若各位听过或已经在使用 NSX Data Center,相信都很清楚、甚至有实际部署NSX微分段的功能来提供虚拟化环境内的安全防护。微分段功能受到 VMware 客户的广大喜爱,也已经运作在许多中大型企业的生产环境内。但当企业实际要考虑使用微分段到生产环境时,我相信大家一定会思考一个问题:我们怎么知道现在环境内的重要业务网络流有哪些?我们如何能在设定微分段安全规则时,不会去阻挡到正确的网络流,而导致影响业务正常运作呢?
若对于商用方案或许简单一些,安装手册内应该会有完整的防火墙需求列表。而如果是企业自己或透过合作厂商开发的软件呢?许多实际例子内大家会发现,包含开发团队在内可能都不清楚各构件内到底用哪些网络端口进行相互连通。更何况可能有许多旧应用,现在连开发Team在哪边都不知道了。在这种状况下,虽然使用微分段能够完全达成企业需求的安全防护目的,但大家却不敢把这个功能上线,因为一不小心就会把正常业务流给挡掉。那惨了,除了全新建立的数据中心,全部重新开发设计且文件齐全的应用系统,谁敢在现有的生产环境内随意部署NSX来进行微分段功能?
这当然是 VMware 必须要能够协助客户解决的实际问题。本篇公众号内,我想和大家讨论在规划 NSX 微分段方案部署时的方法论,以及相关的使用工具。VMware 的专业服务部门在众多客户都是采用这个方法成功地推动微分段方案上线,在本文内我们与各位进行细部的分享。
如下图,当 NSX 微分段方案要在企业生产环境进行部署前,我们会依据下列的步骤逐步进行规划,这边一步步地进行说明:
步骤一:确认业务范围与构件分类
此步骤内通常需要进行 1~2 周的 Workshop,由 VMware 专业服务团队或是合作的经销商顾问,与客户的业务团队进行数次访谈。访谈要达成的内容包含
- 定义生产环境内有哪些业务应用
- 在各业务应用内,确认含括的虚机 / 容器范围,以及里面的各个构件分类,比如说哪些虚机是 Web-Server、哪些机器是数据库…等等
- 请此业务应用的负责人提供此应用与其他应用间,以及此应用内部各构件间的防护规则
下图是一个简易的购物网站方案构件举例,这些构件可能是在同一个或不同的虚机、容器上。在Workshop内我们应该要至少可以知道这个应用内有包含哪些主要构件(对应到安全群组),每个构件内有包含哪些虚机或容器。
但如同前述,经验上因为各种原因,很多客户无法在访谈时就能提供完整构件间需求的防火墙规则。因此我们可以透过工具的配合来协助查询现有环境内的实际网络流,也就是下面的步骤二。
步骤二:透过访谈或工具,确认防火墙群组及规则
此步骤内,我们会建议以实际的工具安装在客户的实际生产环境内,进行至少 1~2周甚至更长时间的数据收集。大致上的流程包括
- 工具的安装,这边的可用方案包含了vRealize Network Insight (vRNI),或是 NSX Enterprise Plus版本内所包含的 NSX Intelligence 工具
- 在实际生产环境内进行业务网络流收集,持续至少 1~2 周
- 依据工具观察结果,并与应用 Team 回复,进行应用群组间的规则定义与确认,并据以产出修正后的防火墙规则
Network Insight 或是 NSX Intelligence我们在此文后面会进一步说明。但在此步骤内,业务应用实际发生的网络流会被记录,管理者可以透过工具实际检视真实的业务构件连接关系。此步骤建议要持续一段时间,包含主要业务运作的不同历程。比如说1~2周时间看起来很长,但或许并没有包含到备份作业的时间点。这边就需要与客户团队进行实际的讨论。
当工具数据收集结束后,项目团队应该拿相关的结果与应用Team进行第二次讨论,确认各个观察到的网络流是否与应用团队的认知与文件相同。此时,我们就可产出第一版经双方同意的防火墙规则,并在下一步骤内进行初步部署。
下图是利用vRealize Network Insight工具的图标范例。我们可以针对选定的业务系统,看到构件间的网络流关系,并将各个网络流展开确认细部相关信息。
步骤三:配置规则,不进行阻挡,以防火墙 Log 检视规则完整性
在步骤二内我们已可基于工具以及Workshop讨论,产出第一版防火墙规则。但此时仍会担心,是否会有漏网之鱼,造成某些合法的应用行为被阻挡。因此接下来的步骤是我们要实际将防火墙规则部署上去,但暂时不进行阻挡 (Deny / Reject) 的行为,透过防火墙日志持续观察一段时间,确认规则的完整性。本步骤内包含
- 实际进行 NSX微分段方案安装及防火墙规则配置
- 与各业务应用相关的最后一条规则设定为 Permit Any,但不进行阻挡,但此规则需要记录日志 (Log),若有符合则应于后端的日志稽核系统纪录 (如 Log Insight)
- 由日志稽核系统,观察数天各应用的”最后一条 Permit Any 规则”,若有出现在日志内,代表此应用前面相关的防火墙规则有遗漏
- 各业务找到的遗漏防火墙规则,再次与应用 Team 进行规则讨论与确认,并据以修正
