegevoegd te worden aan deze policies. Je kan voorwaarden stellen, zoals het hebben van een categorie: heeft een machine een bepaalde categorie dan is policy X van toepassing. Dit is een makkelijke en snelle manier om policies toe te passen.

Microsegmentatie

Bij microsegmentatie wordt het netwerk in verschillende kleine (lees: micro) segmenten ingedeeld. Om dit duidelijk te maken bekijk de vereenvoudigde weergave van een netwerk.

De grijze stippellijn is de grens tussen het interne netwerk en het internet. Binnen de grenzen zitten alle apparaten met een netwerkverbinding verbonden, waarover doorgaans vrij met elkaar gecommuniceerd kan worden. Hier en daar zal afscheiding van subnetten plaats vinden.

In een netwerk kunnen er twee soorten verkeer onderscheiden worden: noord-zuid en oost-west. Het noord-zuid verkeer is het verkeer dat vanuit het netwerk naar het internet gaat en andersom. Dat verkeer wordt gereguleerd door een firewall op de grens van het netwerk.

Oost-west verkeer betreft het onderlinge verkeer tussen de apparaten in het netwerk. Simpeler gezegd: al het netwerkverkeer binnen de randen van het netwerk. Bij microsegmentatie wordt het interne netwerk in meerdere kleine segmenten ingedeeld, in de tekening hiernaast zou dat als volgt weergeven kunnen worden.

De apparaten in het netwerk hebben nu ook randen om zich heen, die het segment aangeven. Deze randen zijn te vergelijken met die van de grens van het netwerk en kan je tot op de machine nauwkeurig instellen.
Maar je kan nog verder gaan: binnen segmenten met meerdere machines kan je de machines van elkaar afschermen. Zo zou het kunnen dat machines wel tot hetzelfde segment behoren, maar toch niet of beperkt bij elkaar kunnen komen.

Picture5

Waarom microsegmenteren?

Het ‘oost-west’ verkeer in een netwerk wordt vaak niet of weinig in de gaten gehouden, en nog minder gereguleerd. De mogelijke gevolgen daarvan heeft het verleden ons reeds geleerd. Te denken aan ransomwares als WannaCry, Petya, NotPetya – noem maar op.

Deze virussen maakten heel handig gebruik van het gebrek aan interne maatregelen. Het begint met het versturen van een mailtje met een virus er in. Wanneer deze wordt geopend installeert het virus zich op de achtergrond en verspreidt het zich verder over het netwerk. Dat was mogelijk dankzij het gebrek aan beveiligingsmechanismen op het interne netwerkverkeer.

Deze maatregelen tegen de laterale verspreiding van ransomware of andere kwaadwillende bewegingen kunnen we uitleggen aan de hand van de coronamaatregelen.

nieuws-ransomware
corona

Van een groep mensen raakt één persoon besmet met het coronavirus. Deze steekt vervolgens de overige personen van de groep aan, wat mogelijk is doordat er geen regels zijn die dit kunnen voorkomen. Dit is vergelijkbaar met de verspreiding van ransomware in een netwerk.

Deze groep mensen komt weer met andere mensen in aanraking en steken ook die één voor één aan, tótdat we mensen gaan scheiden van elkaar. We stellen regels op en plaatsen ze in quarantaine of gaan in lockdown. Hierdoor neemt de dreiging van besmetting met corona aanzienlijk af.

Dit is te vergelijken met de VM’s in een netwerk. We scheiden ze van elkaar, stellen regels voor ze in en kunnen ze in quarantaine gaan plaatsen. We gaan dus microsegmenteren. Machine A mag bijvoorbeeld nog wel handen schudden met machine B, maar niet met machine C. Hierdoor kunnen ransomware of andere kwaadwillenden zich moeilijker verspreiden door het netwerk.

Zero trust

Microsegmentatie sluit naadloos aan bij het Zero Trust concept: “never trust, always verify”. Met andere woorden: vertrouw niets, totdat het geverifieerd is. Dit geldt zowel binnen als buiten de grenzen van het netwerk.

Voor bronnen buiten het netwerk word dit vaak al toegepast. IDS/IPS-systemen, next-gen firewalls, spamfilters etc. worden ingezet om alles wat van buiten komt te controleren.

Binnen het netwerk schort het hier echter vaak nog aan, maar met microsegmentatie op basis van Nutanix Flow hoeft dat niet meer. Firewalling tot op de machine nauwkeurig, dynamisch en zelfs in combinatie met virtuele firewalls zoals die van Fortinet.

benjamin-lehman-ZYnXZ4pk_Ns-unsplash

Service chaining

Met zogeheten service insertion, of service chaining, kunnen virtuele netwerkfunctionaliteiten van third-party software gebruikt worden op Nutanix Flow. Hierbij kan het netwerkverkeer door een applicatie heen geleid worden, of ‘afgetapt’ worden, zonder dat de bron en ontvanger van het netwerkverkeer hier weet van hebben. Respectievelijk ook wel ‘in-line’ en ‘intap-mode’ genoemd. Dit is ideaal wanneer je het netwerkverkeer door bijvoorbeeld een IDS/IPS wil laten controleren.

Meer weten?

Wil je een compleet overzicht van de mogelijkheden en onderzoeken wat dit voor jouw organisatie kan betekenen? Wij laten graag in een open en eerlijke sessie zien hoe Nutanix Flow Network Security de veiligheid van jouw netwerk verder kan vergroten. Neem contact met ons op. >

Marcel Koop, accountmanager bij FlexVirtual

Zullen we kennismaken?

Wil je meer weten over de slimme oplossingen waarmee we het leven van IT-professionals zoals jij een stuk gemakkelijker en leuker kunnen maken?

Neem dan contact op met onze accountmanager Marcel Koops via hallo@flexvirtual.nl of tel. 088-244 2440.

Scroll naar boven