O VM-Series para VMware oferece suporte ao VMware NSX, ao ESXI independente e ao vCloud Air, permitindo que você implante a segurança do firewall de última geração e a prevenção avançada de ameaças nos ambientes de computação em nuvem privada, pública e híbrida baseada em VMware.
• Identifique e controle aplicativos nos seus ambientes virtualizados, limite o acesso com base em usuários e previna ameaças conhecidas e desconhecidas.
• Isole e segmente aplicativos e dados essenciais ao usar os princípios de Confiança Zero.
• Simplifique a implantação da política para que a segurança mantenha o mesmo ritmo que o das mudanças dentro de sua nuvem privada, pública ou híbrida.
A tecnologia de virtualização VMware está estimulando uma mudança significativa nos modernos centros de dados atuais, resultando em arquiteturas que são geralmente uma combinação de ambientes de computação em nuvem privada, pública ou híbrida. Os benefícios da computação em nuvem são bem conhecidos e significativos. No entanto, assim também são os desafios de segurança, exemplificados pelas várias violações de dados de grande importância. Se armazenados em um centro de dados físico ou em uma nuvem pública, privada ou híbrida, seus dados serão o alvo de criminosos cibernéticos.
A proteção de sua nuvem baseada em VMware apresenta vários desafios, incluindo a falta de visibilidade do aplicativo, a funcionalidade de segurança inconsistente e a dificuldade de manter o mesmo o ritmo que o das mudanças geralmente encontradas nos ambientes de computação em nuvem. Para serem bem-sucedidas, as organizações precisam de uma solução de segurança de nuvem que:
• Controle aplicativos, dentro da nuvem, com base na identidade, e não na porta e nos protocolos que eles possam usar.
• Impeça que malware tenha acesso à nuvem e que se movimente lateralmente (leste-oeste) dentro dela.
• Defina quem deve ter permissão para usar os aplicativos e dê acesso com base nas necessidades e nas credenciais.
VM-Series para VMware
VM
VM VM
vSwitch vSwitch
VM- VM
SERIES
Hypervisor
PALO ALTO NETWORKS: VM-Series para VMware
PÁGINA 2
Aplicação de segurança de última geração a ambientes virtualizados
O firewall virtualizado do VM-Series se baseia no mesmo mecanismo de classificação de tráfego de pilha inteira que pode ser encontrado em nossos firewalls de fator de forma física. O VM-Series classifica nativamente todo o tráfego, inclusive de aplicativos, ameaças e conteúdo e, em seguida, vincula esse tráfego ao usuário. O aplicativo, o conteúdo e o usuário, ou seja, os elementos que fazem sua empresa funcionar, são então usados como a base de políticas de segurança virtualizadas, resultando em uma postura de segurança melhorada e uma redução no tempo de resposta a incidentes.
Isolar aplicativos e dados essenciais usando os princípios de Confiança Zero
As melhores práticas de segurança ditam que os aplicativos e dados essenciais devem ser isolados em segmentos seguros usando os princípios de Confiança Zero (nunca confie, sempre verifique) em cada ponto de segmentação. O VM-Series pode ser implantado em todo seu ambiente virtualizado, residir como um gateway dentro de sua rede virtual ou entre as VMs em execução em diferentes camadas, protegendo assim o tráfego leste-oeste, exercendo controle com base no aplicativo e na identidade do usuário.
Bloquear o movimento lateral de ameaças virtuais
As ameaças virtuais atuais geralmente comprometem uma estação de trabalho ou único usuário e, em seguida, se movimentam pela rede, à procura de um alvo. Dentro de sua rede virtual, as ameaças virtuais se movimentarão lateralmente com rapidez de uma VM para outra, na direção leste-oeste, colocando seus aplicativos e dados essenciais em risco. Exercer o controle em nível de aplicativo usando os princípios de Confiança Zero entre as VMs reduzirá o volume de ameaças ao mesmo tempo em que se aplica a política para bloquear ameaças conhecidas e desconhecidas.
Implantação e provisionamento automatizado e transparente
Um rico conjunto de APIs pode ser usado para integrar ferramentas externas de orquestração e gerenciamento, coletando informações relacionadas a mudanças na carga de trabalho que podem ser então usadas para acionar dinamicamente atualizações da política por meio do monitoramento de máquinas virtuais (VM) e grupos de endereços dinâmicos (sigla em inglês - DAGs).
• APIs RESTful: uma API baseada em REST flexível permite que você integre soluções de orquestração de nuvem de terceiros ou personalizadas. Isso permite que o VM-Series seja implantado e configurado em sintonia com as cargas de trabalho virtualizadas.
• Monitoramento de máquinas virtuais: as políticas de segurança devem ser capazes de monitorar e manter o mesmo ritmo que o das mudanças em ambientes virtualizados, incluindo atributos de VM e a inclusão ou remoção de VMs. O monitoramento de máquina virtual pesquisa automaticamente seus ambientes de virtualização, tais como vCenter™ para obter inventário e mudanças de máquinas virtuais, coletando esses dados na forma de tags que podem ser então usadas em grupos de endereços dinâmicos (sigla em inglês - DAGs) para manter as políticas atualizadas.
