隨著(zhù)企業(yè)IT數字化轉型的進(jìn)程,網(wǎng)絡(luò )和安全的復雜性給企業(yè)帶來(lái)了很多的挑戰,企業(yè)的目標是從集中的數據中心轉移到超分布式的應用和數據中心,通常情況下跨越多個(gè)地理位置,同時(shí)應用架構和部署方式發(fā)生了巨大的變化,從傳統的單體應用向多層應用轉變,甚至對于某些應用開(kāi)始采用微服務(wù)架構,這給管理和維護帶來(lái)了挑戰。而傳統的安全只是邊界安全,在邊界內部VM沒(méi)有“戴口罩”,其中某個(gè)VM受到病毒的威脅,它可能會(huì )把病毒傳播到其它的VM,甚至傳播到數據中心內部所有的VM,為了防止病毒的傳播,需要為每一個(gè)VM“戴口罩”,而為每一個(gè)VM“戴口罩“并不是一件容易的事情。
VMware NSX Data Center(以下簡(jiǎn)稱(chēng)NSX)有非常多的應用場(chǎng)景,其中一個(gè)非常重要應用場(chǎng)景就是云安全應用場(chǎng)景,它可以非常方便的為每一個(gè)VM“戴口罩”,實(shí)現VM之間的安全隔離和自我隔離,以防止病毒的傳播,同時(shí)能夠自動(dòng)排除受病毒威脅的VM,實(shí)現零信任的安全模型。
NSX微分段技術(shù)好比“口罩”一樣,微分段的安全策略可以應用到每個(gè)VM或pod容器上,同時(shí)可以提供異構環(huán)境下安全策略管理,它除了為vsphere平臺提供微分段,也可以為KVM、容器以及公有云上的VM或容器,甚至裸金屬服務(wù)器提供微分段能力,如下圖所示:
通過(guò)NSX Manager控制臺統一將安全策略下發(fā)到應用運行的地方,實(shí)現應用微分段技術(shù),進(jìn)而實(shí)現東西向安全隔離。
- NSX微分段功能一:在異構環(huán)境下為工作負載提供東西向安全防護能力,實(shí)現零信任的安全模型,為每個(gè)VM、容器Pod、祼金屬服務(wù)器“戴口罩”,安全策略下發(fā)到Hypervisor內核,防止威脅的傳播,精細化網(wǎng)絡(luò )安全管理。
- NSX微分段功能二:在不改變現網(wǎng)架構的基礎上,靈活插入微分段安全策略,不中斷業(yè)務(wù),提供VM或容器pod東西向安全隔離。
- NSX微分段功能三:環(huán)境感知,基于應用環(huán)境動(dòng)態(tài)安全分組,可以基于虛擬機的屬性,包括不限于虛擬機名稱(chēng)、虛擬機標記、虛擬操作系統類(lèi)型實(shí)現動(dòng)態(tài)安全分組,簡(jiǎn)化安全策略的運維管理。
- NSX微分段功能四:與微軟AD集成,實(shí)現基于身份的分布式防火墻,通常用于VDI環(huán)境和RDSH環(huán)境。數據中心的安全管理員可以通過(guò)調用登陸到AD的用戶(hù)信息設定這一用戶(hù)能夠訪(fǎng)問(wèn)業(yè)務(wù)范圍,真正做到使用者到業(yè)務(wù)的安全防護。一方面,同一服務(wù)器上的不同業(yè)務(wù)間也可以實(shí)現了安全隔離。另一方面,直接對業(yè)務(wù)的訪(fǎng)問(wèn)者進(jìn)行認證,完全脫離傳統的IP和位置的繁瑣的安全部署方法論,增強了數據中心的防御體系。
- NSX微分段功能五:NSX內置NSX Intelligence,它是一個(gè)分布式分析引擎,它利用NSX特有的工作負載和網(wǎng)絡(luò )上下文,提供了融合的安全策略管理、分析和合規性,并具有數據中心范圍內的可視性。提供自動(dòng)安全策略和安全組推薦,并根據策略推薦結果一鍵應用至NSX分布式防火墻,這在大規模安全策略部署中非常有用,簡(jiǎn)化了策略(“口罩”)的部署和人為的錯誤。
- NSX微分段功能六:NSX分布式防火墻微分段支持7層特性,能夠識別應用,它內置了企業(yè)級應用的APP-ID,安全規則的配置可以基于上下文配置文件實(shí)現。可以基于7層APP-ID,僅允許匹配APP-ID的流量通過(guò),而不依賴(lài)于端口號。除了 APP-ID,還可以在上下文配置文件中設置完全限定域名 (FQDN) 或 URL 來(lái)將 FQDN 加入白名單。可以在上下文配置文件中與 APP-ID 一起配置 FQDN,或者可以在不同的上下文配置文件中設置每個(gè) FQDN。定義上下文配置文件后,即可將其應用于一個(gè)或多個(gè)分布式防火墻規則。
- NSX微分段功能七:在應用的源端直接安全策略匹配,貼近應用執行安全策略,僅授權的流量才能進(jìn)入物理網(wǎng)絡(luò ),同一主機內部不同虛擬機之間的安全流量不需要經(jīng)過(guò)物理網(wǎng)絡(luò ),減輕了物理網(wǎng)絡(luò )的壓力,提升了業(yè)務(wù)之間的端到端延時(shí)。
NSX分布式防火墻微分段實(shí)現原理如下圖所示:
NSX分布式防火墻采用控制轉發(fā)分離的架構,管理和控制合一,管理平面通過(guò)NSX Manager實(shí)現,通常部署為3個(gè)節點(diǎn)的集群,提供GUI或者Restful API配置安全策略,NSX Manager將用戶(hù)發(fā)布的策略推送到NSX manager中的控制平面服務(wù)進(jìn)而推送到數據平面,為了監控和排錯,NSX manager通過(guò)MPA檢索DFW的狀態(tài)和流的統計數據。
控制平面包括兩個(gè)組件,一個(gè)集中的控制平面(CCP),另外一個(gè)是本地控制平面(LCP)。CCP部署在NSX manager集群中,通過(guò)CCP與LCP之間的通信,將安全策略推送到數據平面。
數據平面部署LCP,接收配置的安全策略并在Hypervisor內核執行安全策略。
最后,總結一下,NSX微分段提供了非常細粒度的安全防護能力,粒度可以細化到虛擬機的虛擬網(wǎng)卡級,提供異構環(huán)境和多云環(huán)境下一致的網(wǎng)絡(luò )安全策略,并且提供了豐富的功能,為每個(gè)虛擬機“戴口罩”,保護自身,也保護它人,同時(shí)提供L2-L7的東西向安全防護能力,有效的阻止了安全威脅在云環(huán)境下的傳播。
