viernes, 6 de marzo de 2020

Entender Microsoft Azure: Software Defined Networking

La Reglas del Juego han cambiado, en muchas auditorias de seguridad nos encontramos con que parte de la infraestructura de Red no esta en las instalaciones del cliente, si no que se aloja On Cloud. En este escenario es importante entender el entorno de trabajo y las características de estos sistemas.

¿Como funciona Microsoft Azure?
Microsoft propone un nuevo concepto en la planificación y administración de infraestructuras y datacenters, utilizando las nuevas características de la tecnología de virtualización se desarrolla el concepto de Software Defined Networking SDN.

Las Redes definidas por software permiten administrar los dispositivos físicos y virtuales como switches o routers de una infraestructura de forma centralizada, virtualizar la capa de red generando una capa de abstracción entre los recursos utilizados como servidores y aplicaciones y la estructura de red que los comunica para después controlar el flujo de trafico con la administración de una serie de políticas o directivas determinadas.

Hyper-V Network Virtualization (HNV) es la evolución de la virtualización de servidores, el planteamiento es el mismo, permite configurar varias redes lógicas diferentes sobre una misma red de comunicación física. 


El adaptador de red virtual en HNV se asocia con dos IPs: Dirección del cliente (CA). Esta dirección permite al cliente el intercambio de tráfico de red con la máquina virtual y es visible en la máquina virtual y se puede alcanzar desde el cliente. La Dirección del proveedor (PA) se configura en la infraestructura de red física, no es visible en la máquina virtual pero aparece en el tráfico de los paquetes de la red que se intercambian con el servidor que ejecuta Hyper-V.

El aislamiento del resto de redes se consigue con un método de encapsulado utilizando los protocolos Network Virtualization Generic Routing Encapsulation NVGRE con un identificador de red Tenant Network ID TNI o Virtual eXtensible Local Area Network y el identificador VXLAN Network Identifier VNI:
  • Network Virtualization Generic Routing Encapsulation. Esta modalidad encapsula los paquetes de las máquinas virtuales mediante NVGRE el nuevo paquete identifica las direcciones de origen y destino PA IP y los identificadores de la subred virtual para permitir la comunicación. 
  • Virtual eXtensible Local Area Network. VXLAN utiliza el puerto 4789 de UDP en la capa de transporte, a la cabecera UDP se añade una cabecera VXLAN con el identificador de red VNI, los detalles del protocolo se definen en la RFC 7348.
En la imagen se muestra el esquema del paquete generado por el proceso de encapsulación del protocolo Network Virtualization Generic Routing Encapsulation NVGRE:


Seguridad a lo Jabalí para Todos!!

No hay comentarios:

Publicar un comentario

Archivo del blog

Consultor e Instructor de Sistemas y Seguridad Informática en Asturias