2011-04-05

Hantera en brandvägg med 93 000 regler... eller hur skulle man kunna göra..

I och med att fler och fler behöver kunna levera virtualiseringslösningar där man behöver kunna inkludera en hög säkerhetsnivå så uppstår nya problem och därmed även nya lösningar.
En intessant sak som händer många som levererar hostinglösningar till många kunder, eller om man har höga säkerhetskrav, är att man använder sina brandväggar för att routa all trafik i nätverket.


I många fall går det så långt att man i princip har en server per VLAN och skickar all trafik genom brandväggen för att säkra upp servrarna.

Detta är något som tas upp i denna bloggpost The 93.000 Firewall Rules Problem and Why Cloud is Not Just Orchestration
Där diskuteras bland annat varför problemet med 93 000 brandväggsregler kan uppstå.

Vad är då lösningen?
I den artikeln tas även upp hur VMware föreslår att vi löser detta. Lösningen heter vShield som är ett samlingsnamn för säkerhetsprodukterna från VMware (typ på samma sätt som Microsoft har sin "Forefront"-familj). En rätt bra översiktlig förklaring på vShield kan man hitta här.

Saker man kan behöva fundera är dock på att vi kommer att få mer än en brandvägg i miljön och att dessa kan komma att hantera olika (både fysiska brandväggar och virtuella).

IPsec?
Men kan vi inte använda IPsec för att skydda alla våra servrar internt på nätet. Jodå, visst kan vi det.. Men hur skyddar vi trafiken mellan klienterna och servrarna. Att få in IPsec i serverhallen/hallarna det kan vi klara. Men om vi har externa kunder där vi inte ansvarar för hur deras datorer är hanterade så får vi en ny utmaning.

Så är vi körda?
Nej då. Inte alls. Men det krävs att man tänker till rätt rejält och här måste applikationsfolket, virtualiseringsfolket, nätverksfolket, säkerhetsfolket och serverfolket tala med varandra. På ett öppet och konstruktivt sätt.
Utmaningarna går att lösa, men inte med att ha en enda monolitisk brandvägg som skall skydda allting... Det kommer att krävas nya tankar och nya lösningar. Vissa av lösningarna är kanske de som nämns ovan.
Eller?

Inga kommentarer:

Skicka en kommentar

Related Posts Plugin for WordPress, Blogger...