• Grupos de endereços dinâmicos (DAGs): à medida que suas máquinas virtuais mudam de função ou se mudam de um servidor para outro, a criação de políticas de segurança baseadas em dados estáticos, como endereço IP, entregam valor limitado e podem conter informações desatualizadas. Os grupos de endereços dinâmicos (DAGs) permitem que você crie políticas usando tags (do monitoramento de VM) como um identificador para máquinas virtuais, em vez de uma definição de objeto estático.
Várias tags que representam atributos de máquina virtual, tais como endereço IP e sistema operacional, podem ser abordadas dentro de um grupo de endereços dinâmicos (DAGs), permitindo que você aplique com facilidade as políticas às máquinas virtuais, à medida que elas são criadas ou passam pela rede sem intervenção administrativa.
Gerenciar centralmente firewalls de fator de forma física e virtualizada
O gerenciamento de segurança de rede centralizado do Panorama™ permite que você gerencie as implantações do VM-Series, junto com os dispositivos de segurança física, garantindo assim a consistência e a coesão da política. Os ricos e centralizados recursos de log e relatórios oferecem visibilidade dos aplicativos virtualizados, usuários e conteúdo.
Flexibilidade da implantação
O VM-Series para VMware oferece suporte nos ambientes NSX, ESXi e vCloud Air.
VM-Series para VMware NSX
O VM-Series para NSX é uma solução altamente integrada que vincula o firewall de última geração do VM-Series, o Panorama para gerenciamento centralizado e o VMware NSX para entregar a promessa de um centro de dados definido por software. À medida que novas cargas de trabalho virtuais são implantadas, o NSX Manager instala de forma simultânea um firewall de última geração do VM-Series em cada servidor ESXi. Depois de implantadas no servidor ESXI, as políticas de ativação segura de aplicativos que identificam, controlam e protegem seus aplicativos e dados virtualizados podem ser implantadas em cada VM-Series de uma forma automatizada pelo Panorama. O NSX começará então a direcionar o tráfego dos aplicativos selecionados para o VM-Series para obter uma segurança em nível de aplicativo mais granular. À medida que novas cargas de trabalho são incluídas, movimentadas ou removidas, o NSX alimenta essas mudanças de atributos no Panorama, onde elas são convertidas em atualizações de política de segurança dinâmica para os firewalls de gateway virtual e de perímetro. O VM-Series para NSX oferece suporte no modo de interface de rede de fio virtual, o que requer configuração mínima de rede e simplifica a integração da rede.
VM-Series para ESXi (independente):
O VM-Series em servidores ESXi é ideal para redes em que o fator de forma virtualizado pode simplificar a implantação e oferecer mais flexibilidade. Os cenários comuns de implantação incluem:
• Ambientes de computação em nuvem privada ou pública, em que a virtualização é predominante
• Ambientes em que o espaço físico é restrito e caro
• Locais remotos para onde enviar o hardware não é prático
O VM-Series para ESXi permite que você implante políticas de ativação segura de aplicativo que identificam, controlam e protegem seus aplicativos e dados virtualizados. O gerenciamento centralizado do Panorama e um rico conjunto de APIs podem ser usados para integrar ferramentas externas de orquestração e gerenciamento para coletar informações relacionadas a mudanças na carga de trabalho que podem então ser usadas para acionar dinamicamente as atualizações da política por meio de grupos de endereços dinâmicos (DAGs) e do monitoramento de VMs. Vários tipos de interface, incluindo L2, L3 e fio virtual, permitem que você implante o VM-Series para ESXi em um modo de interface diferente para cada servidor virtualizado, dependendo de suas necessidades.
Administrador Administrador
de nuvem de segurança
Manager NSX
O Panorama registra o VM-Series como um serviço no NSX Manager
Licenciamento, implantação e atualizações de política automatizados Atualizações contextuais em tempo real sobre mudanças de VM Panorama
VM-Series implantado automaticamente pelo NSX; as políticas direcionam então o tráfego selecionado para inspeção do VM-Series
PALO ALTO NETWORKS: VM-Series para VMware
PÁGINA 4
VM-Series para vCloud Air:
O VM-Series para vCloud Air permite que você proteja sua nuvem pública baseada em VMware com as mesmas políticas de ativação segura de aplicativo usadas para proteger sua nuvem privada baseada em ESXi. Os casos comuns de uso incluem:
• Gateway de perímetro: nesse caso de uso, o VM-Series é implantado como seu firewall de gateway, protegendo seu ambiente vCloud Air com base em aplicativo, independentemente da porta e do protocolo, enquanto previne ameaças conhecidas e desconhecidas e controla o acesso com base na identidade do usuário.
