虚拟云网络

利用 Application Rule Manager 来为应用定义微分段

分布式防火墙 DFW (Distributed Fire Wall) 是 NSX Data Center (后面简称 NSX) 中的一项重要功能,它是由 NSX 软件实现的,所以可以为每一个虚机配置一台分布式防火墙,对每一个虚机进行保护。利用分布式防火墙可以把一组虚机跟其他的网络环境隔离开来,这些虚机就像连接在同一个物理网段上,这个虚拟的网段称之为“微分段 (Micro Segmentation)”,微分段内的虚机才可以相互访问。实际上,这些虚机可能是分布在不同物理服务器上的,这些物理服务器可能位于不同的物理网段,微分段在虚拟网络上把这些虚机与其他网络相隔离。我们可以利用微分段在数据中心内部对虚机进行隔离,把不同业务部门的虚拟服务器分隔在不同的微分段里,减少应用的受攻击面,提高应用的安全性。

微分段有效隔离不同部门的虚机

微分段是一种很好地保护应用和数据安全的机制,但是防火墙规则还是需要由网络管理员手工来创建的,这就要求管理员对企业的应用架构比较熟悉,只有了解了应用之间的调用关系、通讯协议和端口,才能够比较准确地配置好微分段。但是应用一般是由应用组来负责管理的,管理员一般缺乏应用的相关知识;另外数据中心往往运行着上百个应用,采用传统的方法来配置微分段就显得尤为挑战,费时费力、容易遗漏和出错。

从 6.3 开始,NSX-V 中增加了 Application Rule Manager 工具 (后面简称 ARM),来帮助用户自动识别应用之间的通讯模式。在 NSX 虚拟化网络环境下,任何一台虚机都可以被置于监控模式下 (monitoring mode),在这一模式下 ARM 可以对虚机之间的网络数据包进行监控和分析,从而得出虚机之间的通讯模式,并且根据分析的结果来自动生成防火墙规则,来规定虚机之间哪些端口上的哪些协议是允许的、哪些是应该被禁止的,由此创建针对该应用的微分段。ARM 也可以用于分析现有的应用环境,帮助管理员更加深入地了解应用之间的通讯模式,进而对现有的防火墙规则进行调整和优化。

跟 ARM 配套的另一项功能是端点监控工具 EM (Endpoint Monitoring),EM 的分析深入到了虚机内部,它能够看到虚机内部进行网络通讯的应用进程。有了 EM 工具,管理员就可以看到虚机内部有哪些进程在哪些端口上侦听、哪些进程正在试图进行网络连接;甚至可以看到进程的细节,例如进程名字、应用名字、版本号等。举个例子,EM 工具提供的信息能够详尽到:”虚机 VM1 中的一个版本为 <x.xx> 的 SQL client 正在连接虚机 VM2 中的版本为 <y.yy> 的 SQL Server”。
ARM 工具和 EM 工具配合,可以实现强大的分析功能:它可以透过原始的网络数据流 IP 地址,分析出是虚机上哪些应用在进行通讯;它也能够展示虚机的细节属性:所属的安全组、附带的安全标签等;除了网络端口和协议,ARM 也能够识别出应用级的网关,从而把多个网络数据流整合为一种通讯模式。ARM 也能够在应用级的数据流中过滤掉广播和组播数据包,去掉重复的信息和合并同样的通讯模式。通过一系列的分析,ARM 最终能够为用户 建议需要创建的安全组和防火墙规则,管理员只需要按一个按钮就可以发布这些安全规则。

应用规则管理工具 ARM 和端点监控工具 EM 能够帮助管理员更好地了解应用内部或应用之间的网络通讯模式,从信息安全“零信任”的角度来看:所有应用正常工作情况下没有用到的网络通讯都应该被禁止,在防火墙中对应的网络协议和端口应该被设置成为阻止。在识别应用间通讯模式的基础上,ARM 和 EM 工具能够把识别的结果一键转换为防火墙中的规则。下面展示了防火墙策略模型,在所有的安全规则中,应用间和应用内的通讯规则是 ARM 和 EM 工具能够实现的范围。

  • Emergency Rules (紧急规则):用于在紧急情况下隔离或允许某些访问;
  • Infrastructure Rules (架构规则):让 AD、DNS、NTP、DHCP、管理服务等能够正常工作;
  • Environment Rules (环境规则):用于隔离不同类型的环境,如生产和开发环境、PCI (Pay Card Industry) 和非 PCI 环境;
  • Inter-Application Rules (应用间规则):应用间的访问规则;
  • Intra-Application Rules (应用内规则):不同层次之间 (多层架构),或微服务之间 (微服务架构);
  • Default Rule (缺省规则):防火墙的缺省规则就是拒绝,以实现零信任。

自从 ARM 工具推出之后,已经在很多客户的实际环境中得到应用。例如,某个用户使用 ARM 工具监控 Skye 应用20分钟,总共观察到2500个原始数据流,经过分析后合并为300个;ARM 发现其中有79个数据流没有被任何防火墙规则覆盖,最后用户创建了几条新的防火墙规则来覆盖这79个数据流。

 

下面给大家看一个利用 ARM 工具来为应用创建微分段的演示视频 (提示:请选择视频下方的“高清 720P”选项来观看) 。利用 ARM 工具来为应用创建微分段只需要三个步骤:

  1. 启动一个 ARM 监控 Session 来对指定的应用的数据流 (Application Flow) 进行监控,监控的时间根据应用而不同,从几个小时到几天。
  2. 收集到足够的网络包数据之后停止监控 Session,然后让 ARM 来对怍集到的数据进行分析,ARM 根据分析的结果推荐安全组和防火墙规则。
  3. 管理员对 ARM 建议的安全组和防火墙规则进行检查和编辑,确认无误后发布到分布式防火墙,新的防火墙规则开始生效。

 

扩展阅读

VMware 和 Intel 携手网络和安全转型,共同打造虚拟云网络 (Virtual Cloud Network),为数字化时代确定网络发展前景。虚拟云网络基于运行在 Intel 架构上的 NSX 技术而构建, 跨数据中心、云、边缘环境和任意硬件基础架构提供无处不在的基于软件的网络连接,具有以下特点:

  • 跨云的网络架构为用户提供端到端的连接
  • 内置于基础架构的原生安全性
  • 基于软件而交付的网络具有最大的灵活性

利用这一平台,无论应用运行在哪里 (现场或是云端),用户都能够保证应用架构的安全;并且统一所有分支机构和边缘环境的网络连接,以支撑业务运行。