Advanced Security Service

ด้าน IT ของหลายๆองค์กร กำลังเตรียมรองรับกับการนำระบบ Cloud Computing มาใช้ ทำให้มีประสิทธิภาพเพิ่มมากขึ้น รวมทั้งเพิ่มความรวดเร็วในการทำธุรกิจ ซึ่ง OpenStack เองก็ได้รับความนิยมเป็นอย่างมากในฐานะผู้ช่วย สำหรับสร้างระบบ Cloud Data Center แบบ On-premise

แต่การนำ OpenStack Cloud มาใช้งานบน Network ขององค์กร นับว่าเป็นเรื่องท้าทายของระบบรักษาความปลอดภัย อีกทั้งต้องรองรับ แยกผู้เช่าใช้งานออกจากกัน รวมไปถึงการอนุมัติ Workload ในระดับ Trust Level ที่หลากหลาย ดังนั้น OpenStack ที่ช่วยให้ผู้ใช้สามารถขนย้ายหรือนำออก Workload Instance ได้อย่างรวดเร็วทันใจต้องมีระบบรักษาความปลอดภัยที่ทำงานได้รวดเร็ว และต่อเนื่องเพื่อรองรับปริมาณของ Workload Instance ที่ไม่หยุดนิ่ง

ระบบรักษาความปลอดภัยของ OpenStack ประกอบด้วยการรักษาความปลอดภัยขั้นแรกสำหรับ Traffic ระหว่าง Virtual Machine มี Plug in ของระบบ FWaaS (Firewall-as-a-Service) ให้ผู้ใช้งานสามารถตั้งค่า Rule และ Policy ใน Firewall หรือ Intrusion Prevention Systems (IPS) ได้ แต่ก็มีข้อจำกัดคือ กลุ่มการรักษาความปลอดภัยนี้ทำงานในระดับ Instance Level โดย FWaaS ทำหน้าที่ดูแล Virtual Router ภายในแต่ละ Project และเมื่อมีการตั้งค่าจะถูกนำไปใช้กับทุก Virtual Router รวมไปถึง Subnet ทั้งหมด ทำให้ขาดความยืดหยุ่นและไม่สามารถ Deploy ระบบ Enterprise-critical Production Workload ได้ เพื่อแก้ปัญหานี้ผู้ใช้บริการต้องพึ่ง Network Virtualization Platform หรือ SDN ในการทำ L2-L4 stateful Firewall เพื่อแบ่ง Segment ภายใน Virtual Network แต่ระบบ Security นี้เป็นแบบ Port-bound ที่ขาดความสามารถในการควบคุมการเข้าถึง Application ทำให้อาจจะไม่สามารถป้องกันภัยคุกคามสมัยใหม่ได้

Mirantis และ Palo Alto Network ได้ร่วมกันพัฒนา VM-Series Virtual Firewall ของ Palo Alto ขึ้นมา ในรูปแบบ Virtual Network Function (VNF) บน Mirantis OpenStack แม้ว่า VNF จะเกี่ยวข้องกับพวกโทรคมนาคม (Telcos) หรือผู้ให้บริการด้านการสื่อสารอื่นๆ (Communication Service Providers / CSPs) ซึ่งไม่ได้มีข้อจำกัดเพียงเท่านี้ รูปแบบการทำงานร่วมกันระหว่าง OpenStack และ VNF นั้น เหมาะสำหรับรักษาความปลอดภัยให้กับ Traffic ระหว่าง Application มักจะเป็นภาระของ Traffic ขนาดใหญ่ใน Web-Scale ที่รันตาม Cloud และ Application ที่มีความยืดหยุ่นของการ Scale สูง

วิธีการนี้ถูกออกแบบเพื่อป้องกันให้ Application และ Data จากการโจมตีทางไซเบอร์ระดับสูงหลากหลายรูปแบบโดย

  • ทำให้การ Deployment และ Provisioning ง่ายขึ้น : Instance ของ PAN VM-Series Firewall สามารถ Deploy จาก Glance ได้อย่างรวดเร็วบน OpenStack VM
  • ควบคุม Traffic ไปยัง VM-Series Firewall อย่างลื่นไหล : SDN Cotroller ควบคุมให้ Traffic มุ่งตรงไปยัง VM-Series Firewall โดยไม่ต้องตั้งค่าอะไรเพิ่มเติม
  • ระบบรักษาความปลอดภัยรุ่นใหม่สำหรับ Virtualized Application และ Data : ระบบนี้จะแสดงการมองเห็น (Visibility) และเข้าควบคุมได้ในระดับ User, Application, และ Content
  • ระบบป้องกันภัยที่เหนือชั้น : ระบบรักษาความปลอดภัยขั้นสูงของ VM-Series จะพร้อมป้องกันตลอด LifeCycle ของการโจมตี ไม่ว่าจะ Exploit, Virus, Spyware, Malware, และอื่นๆ รวมถึง Advanced Persistent threats (APT)