虽然前面步骤二透过工具收集应用的网络流,但仍有可能遗漏。可能的原因包含观察的时间不够长,或是工具本身准确度或小流量被遗漏。透过第三个步骤,我们可以在不影响应用运作的状况下,对于防火墙规则进行复核。下图内是我们透过 Log Insight 进行防火墙日志检视的演示画面,各位可以观察到有被记录的网络流信息,并据以进行需求的规则修正。
步骤四:启用防火墙阻挡规则,持续观察与修正
经过前三步骤,包含不同工具的使用、日志检视、以及与业务团队的访谈与检讨,此时部署的防火墙政策应该已经正确度大增了,双方应该都有信心此时可以正式启用阻挡规则。在此步骤我们将各应用最后的默认规则由允许改为拒绝。但当然这边应该要持续进行应用以及防火墙日志的观察与修正,以确认虽然我们透过微分段、白名单的机制对业务系统进行完善的防护,但同时不会对正常的业务运作造成影响。同时,当后续业务有异动,比如说换版等作业时,也应该再就前面的步骤在测试环境内重新进行防火墙规则的确认,并据以更新。
上面我们就微分段部署的建议步骤逐步与各位进行说明。那这边有个问题:在步骤二内,采用的网络流收集工具有包含 vRealize Network Insight或是 NSX内建的Intelligence方案。那么彼此之间有什么差异?建议采用哪一种?
两者各有其优势以及适用的范围。这边我们与大家简述如下:
vRealize Network Insight
vRealize Network Insight可独立购买、随附于NSX Enterprise Plus、或作为专业服务提供微分段评估的工具。此方案的特性为
- 独立于NSX之外的网络管理维运方案,因此在使用时,即使未安装NSX,亦可先独立安装vRNI,提供需求的评估与数据收集作业
- 也因此,无论客户后续选择采用NSX-T或是NSX for vSphere来进行微分段功能,均可采用vRNI作为评估工具
- vRNI的网络流数据源基于vDS或是由NSX防火墙所送出的Netflow信息
- vRNI除了虚拟化环境的网络流分析外,同时亦可藉由SSH / SNMP / Netflow等机制由实体环境的防火墙、交换器、负载平衡器等设备取得信息,提供路径分析与网络环境维运等功能
- vRNI可提供防火墙规则的建议,但不会直接呼叫NSX进行规则派发
- 由于vRNI可独立于NSX进行网络流收集与防火墙规则建议,因此无论客户环境是新安装 (Greenfield) 或是现有已在运作的生产环境 (Brownfield) ,都适合运用 vRNI 作为网络流收集的工具
NSX Intelligence
NSX Intelligence是NSX-T 2.5起提供的网络分析及可视化方案,随附于NSX Enterprise Plus授权内,目前仍是1.0版。此方案的特性为
- NSX-T内建的网络分析方案。使用NSX Intelligence时,需要预安装完成NSX-T,并且将各应用的生产负载虚机转移至由NSX-T所管理的网络环境内。
- 因此客户在采用NSX-T来进行微分段功能时,可使用NSX Intelligence作为评估工具,但若使用NSX for vSphere就不行了(NSX for vSphere内有类似的工具:Application Rule Manager)。当然NSX-T目前已是成熟的方案,我们也推荐客户在新的部署环境内采用NSX-T
- NSX Intelligence网络流数据源并非基于Netflow,而是由分散在各台vSphere内的NSX Agent将信息转送给Intelligence,因此与Netflow相较讯息更完整,后续也可以透过这些细部信息进行异常行为分析
- 但也因此,NSX Intelligence可提供收集、分析的环境,目前也仅限制于NSX本身控管的设备,其他实体网络设备就不包含在内
- NSX Intelligence在提供防火墙建议供管理者检视与修正后,可以直接派发到NSX DFW作为规则
- 由于Intelligence无法独立于NSX之外,NSX需要安装完成、并转移生产业务虚机到此新环境后才能进行相关分析。因此我们建议是在全新安装 (Greenfield) 的数据中心内,才适合使用NSX Intelligence作为网络流收集与防火墙信息评估
下图内我们可看到NSX Intelligence的接口,可收集到所有受NSX控管的虚机及其网络流,并且透过Start New Recommendation可提供防火墙规则建议
在本文内我们针对微分段在企业生产环境内部署的方法论与大家进行了说明,也简述了相关使用到的工具包含vRealize Network Insight、NSX Intelligence、vRealize Log Insight等。这边的运作方式已由VMware项目服务团队以及合作经销商顾问在多个客户实作并进行生产部署,若各位已计划后续会采用NSX微分段机制,请各位放心这是实际可执行、稳定、且大幅提高安全防御的有效方案。
