Palo Alto 面向 VMWARE 的 VM-SERIES

发表评论 / Palo alto networks, 信息安全产品

概述

VMware 的虚拟化技术正推动当今现代的数据中心发生重大变革,使架构普遍结合私有云、公共云或混合云计算环境。云计算的优势非常显著,可谓众所周知。然而,安全挑战亦是如此,近期多例广为人知的数据泄露事件也足以证明这一点。无论您的数据是存储在物理数据中心,还是存储在公共云、私有云或混合云中,均属于网络罪犯的目标。

面向 VMware® VM-Series 支持VMware NSX®ESXi™ 独立版和vCloud® Air™,您可在基于 VMware 的私有、公共和混合云计算环境中部署新一代防火墙安全性和高级威胁防护。

  • 识别和控制虚拟化环境中的应用程序;限制基于用户的访问;防止已知和未知威胁
  • 按照零信任原则隔离和分段关键任务应用程序和数据
  • 简化策略部署,使安全性与您的私有云、公共云或混合云中的变化速度保持同步。

组织秉承将安全性放在首位的同时,致力于以各种方式扩展其虚拟化和云计划。随着应用日益广泛,意味着需要投入精力构建更简化的安全工作流,并将工作重点着眼于可扩展和弹性的以云为中心的架构。

  • 如今,前所未有大量的工作负载在本地(私有云)进行虚拟化,随着公共云的使用急剧增加,产生多供应商(私有和公共)环境,以及对容量需求的增长。其他示例包括作为 NFV 组件部署的安全性,用于为分支机构和数据中心/私有云工作负载提供更具成本效益的替代方案,以及增加虚拟化, 以满足在多租户环境中实现(更)完善的租户隔离需求。
  • 云安全自动化工作流已简化了部署,但仍相当复杂,且涉及许多谨慎设计的步骤。
  • 一直以来,安全性被视为延缓部署的瓶颈,因此必须更注重于提供有力支持,以促进向以云为中心架构的转变。

保护基于 VMware 的云的安全性,可带来各种各样的挑战, 包括缺乏应用程序可见性、不一致的安全功能以及难以跟上云计算环境中常见的变化速度。为成功保护云安全,组织需要符合以下条件的云安全解决方案:

  • 具有基于身份识别和控制云中应用程序的能力,而并非基于可能使用的端口和协议。
  • 阻止恶意软件进入并在云中横向(东西向)移动。
  • 确定允许使用应用程序人员的名单,并根据需要和凭据授予访问权限。
  • 在云环境中添加、删除或移动 VM 时,简化管理并最大限度地减少安全策略滞后。

利用 Palo Alto Networks 面向 VMware 的 VM-Series,可通过我们的新一代防火墙安全和高级威胁防护功能,保护驻留在 NSX、ESXi 和 vCloud Air 环境中的数据免受网络威胁。Panorama™ 网络安全管理与本机自动化功能相结合,当虚拟机被添加、移动或删除时,能尽量减少可能发生的策略时间间隙,从而实现对策略管理进行简化。

配备高性能的大规模虚拟化新一代安全性

VM-Series 虚拟化新一代防火墙已经过优化和扩展,可提供启用 App-ID™ 的吞吐量,范围为 200 Mbps 到 16 Gbps,涵盖五个型号,两个指标均为行业领先。VM-Series 型号包括:

  • VM-50 已经过优化,可消耗最少的资源,并支持 CPU 超额订阅,同时提供高达 200 Mbps 的启用 App-ID 的防火墙性能,适用于从虚拟分支机构/用户端设备 (CPE) 到高密度、多租户的环境。
  • VM-100 和 VM-300 已经过优化,可提供 2 Gbps 和 4 Gbps 的启用 App-ID 的防火墙性能,适用于混合云、分段和互联网网关用例。
  • VM-500 和 VM-700 分别提供业界领先的 10 Gbps 至 16 Gbps 的启用 App-ID 的防火墙性能,并可在完全虚拟化的数据中心和服务提供商环境中部署为 NFV 安全组件。

英特尔® 数据平面开发套件 (DPDK) 已与面向 VMware 的 VM- Series 集成,可提高 x86 基础架构上的数据包处理性能。支持网络 I/O 选项,例如 PCI 传输和单根 I/O 虚拟化 (SR-IOV),可实现更强性能。

将新一代安全应用到虚拟化环境

VM-Series 虚拟化防火墙基于物理形态防火墙中相同的全栈流量分类引擎。VM-Series 对所有流量(包括应用程序、威胁和内容)进行本地分类,然后将该流量绑定到用户。随后,将应用程序、内容和用户(即运行业务的要素)用作虚拟化安全策略的基础,由此实现改善的安全状况,并缩短事件响应时间。

按照零信任准则隔离关键任务应用程序和数据

安全最佳实践表明,您的任务关键型应用程序和数据应使用零信任(从不信任,始终验证)原则,在每个分段点中,将应用程序和数据隔离在安全分段中。VM-Series 可部署在整个虚拟化环境中,在虚拟网络中或在不同层中运行的 VM 之间作为网关驻留,从而通过基于应用程序和用户身份实施控制,达到保护东西向流量之目的。

阻止网络威胁的横向移动

当今的网络威胁通常会入侵单个工作站或用户,然后跨网络移动,伺机寻找目标。在您的虚拟网络中,网络威胁将以横贯东西方向的方式,横向且快速地在 VM 之间移动,使您的关键任务应用程序和数据面临风险。当应用策略阻止已知和未知威胁时,在 VM 之间使用零信任原则执行应用程序级控制可减少威胁暴露面积