 

VM-Series Firewall บน Mirantis OpenStack

ระบบนี้ Fuel เป็น Deployment และ Management Tool ตัวหลัก มี Cluster ที่ประกอบด้วย OpenStack Controller, OpenStack Compute Node ที่รันซอฟต์แวร์ Contrail SDN Controller, OpenStack Compute Node ที่รัน Palo Alto VM-Series Virtual Firewall, และอีกตัวที่รัน Instance ซึ่ง Host พวก Application ของ  Palo Alto VM-Series Firewall

 

เพิ่มระบบ Security ระดับสูง

ฟังก์ชั่นเด่นของระบบร่วมนี้ คือ การ Map ระบบ Security Policy ของ VM อย่างชาญฉลาด และจัดการควบคุม Traffic ของ Workload จาก VM ไปส่วนที่มีระบบรักษาความปลอดภัยระดับสูงได้อย่างมีประสิทธิภาพ

Traffic Flow จะถูกควบคุมและประมวลผลโดย Palo Alto VM Series Firewall ซึ่งใช้ 1 จาก 3 บริการเสริม (Service Insertion หรือ Service Chaining Mode) ที่รองรับโดย Contrail ได้แก่ :

  • In-Network เมื่อ Virtualize Firewall อยู่ระหว่าง Network 2 ตัวเป็นอย่างน้อย และ Packet ถูกส่งตาม Route
  • Transparent เมื่อ Virtualize Firewall อยู่ในสถานะ Transparent ขณะการสื่อสารระหว่าง Instance และ Packet ถูก Switch
  • Elastic Scale Out ซึ่งคล้ายกับระบบ In-network แต่ Single Service Instance จะสามารถใช้งาน VM หลายตัว เพื่อให้ Scale Out ได้ตามต้องการ

จากแผนภาพด้านบน คือ การทำงานร่วมกันของระบบ โดย Service Intersection จะคุม Traffic ของข้อมูลโดยอาศัย In-Network Mode ดังนี้ :

  1. Instance A ถูกส่งไปยัง vRouter ที่ซึ่ง Service Intersection Logic มีการจัดการโดย Contrail
  2. Service Intersection Logic จะถูกตั้งค่าอยู่ภายใน Contrail โดยผู้ใช้เป็นผู้กำหนด Policy ให้ Traffic จาก Instance A (panos-trust ในภาพข้างใต้) ที่จะไปยัง Instance B (panos-untrust ในภาพข้างใต้) ต้องผ่านระบบ Virtual Firewall ก่อน (panos-instance01 ในภาพข้างใต้) ดังนั้นTraffic จึงถูกส่งไปที่ VM-Series Firewall (Virtual Firewall ตามแผนภาพด้านบน)
  3. PAN VM-Series จะวิเคราะห์ Traffic ทั้งหมดผ่านเส้นทางเดียว เพื่อระบุและควบคุม Application มีการจำกัดการเข้าถึง (Limit Access) ขึ้นอยู่กับผู้ใช้งาน ทั้งยังป้องกัน Known Threat และ Unknown Threat นอกจากนี้ Mission-critical Application และ Data ที่สำคัญมากๆ สามารถแยกไว้ใน Segment ต่างหากได้ โดยตั้งค่า Zero Trust (ตรวจสอบไฟล์เสมอ) ซึ่งเป็นรูปแบบการรักษาความปลอดภัยแบบใหม่ที่ยกระดับขึ้นมาอีกขั้น

อย่างไรก็ตาม ในตัวอย่างข้างต้นนั้น VM-Series Firewall ACL ได้ทำการอนุญาต Traffic ที่เข้ามาแล้วTraffic นั้นจึงถูกส่งต่อไปยัง Instance B ได้ ส่วน Traffic ที่กลับจาก Host B ก็จะผ่านขั้นตอนคล้ายๆ กันก่อนไปถึง Host A

สรุป

Palo Alto Network VM-Series Firewall Application  ทำงานบน Mirantis OpenStack วิธีแก้ปัญหาที่ทำให้ IT ปลดล็อคความสามารถของ OpenStack ออกมาได้มากยิ่งขึ้น ไม่ว่าจะเป็นประสิทธิภาพความรวดเร็ว, ความยืดหยุ่น, Utilization, และระบบการปฏิบัติการ โดยหมดกังวลเรื่องความปลอดภัย

รูปแบบการแก้ปัญหานี้เกิดขึ้นหลัง Mirantis NFV Initiative ที่มีโครงสร้างอิงกับ NFV ช่วยให้ Developer สามารถ Deploy NFV ได้ง่าย บน OpenStack และโปรแกรมตรวจสอบของ OpenStack สำหรับ Partner ใน Virtual Network Functions (VNFs) อีกไม่นานจะมีการนำ VNFs, Tools, Infrastructure Component และ Application อื่นๆ เข้ามาเสริมใน Platform นี้ด้วย