虚拟云网络

云化环境安全微分段功能及实现

在疫情时期,为了避免新冠病毒的传播,口罩几乎成了每个人的标配,这关乎着每个人的生命安全和健康,每个人的安全隔离是减少疫情传播最有效的手段。同样,在数字化时代,企业IT云基础架构安全也是一个不容忽视的主题。

随着企业IT数字化转型的进程,网络和安全的复杂性给企业带来了很多的挑战,企业的目标是从集中的数据中心转移到超分布式的应用和数据中心,通常情况下跨越多个地理位置,同时应用架构和部署方式发生了巨大的变化,从传统的单体应用向多层应用转变,甚至对于某些应用开始采用微服务架构,这给管理和维护带来了挑战。而传统的安全只是边界安全,在边界内部VM没有“戴口罩”,其中某个VM受到病毒的威胁,它可能会把病毒传播到其它的VM,甚至传播到数据中心内部所有的VM,为了防止病毒的传播,需要为每一个VM“戴口罩”,而为每一个VM“戴口罩“并不是一件容易的事情。

VMware NSX Data Center(以下简称NSX)有非常多的应用场景,其中一个非常重要应用场景就是云安全应用场景,它可以非常方便的为每一个VM“戴口罩”,实现VM之间的安全隔离和自我隔离,以防止病毒的传播,同时能够自动排除受病毒威胁的VM,实现零信任的安全模型。

NSX微分段技术好比“口罩”一样,微分段的安全策略可以应用到每个VM或pod容器上,同时可以提供异构环境下安全策略管理,它除了为vsphere平台提供微分段,也可以为KVM、容器以及公有云上的VM或容器,甚至裸金属服务器提供微分段能力,如下图所示:

通过NSX Manager控制台统一将安全策略下发到应用运行的地方,实现应用微分段技术,进而实现东西向安全隔离。

NSX微分段功能一:在异构环境下为工作负载提供东西向安全防护能力,实现零信任的安全模型,为每个VM、容器Pod、祼金属服务器“戴口罩”,安全策略下发到Hypervisor内核,防止威胁的传播,精细化网络安全管理。

NSX微分段功能二:在不改变现网架构的基础上,灵活插入微分段安全策略,不中断业务,提供VM或容器pod东西向安全隔离。

 

 

NSX微分段功能三:环境感知,基于应用环境动态安全分组,可以基于虚拟机的属性,包括不限于虚拟机名称、虚拟机标记、虚拟操作系统类型实现动态安全分组,简化安全策略的运维管理。

NSX微分段功能四:与微软AD集成,实现基于身份的分布式防火墙,通常用于VDI环境和RDSH环境。数据中心的安全管理员可以通过调用登陆到AD的用户信息设定这一用户能够访问业务范围,真正做到使用者到业务的安全防护。一方面,同一服务器上的不同业务间也可以实现了安全隔离。另一方面,直接对业务的访问者进行认证,完全脱离传统的IP和位置的繁琐的安全部署方法论,增强了数据中心的防御体系。

NSX微分段功能五:NSX内置NSX Intelligence,它是一个分布式分析引擎,它利用NSX特有的工作负载和网络上下文,提供了融合的安全策略管理、分析和合规性,并具有数据中心范围内的可视性。提供自动安全策略和安全组推荐,并根据策略推荐结果一键应用至NSX分布式防火墙,这在大规模安全策略部署中非常有用,简化了策略(“口罩”)的部署和人为的错误。

NSX微分段功能六:NSX分布式防火墙微分段支持7层特性,能够识别应用,它内置了企业级应用的APP-ID,安全规则的配置可以基于上下文配置文件实现。可以基于7层APP-ID,仅允许匹配APP-ID的流量通过,而不依赖于端口号。除了 APP-ID,还可以在上下文配置文件中设置完全限定域名 (FQDN) 或 URL 来将 FQDN 加入白名单。可以在上下文配置文件中与 APP-ID 一起配置 FQDN,或者可以在不同的上下文配置文件中设置每个 FQDN。定义上下文配置文件后,即可将其应用于一个或多个分布式防火墙规则。

NSX微分段功能七:在应用的源端直接安全策略匹配,贴近应用执行安全策略,仅授权的流量才能进入物理网络,同一主机内部不同虚拟机之间的安全流量不需要经过物理网络,减轻了物理网络的压力,提升了业务之间的端到端延时。

 

NSX分布式防火墙微分段实现原理如下图所示:

 

NSX分布式防火墙采用控制转发分离的架构,管理和控制合一,管理平面通过NSX Manager实现,通常部署为3个节点的集群,提供GUI或者Restful API配置安全策略,NSX Manager将用户发布的策略推送到NSX manager中的控制平面服务进而推送到数据平面,为了监控和排错,NSX manager通过MPA检索DFW的状态和流的统计数据。

控制平面包括两个组件,一个集中的控制平面(CCP),另外一个是本地控制平面(LCP)。CCP部署在NSX manager集群中,通过CCP与LCP之间的通信,将安全策略推送到数据平面。

数据平面部署LCP,接收配置的安全策略并在Hypervisor内核执行安全策略。

最后,总结一下,NSX微分段提供了非常细粒度的安全防护能力,粒度可以细化到虚拟机的虚拟网卡级,提供异构环境和多云环境下一致的网络安全策略,并且提供了丰富的功能,为每个虚拟机“戴口罩”,保护自身,也保护它人,同时提供L2-L7的东西向安全防护能力,有效的阻止了安全威胁在云环境下的传播。