自动化透明部署和配置

丰富的 API 集可用于与外部编排和管理工具集成,从而收集与工作负载更改相关的信息,随后可通过 VM 监控和动态地址组对策略更新进行动态推动。

  • RESTful API:利用灵活的基于 REST 的 API,您可实现与第三方或定制云编排解决方案集成。这使得 VM-Series 可以根据虚拟工作负载部署和配置的情况同步部署。
  • VM 监控:安全策略必须能够监控和跟踪虚拟化环境中的更改,包括 VM 属性以及添加或删除 VM。虚拟机监控VM 监控)将自动轮询您的虚拟化环境(例如 vCenter) 以获取虚拟机清单和更改,从而以标签的形式收集此数据,然后可在动态地址组中使用这些数据,确保策略保持在最新状态。
  • 动态地址组:当虚拟机更改功能或在服务器之间进行移动时,基于静态数据(例如 IP 地址)构建安全策略只能提供有限价值,并可能包含过时信息。使用动态地址组可以将标签(来自 VM 监控)用作虚拟机的标识符来创建策略,而不是静态对象定义。表示 IP 地址和操作系统等虚拟机属性的多重标签可以在动态地址组中解析,使您可以轻松地在创建虚拟机时或者虚拟机在网络中移动时将策略应用到其上,而无需进行管理干预

集中管理虚拟化和物理形态防火墙

利用 Panorama,您可协同物理安全设备对 VM-Series 部署进行管理,从而确保策略的一致性和内聚性。丰富的集中日志记录和报告功能提供了对虚拟应用程序、用户和内容的监控能力。

部署灵活性

面向 VMware 的 VM-Series 支持 NSX、ESXi 和 vCloud Air环境。

面向 VMware NSX 的 VM-Series

面向 NSX 的 VM-Series 属于紧密集成的解决方案,将 VM- Series 虚拟化新一代防火墙、适用于集中管理的 Panorama以及 VMware NSX 集成在一起,成功实现软件定义的数据中心的承诺。部署新的虚拟工作负载后,NSX Manager 将在每个 ESXi 服务器上同时安装 VM-Series 新一代防火墙。在 ESXi 服务器上部署后,可通过 Panorama 以自动方式将识别、控制和保护虚拟化应用程序和数据的安全应用程序启用策略部署到每个 VM-Series 虚拟设备。随后,NSX 将开始引导所选应用程序流量到 VM-Series,从而实现更细粒度的应用程序级安全性。随着添加、移动或删除新工作负载,NSX 会将这些属性更改馈送到 Panorama,Panorama 会将其转换为虚拟和边界网关防火墙的动态安全策略更新。面向 NSX 的VM-Series 支持虚拟有线网络接口模式,该模式仅需最低网络配置,并可简化网络集成。有关此集成的更多信息,请参阅面向 VMware NSX 的 VM-Series 数据表。

面向 ESXi VM-Series(独立)

ESXi 服务器上的 VM-Series 是虚拟形态可简化部署并提供更多灵活性的网络的理想选择。常见部署场景包括:

  • 虚拟化普遍存在的私有云或公共云计算环境。
  • 物理空间受限和不足的环境。
  • 运输硬件不可行的偏远地点。

使用面向 ESXi 的 VM-Series,可部署安全的应用程序启用策略,从而识别、控制和保护您的虚拟化应用程序和数据。Panorama 以及丰富的 API 集可用于与外部编排和管理工具集成,以收集与工作负载更改相关的信息,随后可通过动态地址组和 VM 监控对策略更新进行动态推动。提供一系列接口类型(包括 L2、L3 和虚拟线路),可根据需要利用不同的接口模式为每个虚拟化服务器部署面向 ESXi 的 VM-Series。

面向 vCloud Air 的 VM-Series

凭借面向 vCloud Air的 VM-Series,您可通过用于保护基于 ESXi 私有云的相同安全应用程序启用策略,实现对基于VMware 的公共云进行保护。常见用例包括:

边界网关:在此用例中,VM-Series 可作为网关防火墙部署, 不是简单的使用端口和协议辨识,而是真正基于应用程序保护您的 vCloud Air 环境,同时防止已知和未知威胁并根据用户身份控制访问。

  • 混合云安全:在此用例中,通过配置 VM-Series,可实现在基于 VMware 私有云和基于 vCloud Air 公共云之间建立安全的基于标准的 IPsec 连接。随后,可根据应用程序和用户身份,实现对 vCloud Air 环境的访问进行控制。

Panorama 以及丰富的API 集可用于与外部编排和管理工具集成,以收集与工作负载更改相关的信息,随后可通过动态地址组和 VM 监控对策略更新进行动态推动。提供一系列接口类型(包括 L2、L3 和虚拟线路),可根据需要利用不同的接口模式为每个虚拟化服务器部署面向 ESXi 的 VM-Series。

性能和容量概要

以下安全性能表,是使用 PAN-OS® 8.0,在受控实验室条件下测试得出的结果。在虚拟化和云环境中,许多因素(如CPU 类型、虚拟机管理程序版本、分配的内核数、内存和网络 I/O 选项)可能会对性能造成影响。我们建议在您的环境中进行额外测试,以确保满足您的性能和容量要求。

VM-Series 规格和功能

下表列出了面向 VMware 的 VM-Series 上所有支持的规格、资源要求和网络功能。

如需查看 VM-Series 安全功能及相关容量的更多信息,请访问 www.paloaltonetworks.com/products

相关文章

发表评论

您的电子邮箱地址不会被公开。 必填项已用 * 标注

滚动至顶部