Microsegmentation as part of organization's network architecture : Investigating VMware NSX for vSphere

Abstract

The rise of cloud computing and services needed for digitalization has brought organizations from simple centralized mainframe and self-hosted type of environments to complex, distributed and networked systems which are ever harder to secure and manage. The number of networked devices and connected services has exponentially increased. As more systems are exposed to a wider audience, and data contains more value for people and organizations, the need for security has risen. Implementing and managing systems security, however, has never been a simple problem to solve.

Software based revolution is taking place in the industry and it is disrupting how we build, scale, maintain, upgrade the systems in organizations. Hardware is becoming increasingly more generic, and the abstraction layer between hardware and end systems is becoming more sophisticated in being able to serve systems on top while management is efficient and the underlying hardware layer is hidden. The ultimate end goal for data centers will likely be just generic server hardware with necessary compute, storage capacity and interfaces, which then can be programmed to be part of a clustered pool of resources and made to serve multiple functionalities dynamically and in a distributed fashion.

The thesis looks critically at the problems faced with networked computer security and how different implementation models can have contrasting approach angles with distinctive architectural and management outcomes. The research explored how technological transformation of network segmentation implementation with a modern solution can benefit most organizations with certain kinds of computing environments. Microsegmentation was found to have several benefits for technical environments from management, complexity, adaptability and security perspectives.

Kasvava pilvilaskenta ja sen palvelut digitaalisaation tarpeisiin ovat tuoneet meidät yksinkertaisista keskitetyistä keskustietokoneista ja itse ylläpidetyistä ympäristöistä kohti monimutkaisempia, hajautetumpia ja verkotetumpia järjestelmiä, joita on yhä vaikeampi turvata ja hallita. Verkottuneiden laitteiden ja palveluiden määrä on eksponentiaalisesti lisääntynyt. Kun yhä useammat järjestelmät altistuvat laajemmalle yleisölle ja tiedolla on enemmän arvoa ihmisille ja organisaatioille, on turvallisuuden tarve kasvanut. Järjestelmäturvallisuuden toteuttaminen ja hallinta ei kuitenkaan ole koskaan ollut yksinkertainen ongelma ratkoa.

Ohjelmistopohjainen vallankumous on tapahtumassa alalla, ja se on häiritsevä voima siinä, kuinka teemme järjestelmien rakentamista, laajentamista, ylläpitämistä ja päivittämistä. Laitteistosta tulee yhä yleisempiä. Laitteistojen ja loppujärjestelmien välinen abstraktiokerros kehittyy entistä hienostuneemmaksi, kun pystytään palvelemaan päällä olevia järjestelmiä tehokkaasti ja piilottamaan alla oleva laitteistokerros. Palvelinkeskukset tulevat loputtua todennäköisesti koostumaan laitteistoista, jossa tarvittava laskenta-, tallennuskapasiteetti rajapintojen avulla voidaan ohjelmoida osaksi klusteroitua ”resurssiallasta” ja tuottamaan useita toimintoja dynaamisesti ja hajautetulla tavalla.

Työssä on tarkasteltu kriittisesti verkottuneen tietoturvan ongelmia ja sitä, kuinka erilaisilla ratkaisumalleilla voi olla erottuvat lähestymiskulmat arkkitehtuurisesti ja hallinnollisesti eroavilla tuloksilla. Tutkimuksessa selvitettiin, kuinka verkkosegmentoinnin teknologinen muutos nykyaikaisella ratkaisulla pystyy hyödyntämään organisaatioita, joilla on tietyntyyppisiä ympäristöjä. Mikrosegmentoinnista löydettiin selviä hyötyjä ympäristön hallinnan, monimutkaisuuden, muuntautumisen ja turvallisuuden näkökulmista.