一般來(lái)講 VMware NSX-T 可以通俗的理解為一個(gè) SDN(軟件定義網(wǎng)絡(luò ))的平臺。在NSX的教材中闡述其為一個(gè)集合SDN和NFV(網(wǎng)絡(luò )功能虛擬化)于一體的網(wǎng)絡(luò )平臺: Network Virtualization(網(wǎng)絡(luò )虛擬化)。借助成熟的vSphere運算虛擬化平臺, NSX早在2013年的時(shí)候便已可以為虛擬機提供分布式 / 網(wǎng)關(guān)式防火墻。在2015年, NSX在VMware的產(chǎn)品家族中率先與vCenter控制平面結偶, 推出了面向多云環(huán)境的NSX-T平臺。
如上圖所示, NSX-T的數據轉發(fā)層面已經(jīng)不僅僅支持vSphere作為虛擬化平臺了, 同時(shí)支持了更為開(kāi)放的主流Linux平臺, 其中可細分為支持Linux中的容器網(wǎng)絡(luò )和Linux的直裝服務(wù)器。高性能 / 多租戶(hù)的虛擬路由器則部署在NSX Edge中, NSX Edge支持兩種部署形態(tài): 虛擬機 / 服務(wù)器直裝, 前者部署便利性不言而喻, 后者借助Intel或Mellanox的DPDK追求最佳的性能。
在控制層面由于已經(jīng)與vCenter解偶, 從而有了獨立的網(wǎng)絡(luò )視角的管理界面。通過(guò)該界面NSX管理員可以使用API接口與多個(gè)vCenter對接(Up to 16), 也可對接K8s平臺(Up to 100)為其提供容器網(wǎng)絡(luò )服務(wù), K8s社區版的或商業(yè)版均支持。在非天朝地區還可以通過(guò)Cloud Service Manager組件對接公有云平臺(A家,M家,G家), 從而提供一個(gè)統一的虛擬網(wǎng)絡(luò )平臺, 也將混合云網(wǎng)絡(luò )安全維度扁平化, 即便在混合云場(chǎng)景中, 客戶(hù)依然保持相同的網(wǎng)絡(luò )安全策略手段去設計和管理網(wǎng)絡(luò )。
如下圖所示,早在2014年VMware就提出了“零信任”安全模型, 該模型的原型來(lái)自公共安全體系架構, 可以以機場(chǎng)的安檢流程來(lái)進(jìn)行類(lèi)比。假定VMware為機場(chǎng)管理方, 當乘客進(jìn)入機場(chǎng)開(kāi)始便開(kāi)始經(jīng)歷各種安全檢查,大家可以回憶一下大致的安檢過(guò)程:
- 防爆測試, 行李快速檢測, 簡(jiǎn)單金屬檢測
- 辦理登機牌 = 身份 / 出發(fā)地 / 目的地 校驗
- 人臉識別 = 過(guò)往航程查詢(xún) / 排隊通道分派
- 深度安檢前身份和機票的核對
- 度安全 = 行李分類(lèi)過(guò)機 / 金屬檢測 / 人工檢查
- 登機前的機票核對
前5個(gè)步驟對應數據中心的安全布局類(lèi)似于圖2中右側的邊界防火墻, IPS, 可能還有WAF / DDOS / 反垃圾郵件 / 防病毒和防惡意軟件等深度檢測的網(wǎng)關(guān)。這些網(wǎng)關(guān)的工作原理都是當且僅當流量經(jīng)過(guò)它時(shí), 通過(guò)自身專(zhuān)用的CPU / 內存 / 或芯片來(lái)做深度檢測。正如機場(chǎng)中的深度安檢時(shí)所用的儀器, 并非由機場(chǎng)生產(chǎn)。而是由第三方安全廠(chǎng)家生產(chǎn), 與機場(chǎng)管理方安全流程集成與聯(lián)動(dòng)。可以類(lèi)比為數據中心南北向流量的深度檢測。