• Segurança de nuvem híbrida: nesse caso de uso, o VM-Series é configurado para estabelecer uma conexão IPsec segura baseada em padrões entre sua nuvem privada baseada em VMware e sua nuvem pública baseada em vCloud Air. O acesso ao ambiente do vCloud Air pode ser controlado com base em aplicativo, no respectivo conteúdo e identidade do usuário.
• Segmentação de rede: protege o tráfego leste-oeste entre sub-redes e camadas de aplicativos usando o aplicativo e a identidade do usuário como a base de suas políticas de segurança.
O gerenciamento centralizado e um rico conjunto de APIs podem ser usados para integrar ferramentas externas de orquestração e gerenciamento para coletar informações relacionadas a mudanças na carga de trabalho que podem então ser usadas para acionar dinamicamente as atualizações da política por meio de grupos de endereços dinâmicos (DAGs) e do monitoramento de VMs. O VM-Series para vCloud Air oferece suporte ao modo de interface de rede L3.
APIs Interfaces
Objetos Políticas Licenciamento
vCloudAir
Centro de dados corporativos
ESPECIFICAÇÕES DA VIRTUALIZAÇÃO HIPERVISOR SUPORTADO
VM-1000-HV
• VMware NSX Manager 6.0, 6.1 com VMware ESXi 5.5
• ESXi 5.1, ESXi 5.5 VM-300 | VM-200 | VM-100
• ESXi 5.1, ESXi 5.5
DRIVERS DE REDE Todos os VM-Series
• VMware ESXi: VMXNet3
REQUISITOS DO SISTEMA
Núcleos de CPU 2, 4 ou 8
Memória (mínimo) 4 GB
Capacidade da unidade de disco (mín./máx.) 40 GB/2 TB
RECURSOS DE REDE
Modos de interface: VLANs
• L2, L3, Tap, fio virtual (modo transparente):
VM-Series para ESXi
• L3: vCloud Air
• Fio virtual (modo transparente): VM-Series para NSX
Etiquetas VLAN 802.1q por dispositivo/por interface:
4.094/4.094 Máx. de interfaces: 2.000 (VM-300), 500 (VM-200), 100 (VM-100)
Roteamento Conversão de endereço de rede
(sigla em inglês, NAT)
Modos: OSPF, RIP, BGP, estático Encaminhamento baseado em políticas Multicast: PIM-SM, PIM-SSM, IGMP v1, v2 e v3
Modos de NAT (IPv4): IP estático, IP dinâmico, IP e porta dinâmicos (conversão de endereço de porta)
NAT64
Recursos NAT adicionais: reserva de IP dinâmico, reutilização de IP e porta dinâmicos
Alta disponibilidade IPv6
Modos: ativo/passivo com sincronização de sessões L2, L3, Tap, fio virtual (modo transparente) ESPECIFICAÇÕES DA VIRTUALIZAÇÃO
HIPERVISOR SUPORTADO VM-1000-HV
• VMware NSX Manager 6.0, 6.1 com VMware ESXi 5.5
• ESXi 5.1, ESXi 5.5 VM-300 | VM-200 | VM-100
• ESXi 5.1, ESXi 5.5
DRIVERS DE REDE Todos os VM-Series
• VMware ESXi: VMXNet3
REQUISITOS DO SISTEMA
Núcleos de CPU 2, 4 ou 8
Memória (mínimo) 4 GB
Capacidade da unidade de disco (mín./máx.) 40 GB/2 TB
RECURSOS DE REDE
Modos de interface: VLANs
• L2, L3, Tap, fio virtual (modo transparente):
VM-Series para ESXi
• L3: vCloud Air
• Fio virtual (modo transparente): VM-Series para NSX
Etiquetas VLAN 802.1q por dispositivo/por interface: 4.094/4.094 Máx. de interfaces: 2.000 (VM-300), 500 (VM-200), 100 (VM-100)
Roteamento Conversão de endereço de rede (sigla em inglês, NAT)
Modos: OSPF, RIP, BGP, estático Encaminhamento baseado em políticas Multicast: PIM-SM, PIM-SSM, IGMP v1, v2 e v3
Modos de NAT (IPv4): IP estático, IP dinâmico, IP e porta dinâmicos (conversão de endereço de porta)
NAT64
Recursos NAT adicionais: reserva de IP dinâmico, reutilização de IP e porta dinâmicos
Alta disponibilidade IPv6
Modos: ativo/passivo com sincronização de sessões L2, L3, Tap, fio virtual (modo transparente)
DESEMPENHO E RECURSOS1 VM-1000-HV VM-300 VM-200 VM-100
Taxa de transferência do firewall (App-ID ativado) 1 Gbps Taxa de transferência de prevenção de ameaças 600 Mbps
Taxa de transferência de VPN IPSec 250 Mbps
Máx. de sessões por segundo 250.000 250.000 100.000 50.000
Novas sessões por segundo 8.000
1 O desempenho e os recursos são mensurados em condições ideais de teste usando o PAN-OS® 7.0 e 4 núcleos de CPU.
