NSX Data Center (本文中简称 NSX) 的分布式防火墙除了能够识别应用之外,还能够识别用户,这样就能够针对用户组来定义防火墙规则,实现针对某一组特定用户的网络访问进行控制。例如,我们可以只允许财务部门的员工访问财务类应用,人事类应用则只允许人事部门的员工访问。
这种针对用户的访问控制跟 NSX 的微分段功能是有区别的,微分段功能是针对数据中心的,前提是每台服务器上都安装了 NSX Data Center 软件,微分段是通过每个虚机上的分布式防火墙来实现的,跟着虚机走。用户身份识别和访问权限控制则把范围扩展到了数据中心以外的客户端,跟着用户的 Windows 桌面会话而产生作用。桌面会话 (Session) 是指从用户登录开始到退出登录之间的整个操作交互过程,用户都是通过自己的桌面会话来访问数据中心内的企业应用,这种桌面会话通常有以下几种类型:
- 物理桌面:PC 电脑一般是部署在数据中心以外的办公网络中的,PC 上也没有安装 NSX 软件,但是只要是用 AD 用户身份登录 Windows 桌面,NSX 就能够识别从这个桌面到数据中心的数据包是属于哪个用户的。
- VDI 虚拟桌面:VDI (Virtual Desktop Infrastructure) 是虚拟化桌面最常见的一种方式,用户的 Windows 桌面运行在数据中心内的虚拟机中,通过瘦客户机远程访问虚拟桌面。桌面虚机有专用和共享两种情况,共享类型的桌面就不能通过微分段来设定从这个桌面出发的访问控制了,必须按登录用户来进行访问控制。
- RDSH 远程应用:RDSH (Remote Desktop Service Host) 是由 Windows Server 提供的远程应用共享服务,服务器上的应用可以被用户远程访问,并且被多个用户共享,用户可以通过 PC 或瘦客户机来远程访问应用。因为 RDSH 应用是在同一台服务器上运行并且被多个用户共享的,所以也需要按照用户来设置访问权限。(关于 VDI 和 RDSH 的区别,可以阅读这篇文章)。
具有这种用户身份感知能力的防火墙叫作“身份防火墙 (Identity Firewall)”,NSX 是通过以下两种方法来识别用户身份的:
- Guest Introspection (客户机侦测):客户机侦测是一种安全服务扩展机制 (另一种是网络侦测 Network Introspection),它通过虚机内安装的 VMware Tools 来把用户登录会话的相关信息发送给 NSX Manager,从而让 NSX 知道在各个虚拟桌面上的会话属于哪个用户。
- Active Directory Event Log Scraper:NSX Manager 通直接访问 AD 安全事件日志来获得桌面会话所属的用户信息。
管理员可以根据需要来选用以上两种方法中的一种来让 NSX 从 Active Directory 中获得用户登录的信息,从而实现用户身份感知能力。
在下面的例子中,有两种类型的组:
- Active Directory 用户组:HR-AD-GROUP (人事部) 和 ENG-AD-GROUP (工程部);
- NSX 中的安全组 (Security Group): 这是 NSX 用于管理对象的一种机制,下例中的安全组 SG-HR-APP 包含了人事类应用。
NSX 的分布式防火墙中有两条规则:
- Allow HR to HR App:允许属于 HR-AD-GROUP 的用户访问属于安全组 SG-HR-APP 中的应用;
- Block All to HR App:除了上述规则以外的其他用户都不允许访问安全组 SG-HR-APP 中的应用。
用户 Bob 是属于人事部门的员工,可以通过 RDSH 会话访问应用 APP;但是 Alice 是属于工程部的员工,所以她不能访问这个应用。
下面给大家看一个展示 NSX Data Center 用户身份感知能力的演示视频 (提示:请选择视频下方的“高清 720P”选项来观看) 。
