前面几篇文章依次介绍了 NSX 微分段的技术实现、基本的安装和使用功能,这篇介绍下 NSX 微分段的一些使用场景,希望能够抛砖引玉,让大家发现 NSX 微分段的更多潜力。
01
—
阻断
在
NSX从入门到精通(4):NSX 带来的安全转型-上篇
中,提到了一些企业可能遇到的安全风险,其中有一项是攻击者利用应用的漏洞来攻入企业内网中,而在传统的安全下,内网之内很少会有隔离手段。
因为这种架构的缺陷,在2017 WannaCry 爆发时只要企业有一台机器被感染,通常很多内网机器也会受影响,当时全国几乎所有企业都在做一件事:封端口!
*下图为360企业安全发布的WannaCry工作原理及临时解决方案
可能有人注意到 WannaCry 的一个感染流程是:扫描其他漏洞主机。很多恶意攻击的基础原理就是先进行端口扫描,端口扫描可以获得两个信息:开放端口(应用程序)和操作系统类型及版本。再利用这些信息查询相关的操作系统或应用程序漏洞,再利用漏洞进行攻击。
而以上的工具和资源,对于任意一个懂计算机的人都是可以轻易获取到的。
*下图为通过nmap扫描一台Windows机器的结果
操作系统和应用的漏洞是不可避免的,是软件就有Bug,我们能做的,就是阻止恶意扫描操作,阻止任何不合规的访问。
如果要在 NSX 环境中进行 WannaCry 的防护,只需要创建几条防火墙策略,点击立即发布即可。
*使用上述 NSX 防火墙策略后,再次通过nmap扫描结果
通过简单的 NSX 防火墙策略,原本操作系统开放的一些端口被关闭,恶意软件则无法再利用这些端口去进行攻击。
02
—
隔离
第一个场景提到 NSX 可以做一些阻挡的操作,不过这样针对性的阻止只能是事后的,最稳固的办法,是一开始就了解该放行哪些端口,剩下的所有访问全部拒绝。
一般的Web应用架构分为三层:Web层、Application层和DB层。
Web层(表现层)直接面向最终用户,提供接收用户输入并展示数据的功能;
Application层(业务逻辑层),处理Web层用户的请求并进行处理,需要和DB层连接调取数据;
DB层(数据层),存储数据,一般运行数据库。
这样的分层架构有着扩展性强、方便维护、安全等特点。通常的访问关系是这样子:
外部可以访问 Web 层的 80/443 端口,Web 层访问 App 层的指定端口,App 层访问 DB 层的指定端口,其他的访问都必须阻止。
传统的安全可以做到不同层之间的访问控制(虽然网络架构会较复杂,难以维护),但做不到同层之间的安全隔离。
而 NSX 的防火墙可以做到任意源到任意目的的访问控制,弥补这部分空缺。
如果企业内有很多部门,而部门和部门之间没有任何业务逻辑关系,那部门之间也需要做到隔离,对于 NSX 来说也不是什么难题,只需根据部门业务关键词(例如Fin和HR),配置一条 Fin 虚拟机到 HR 虚拟机不能相互访问的策略即可。
或许正是因为察觉到了目前虚拟化的安全风险,在2017年国家颁布的《信息安全技术网络安全等级保护基本要求 第2部分:云计算安全扩展要求》中,明确要求云租户能够设置不同虚拟机之间的访问控制策略,且要求安全策略能跟随虚拟机进行迁移。
NSX 正是满足等保 2.0 云计算安全扩展要求的最佳解决方案。
下面为 NSX 动态安全组和防火墙的演示视频,时长13分钟:
03
—
安全联动
NSX 提供多种接口供第三方安全产品集成,通过一些标准的组件(如安全标记,详见NSX从入门到精通(7):NSX 微分段架构、组件及实践 Part2)实现安全产品间的联动。
NSX 介于虚拟机和第三方安全产品之间,提供安全的标准接口,提供安全融合的接口。
在具体应用上,有以下使用场景:
1、防病毒软件与 NSX 实现的无代理防病毒
NSX 之前,虚拟化防病毒有两种存在形式:每个虚拟机都部署防病毒代理、或者利用 VMware 提供的vShield Endpoint进行无代理防病毒。
从 vSphere6.5 以后,vShield Endpoint 已经被 NSX 替代,未来 vSphere 环境的无代理防病毒解决方案都需要通过 NSX 来实现。
集成之后一个很大的好处是能够以安全标记为中心,做到防病毒软件和 NSX 防火墙的联动,或者说安全自动化:
2、NGFW、IPS、IDS 等与 NSX 集成
NSX 具备2~4层防火墙功能,目前6.4及以后版本支持7层应用识别,而在一个完整的安全解决方案中,通常还需要NGFW、IPS、WAF等组件。
NSX 提供NetX接口,可以让多个厂商的安全产品以虚拟串联的形式集成起来,虚拟机的流量可以依次通过各个厂商的安全设备进行扫描和分析,借助安全标记,也可以实现安全的联动。
例如, IPS/IDS 通常会扫描经过其的数据包,通过一些特征库判断是不是存在攻击,而判断结果可能为“确认为攻击”、“疑似威胁”和“正常”。
