Search
  • MPB

VMware SD-WAN Security Architecture ตอนที่ 1: Secure Control, Data and Management Plane


Security is fundamental

ซีเคียวริตี้ ต้องมีทุกแห่ง แม้แต่ใน Management, Control and Data Plane โดยโซลูชั่นของ VMware SD-WAN มี Security Build-in เพื่อสร้างความปลอดภัยให้กับ Orchestrator, Controller/Gateway และ EDGE อย่างไรกันบ้าง เราไปรับชมกันเลยดีกว่าครับ

1. Security between the management plan and data plane

แรกสุดเมื่อมีการติดตั้ง EDGE และ Gateway เข้ามายังระบบ VMware SD-WAN จะต้องมีการสร้าง Activation Key บน Orchestrator เมื่อ EDGE/Gateway ได้ยืนยันตัวตนกับ Orchestrator แต่ละอุปกรณ์ได้รับ Identification Token ที่ไม่ซ้ำกัน สำหรับ Download Firmware และ Update Policy


หลังจากติดตั้งเสร็จเรียบร้อย ระหว่าง EDGE/Gateway และ Orchestrator จะสร้าง Session ที่ถูกเข้ารหัสด้วย TLS 1.2 เพื่อรับ Device Certificate, Configuration, Policy Update, Upload statistic และ Event logs


ทั้งนี้ Public CA ที่ Orchestrator Sign ไปให้กับ EDGE/Gateway ยังถูกใช้ไปในการเข้ารหัสระหว่าง Edge to Edge และ Edge to Gateway และเมื่อเกิดเหตุการณ์ที่จำเป็นต้องนำ EDGE/Gateway ออกจากระบบ (Deactivation) ก็เพียงแค่ Revoke Public CA บน Orchestrator ได้เลย รวมไปถึงการทำ Replacement ก็เพียงสร้าง RMA Activation Key เพื่อใช้ในการติดตั้งทดแทน และเมื่อดำเนินการติดตั้งเรียบร้อย ก็จะได้รับ Firmware และ Policy จาก EDGE ตัวเดิมที่ถูกทดแทน


** Orchestrator build-in Public Key Infrastructure

***Certificate มีอายุ 90 วัน และ Renew ราวๆ 60 วัน หลังจากที่ได้รับ CA


2. Security between data and control plane

Traffic ระหว่าง Edge to Edge และ Edge to Gateway มีการทำ Overlay Tunnel และเข้ารหัสด้วย VCMP with IPSec (VeloCloud Management Protocol) over UDP/2426 โดยสามารถเลือกใช้

AES-128/AES-256 ในการเข้ารหัสและสามารถเลือก SHA-256 สำหรับ Data Integry ได้

#VMwareSDWANSecureControlDataManagementPlane

0 views

©2019 by SD-WAN Thailand.

contact@redpumpkin.co.th