Integrating Next-Generation Firewalls into a Private Cloud Datacenter

Abstract

A cloud environment is being built at Helsinki Metropolia University of Applied Sciences Leppävaara campus. Its purpose is to serve the university’s faculty and students, while also providing the opportunity for the university to function as a public cloud provider. The initial purpose of the thesis was to propose suggestions and find solutions on how to integrate next-generation firewalls into a datacenter infrastructure, to shield it from threats emanating from both the university’s intranet and the public internet.

Due to delays in the implementation of the cloud software environment, the project was carried out by performing a case study using two physical next-generation firewalls and devices that were available at a network laboratory on campus. These included generic layer 2 and 3 switches, and three computers. One of these was installed with the same Linux distribution which is used in the cloud environment. The four main objectives were as follows: configure the firewalls with high availability, integrate user authentication with the Linux host, enable secure remote connections, and harden the network.

During initial research, the firewalls were found to be extremely versatile devices, with multiple advanced technologies not found in traditional firewalls, such as deep-packet inspection, application awareness, and integration to the cloud. The firewalls were configured in an active/active highly available state through three physical Ethernet links going between them. External user authentication was integrated with an authentication server running on the Linux host, and the traffic was secured with a self-generated security certificate. Secure remote connections were enabled by configuring a virtual private network infrastructure on the firewalls. Finally, the network was hardened by following security policy best-practice guidelines as laid out by the firewall manufacturer.

The firewalls were found to be highly capable devices, well suited for securing a modern virtualized datacenter based on their multiple advanced security features. However, the data throughput performance of these firewalls was found to be lacking for the production environment. The bottleneck they create will have to be mitigated with specialized solutions for certain user groups. Due to the limited time allotted to the case study, further study on the full extent of the capabilities and technologies of the firewalls is recommended.

Metropolia Ammattikorkeakoulun Leppävaaran kampuksen tiloihin on rakenteilla pilvipalveluympäristö, jonka on tarkoitus palvella Metropolian opiskelijoita ja henkilökuntaa ja samalla mahdollistaa toiminta julkisena pilvipalveluntarjoajana. Tämän opinnäytetyön alkuperäisenä tavoitteena oli selvittää, miten useampi seuraavan sukupolven palomuuri tulisi integroida palvelinkeskuksen infrastruktuuriin. Näillä palomuureilla on tarkoitus suojata palvelinympäristöä tietoverkkouhkilta niin Metropolian sisäverkosta kuin julkisesta internetistä.

Pilviympäristön viivästymisen vuoksi insinöörityö toteutettiin suorittamalla tutkimus käyttäen kahta fyysistä palomuuria ja Leppävaaran kampuksen verkkolaboratorioissa käytettävissä olleita laitteita, joihin yhteen asennettiin sama Linux-jakeluversio, jota käytetään palvelinkeskuksen virtualisoinnissa. Neljänä päätavoitteena oli konfiguroida palomuurit korkeasti käytettävään tilaan, integroida käyttäjäntunnistus ulkoiseen palvelimeen, mahdollistaa salatut etäyhteydet ja koventaa verkko uhkia vastaan.

Insinöörityön tutkimuksessa palomuurit todettiin erittäin kyvykkäiksi laitteiksi, jotka sisältävät monia perinteisistä palomuureista puuttuvia kehittyneitä teknologioita, kuten syvällisen pakettien luotauksen. Korkea käytettävyys konfiguroitiin kolmen palomuurien välisen linkin avulla. Ulkoinen käyttäjätunnistus toteutettiin yhdistämällä palomuurit Linux-koneelle konfiguroituun käyttäjäntunnistuspalvelimeen. Salatut etäyhteydet mahdollistettiin palomuurien sisältämillä etäyhteystyökaluilla. Lopuksi verkko kovennettiin noudattamalla valmistajan suosittelemia verkon suojaus- ja tietoturvakäytäntöjä.

Palomuurit osoittautuivat monipuolisiksi tietoturvalaitteiksi, jotka useiden kehittyneiden tietoturvaominaisuuksiensa ansiosta soveltuvat hyvin modernin virtualisoidun palvelinkeskuksen suojaamiseen. Tutkimuksessa käytetyn palomuurimallin todettiin kuitenkin olevan datankäsittelyn suoritusteholtaan alimitoitettu pilviprojektin tarpeisiin. Palomuurien luoma tiedonsiirtopullonkaula täytyy ohittaa joidenkin käyttäjäryhmien osalta lopullisessa käyttöympäristössä. Rajallisen tutkimusajan vuoksi, aivan kaikkiin palomuurien sisältämiin hyödyllisiin ominaisuuksiin ei ehditty tutustua. Jatkoa ajatellen on suositeltavaa tutustua näihin konfiguroimattomiin ominaisuuksiin, jotta palomuureista saadaan tuotantoympäristössä kaikki mahdollinen hyöty.