Mi sto addentrando ultimamente nell’analisi di strutture DMZ o in qualche modo esposte su internet, e al tempo stesso ospitate su vmware. Spesso i clienti non si accontentano (giustamente aggiungerei) della protezione offerta da port group e vlan di vsphere, e mi chiedono dettagli su vshield.
Vshield è la soluzione di sicurezza offerta da vmware e basata sulle API vmsafe. Così come le più note librerie vstorage permettono ai vari software di backup di interfacciarsi direttamente con lo storage vmware evitando i vecchi metodi di effettuare i backup, le librerie vmsafe permettono di connettersi direttamente via vmkernel alle comunicazioni di rete delle virtual machines, e manipolarle.
Parlo di vmsafe e non di vshield, in quanto quest’ultimo altro non è che un prodotto di sicurezza basato su queste librerie, utilizzate in realtà anche da altri produttori come ad esempio Trend Micro.
Una prima attività da fare con Vshield è tentare di districarsi tra i vari componenti offerti e capire i loro utilizzi.
vShield Zones (compreso nelle licenze Advanced o superiori) e vShield Edge (a pagamento, licenziato per VM protetta) offrono un packet filter firewall tra portgroups dello stesso vSwitch e tra differenti vSwitches. Zones e Edge sono fondamentalmente dei firewall in-line come Smoothwall, m0n0wall, ipcop, e vari sistemi commerciali.
Edge offre in più servizi dedicati all’uso con vCloud, avendo a disposizione vpn, load balancing, NAT, dhcp, e permettendo quindi di separare e gestire correttamente il networking di ogni cliente presente in vCloud.
vShield App (a pagamento, licenziato per VM protetta) usa VMsafe per implementare un firewall su ogni vNIC di ogni virtual machine. Questo firewall si interpone tra la vNIC e il Portgroup cui è attaccato. Qualunque appliance VMsafe (che sia VMware Vshield App, Altor Networks, Checkpoint, Reflex Systems, IBM VSS, o TrendMicro Deep Security tra quelle ad oggi esistenti) si appoggia su queste librerie offerte dal vmkernel, fornendo quindi packet filtering a livello vNIC. Solitamente bisogna installare una appliance su ogni nodo ESX e disabilitare DRS.
vShield Manager è la console centrale da cui si pilotano tutte le appliance vShield installate, è anch’essa una appliance OVA e non ha licenziamenti particolari (anche perchè senza altri moduli vShield da gestire non ha senso implementarla).
Tutti questi moduli gestiscono la sicurezza di rete. Vi è infine il prodotto vShield EndPoint (anche questo licenziato per VM), che è un piccolo driver da installare all’interno di ogni virtual machines, specialmente quelle windows. Questo modulo in sè non fa nulla, ma permette ad altri prodotti come Trend Micro Deep Security di interfacciarsi col sistema operativo evitando di dover eseguire un agent antivirus dentro ogni singola virtual machines.
Quando si progetta una rete protetta da vshield quindi, bisogna tenere ben presente che tipo di protezione si vuole avere, se si vuole avere una distribuzione organica delle VM sfruttando i port group e gli switch si privilegierà Edge, se invece si vuole avere la libertà di muovere la VM in varie zone del datacenter vsphere facendo si che le regole di firewalling la seguano, ci si dovrà orientare su App.
Bisogna decidere a che livello di granularità vogliamo definire le policy per le trust zones, sul vSwitch o sulla vNIC.