而面對當今的網(wǎng)絡(luò )威脅, 也許僅僅南北向的深度檢測是不夠的。國內安全形勢亦是如此, 等保2.0還有"花王"行動(dòng), 各種監管機構對網(wǎng)絡(luò )安全的審核已不僅僅是南北向(垂直滲透), 或我們常說(shuō)的邊界安全。因為往往最難以應對的安全威脅是來(lái)自?xún)染W(wǎng)。所謂"吾恐季孫之憂(yōu),不在顓臾,而在蕭薔之內也"。經(jīng)過(guò)了機場(chǎng)的各種深度檢測后, 身在候機廳的你并不是可以任意登機口登機的, 最后還需由機場(chǎng)工作人員完成最后的登機前驗票, 簡(jiǎn)單的驗票流程, 由機場(chǎng)人員完成, 檢測的過(guò)程高效 /顆粒度到個(gè)人 / 寬度到每個(gè)登機口。 這好比數據中心中的東西向流量安全, 這便是VMware作為機場(chǎng)管理方最擅長(cháng)的分布式防火墻。這種分布式防火墻不追求檢測的深度, 而專(zhuān)注檢測的執行顆粒度與寬度。這樣解釋并不是說(shuō)NSX分布式防火墻不能做到深度檢測, 只是這樣做會(huì )勢必會(huì )消耗更多的資源去執行深度檢測的任務(wù), 從而會(huì )與宿主機中的業(yè)務(wù)虛擬機(或容器)有征用資源的沖突。上文中提到的深度包檢測設備無(wú)不是有自己專(zhuān)用的處理資源。
VMware推薦的采用集成第三方安全解決方案來(lái)構建邊界的安全, 內網(wǎng)采用平臺內置分布式防火墻構筑彈性寬度的防御體系。二者依據管理者的意志進(jìn)行安全聯(lián)動(dòng), 這樣的網(wǎng)絡(luò )安全框架更為合理。
小結
構建全向安全數據中心首先應該先打破一個(gè)固有的錯誤假設“內網(wǎng)安全”后, 再去構建一個(gè)南北向深度防御,東西向高精度的管控粗顆粒度檢測的網(wǎng)絡(luò )安全體系。再加之能夠縱向管理的安全審計系統,提供流量可視化,安全審計,數據積淀,事件回溯等,秉承的思維應該是“專(zhuān)業(yè)的事交給專(zhuān)業(yè)的人做”。
二。NSX-T與第三方安全產(chǎn)品集成概覽
NSX 同時(shí)算上-V和-T兩個(gè)版本, 所支持的第三方安全生態(tài)合作伙伴可謂是非常豐富的, 下圖中圍繞著(zhù)NSX以及vSphere的安全生態(tài)可見(jiàn)一斑。
關(guān)于具體的版本所支持的第三方安全生態(tài)可以登陸VMware兼容性官方網(wǎng)站進(jìn)行查詢(xún):
https://www.vmware.com/resources/compatibility/search.php?deviceCategory=nsxt
接下來(lái)我們一起看看NSX-T集成第三方安全的產(chǎn)品的方案以及實(shí)現原理。
上圖通過(guò)以下幾個(gè)維度分析了NSX-T網(wǎng)絡(luò )平臺集成第三方安全解決方案的收益:
1. 增值的網(wǎng)絡(luò )安全服務(wù)(東西向/南北向加固)
可以基于VMware軟件定義數據中心(SDDC)產(chǎn)品家族的環(huán)境或者是諸多公有云環(huán)境構建
下一代防火墻
IPS / IDS
URL Filtering /Anti-Virus / Sandboxing
網(wǎng)絡(luò )可視化 / 分析 / 聚合
2. 與合作伙伴深度集成的收益
顆粒度更高的安全服務(wù)
簡(jiǎn)化部署 / 安全聯(lián)動(dòng)
以應用為中心的安全策略一致性
服務(wù)鏈條
3. 靈活的部署模型
可分布式部署到所需的宿主機中
可指定部署在專(zhuān)用的安全服務(wù)集群中
通過(guò)幾張膠片我們分別看看東西向 / 南北向 是如何集成的,
東西向NGFW集成示意圖如下:
如上圖所示, 第三方安全設備在南北向集成時(shí), 可以與平臺邊界路由器(T0 Router)集成,也可下沉到租戶(hù)路由器(T1 Router)。借助NSX-T作為網(wǎng)絡(luò )平臺, 第三方防火墻不僅僅可以在租戶(hù)的邊界對虛擬機進(jìn)行深度檢測, 也可對該網(wǎng)絡(luò )內的容器執行相同的策略, 而第三方安全設備并不需做額外與K8s的配置。