对于确认的攻击可以直接进行阻拦;对正常的包进行放行;而疑似威胁的包可以临时让 NSX 防火墙进行隔离,例如禁止访问互联网。
接着 IPS/IDS 将疑似威胁的包发回安全产品的云端沙箱进行分析,分析完成后 IPS/IDS 再根据分析结果进行更加确切的阻止或放行操作。
3、等保 2.0 的安全要求
在等保2.0中除了对虚拟机网络访问控制有要求外,也提到了虚拟机之间、虚拟机到物理机的流量识别和监控,在NSX从入门到精通(8):NSX 微分段的周边第二、三部分均介绍了如何在 NSX 环境下做到流量可视化;
等保2.0还要求平台提供开放接口,允许接入第三方安全产品,这其实就是将上述两个安全产品结合的场景列为了等保建设的必需项。
04
—
多数据中心的统一安全
多数据中心的统一资源池一直是近几年很多企业的 IT 建设方向,尤其是有多个分支的企业、多个校区的高校、多个分院的医院等等。
多中心统一资源池建设有以下优点:
1、统一管理,减少管理成本;
2、资源池化,灵活进行资源调度,提高各个中心计算资源的利用率,减少硬件投资,降低整体运营成本;
3、灾备和双活,在多地存储重要数据,避免自然灾难带来的数据丢失,尽量减少重大事故时重要业务的中断时间;
4、方便在其之上建立云平台,云平台只负责资源的分发和业务自动置备,而无需关心底层架构的复杂性。
多中心资源池的建设基础是虚拟化,虚拟化能够排除基础架构底层硬件的差异性,为虚拟机提供标准的计算和存储资源,进而实现业务在多中心不同的硬件架构上任意移动。
在上述架构中,虚拟机跨中心在线迁移技术已经很成熟,但有个小小的问题,虚拟机在线迁移后也需要对外提供服务,而这时候,要求无论虚拟机到哪里,网络和安全就需要跟随到哪里。
以两个数据中心为例,为了保证任意一个中心的故障不会导致其他中心无法管理,需要在每个数据中心部署一套 vCenter,每个 vCenter 只管理本地的主机和虚拟机;为了实现统一管理,需要配置 vCenter 增强链接模式将多个 vCenter 链接在一起,登陆任意一个 vCenter 都可以统一管理所有资源。
*下图为 vSphere + SRM 实现双数据中心灾备的架构图,每个中心都有独立的管理组件存在,对应组件之间配置了关联
一个 vCenter 就是一个管理域,在 NSX-v 的架构下,每个 vCenter 需要对应一个 NSX manager,意味着多个 vCenter 时,会有多个 NSX manager,也就意味着有多个 NSX 环境。
NSX 从 6.2 版本开始发布了 Cross vCenter NSX 这一功能,允许将多个 NSX manager 关联起来,实现统一的安全。
如上图,Cross-VC NSX 有一个 Primary NSX Manager 节点,一般运行在主数据中心,负责全局网络和安全策略的配置及下发。其他站点的 NSX manager 均为 Secondary 节点,通过 Universal Synchronization Service 服务和 Primary 节点同步配置信息。
在 Cross-VC NSX 之后,虚拟化环境里会有两种防火墙,一种是本地的 分布式防火墙 DFW,另外一种是全局分布式防火墙 UDFW(Universal DFW)。
UDFW 即是可以跨越多个数据中心,多个 vCenter 管理域,多个 NSX manager 的全局统一防火墙。
在功能上 UDFW 与 DFW 无任何差别,策略统一配置而分布式数据处理,能保证虚拟机迁移到哪里,安全策略跟随到哪里。
在配置上最新的 NSX 支持利用以下元素创建全局防火墙策略:
全局 IP 地址组
全局 MAC 地址组
全局动态安全组(虚拟机名称、IP/MAC 地址组、安全标记)
*使用 NSX 安全组创建 Universal 防火墙策略,相关对象会有一个小地球的标识
除此之外,Cross-VC NSX 在多中心网络上也有很多增强功能,未来的网络部分会详细介绍。
以上,便是 NSX 在数据中心安全的一些场景,汇总一下,使用 NSX 可以实现阻断、隔离、安全联动和多数据中心统一安全。
阻断:弥补传统安全的空缺,通过微分段实现虚拟网卡级别的最细化的安全管控;
隔离:实现任意组即为安全域,一条策略实现域间的隔离;
安全联动:开放安全接口,可以和第三方安全产品集成实现安全联动,从各个层面增强数据中心安全;
多数据中心统一安全:跨中心实现统一安全管理,保证业务在哪里,安全跟随到哪里。
接下来两篇,会依次介绍 NSX 在 EUC 环境和 vRealize Automation 环境的使用场景。
如果大家喜欢这篇文章或者觉得文章对您有帮助,不妨打赏一下吧~
领取专属 10元无门槛券
私享最新 技术干货