上圖展示了南北向集成的防火墻實(shí)例是如何工作的, 旁邊的英文描述已經(jīng)大致說(shuō)明了轉發(fā)機制。NSX-T采用策略路由將目標分段導流(重定向)到第三方防火墻中, 再通過(guò)BFD檢測保持MAC地址的更新以及HA狀態(tài)的檢測。在南北向的集成部署模式當中第三方設備是支持主備(Active/Standby)模式的, 當然你非要Standalone也是可以的。
東西向的安全集成則有兩種模式, 分布式部署/ 集中式部署。
上圖向大家展示的就是第三方安全產(chǎn)品采用分布式方式部署, 簡(jiǎn)單的可以理解為每個(gè)宿主機一臺第三方安全VM。值的一提的是, 在東西向部署中采用的流量重定向的封裝為Geneve(可理解為VxLAN), 采用該中模式就為在南北向中集成多重安全服務(wù)埋下了伏筆, 也就是服務(wù)鏈條。再看如下圖您就會(huì )更好的理解為什么第三方安全VM可以集中部署了。
既然是采用Geneve封裝, 那么其實(shí)第三方安全VM放在哪一臺宿主中并不是強制的,只要底層路由可達的前提下都是可以的。圖8的部署模式中, 用戶(hù)可以設置一些特定的運算資源(宿主機)作為安全服務(wù)集群, 集中可將多個(gè)或多樣的安全產(chǎn)品部署進(jìn)去。分布式部署的模型中第三方安全VM會(huì )更靠近受保護終端, 帶寬和延時(shí)親和。集中式部署則有著(zhù)清晰的資源開(kāi)銷(xiāo)預支, 用戶(hù)還可以為該安全服務(wù)集群?jiǎn)为氈贫翰呗裕?某些帶寬和延時(shí)不敏感的場(chǎng)景下還能為用戶(hù)節省第三方License的開(kāi)銷(xiāo)。
東西向的安全集成大家不難發(fā)現, 它的檢測顆粒度更高, 不僅僅是在租戶(hù)或平臺的邊界, 而是可以深入到每個(gè)子網(wǎng)/微分段/安全組中去。通過(guò)Geneve的隧道封裝我們可以將多種的安全或監控服務(wù)串聯(lián)在一起形成一個(gè)服務(wù)鏈條, 如下圖所示。
如上圖所示, 可以通過(guò)配置Service Profile還可以為不同的安全分組采用不同的服務(wù)鏈條, 實(shí)現安全服務(wù)等級的劃分和不同監管要求的落實(shí)。
三。關(guān)于集成安全生態(tài)的小結
總結一下NSX-T平臺為什么需要集成眾多的安全生態(tài):- 首先安全是一個(gè)系統工程,不是筑起一道墻就能完成的。然而在如此復雜的系統當中沒(méi)有任何一家解決方案供應商可以一力承擔(如果有,這本身似乎也不安全);
- 其次我們摒棄掉“內網(wǎng)安全”的觀(guān)點(diǎn), 遵循“專(zhuān)業(yè)的事交給專(zhuān)業(yè)的人做”原則來(lái)構筑安全體系,因為人類(lèi)社會(huì )本就如此分工;
- 作為一個(gè)網(wǎng)絡(luò )虛擬化平臺, 第三方的安全解決方案展示了該平臺的包容性。通過(guò)此網(wǎng)絡(luò )平臺安全解決方案廠(chǎng)家可以更專(zhuān)注在安全領(lǐng)域, 而不是花時(shí)間去考慮如何去與眾多的計算生態(tài)去集成;
- 同時(shí)第三方的安全解決方案很好的滿(mǎn)足了用戶(hù)以往對該品牌產(chǎn)品的使用慣性, 也互補了VMware在安全檢測深度上的“不擅長(cháng)”。眾多的第三方安全產(chǎn)品也滿(mǎn)足了用戶(hù)個(gè)性化的安全需求;
- 拓展思考, 集成第三方安全, 保障的不僅僅是虛擬機, 更是容器態(tài)的業(yè)務(wù), 云上或云間的業(yè)務(wù)。而第三方可集成的也不全是深度檢測產(chǎn)品,也不乏安全審計和監控解決方案。
Rock Zang
VMware中國區資深網(wǎng)絡(luò )架構師
