NSX NSX Data Center ネットワーク

NSX-T Data Center NSX 分散ファイアウォールとは – パート2

 

NSX-T Data Center NSX 分散ファイアウォールとは – パート1の続きの記事になります。基本からということで、以下の4点について解説していましたが、前半であるパート1では NSX-T Data Center の NSX 分散ファイアウォールとは、「 ハイパーバイザー で 仮想マシン の vNIC 単位でインラインのステートフルファイアウォールが実行できる」NSX-T の基本機能として基本動作や境界型との違いを解説しました。通称、マイクロセグメンテーション(マイセグ)と呼ばれているこのNSX 分散ファイアウォールの設定方法や活用術を、今回のパート2で触れていきたいと思います。

  1. 基本動作
  2. ゲートウェイ型ファイアウォール との違い
  3. 設定
  4. 活用術

 

 

 

そもそも DFWのルールってどう設定するの?

DFWのルールの構成は、以下の6つです。

 

  1. 送信元グループ  <ダイナミックオブジェクトグループ>
  2. 宛先グループ   <ダイナミックオブジェクトグループ>
  3. L4 (宛先ポート番号/サービス)
  4. L7 (L7プロトコル/プロファイル)
  5. アクション(許可・ドロップ・却下)
  6. 時間(ルールを有効にする期間や時間帯)

 

送信元・宛先グループ    <ダイナミックオブジェクトグループ>

仮想マシンなどワークロードを「グループ」にして、グループ間の通信を許可/拒否といった DFWルールが作成できるようなっており、送信元・宛先グループは 静的なグループと動的なグループが扱えます。

「IPアドレスの範囲を指定」や仮想マシンを指定するなどの静的なグループがあります。
加えて、動的にグループに追加削除など変更が行える「ダイナミックオブジェクトグループ」もあります。

「ダイナミックオブジェクトグループ」では、「NSXタグのマッチ条件」・「仮想マシン名ゲストOS名の文字列でのマッチ条件」・「NSX-T Segment名のマッチ条件」などが使えて様々なグループが作れます。もちろんこれらのマッチ条件はANDで組み合わせるともでき、vCenter Server からのインベントリ情報を利用しつつ、より柔軟に小回りのきいたグループを作ってくことができます。

こちらの例では、3階層アプリのDFWルールでグループに 「Web」「App」「DB」を使っています。

 

 

以下のようなマッチ条件でグループを作っていますので、ここではグループの作成方法を解説していきます。「Web」 という「ダイナミックオブジェクトグループ」の名前をつけています。メンバー選定条件は、仮想マシン名に 「web」を含む、かつNSXタグで「3-tier」と一致するものとなっています。

 

vCenter にある仮想マシンのリストから 「web」でフィルターした結果がこちらになります。仮想マシン名で「web」であれば、3つの仮想マシンが該当することがわかります。

 

 

次にNSXタグの状態を見ていきます。仮想マシンweb-01,02,04にはNSXタグに「3-tier」を割り当てています。

 

 

このように、このタグとの一致と、前述の 「web」を含む仮想マシン名の2つの組み合わせ(AND)によって、今回の3階層アプリのWebグループ 「Web」を作っていました。

では、この条件で意図した仮想マシンがグループに動的追加されているか見てみます。以下の「Web」のメンバー表示で、有効なメンバーが確認できます。意図した通りweb-01,02,04が動的にメンバー追加さてたことがわかります。仮想マシンweb-01,02,04にはNSXタグに「web」を割り当てていて、かつ仮想マシン名で 「web」が含まれているため、このように条件にマッチした仮想マシンがこのグループに動的にピックアップされたことになります。

 

 

グループの作成方法や、意図した仮想マシンが動的にピックアップされる動きをここまで紹介していきましたが、さらに「ダイナミックオブジェクトグループ」の実践的な利活用例をもう少し紹介したいと思いますので、こちらのデモビデオを通してさらに深堀して解説したいと思います。

いかがでしたでしょうか。Windows OSで動作する全仮想マシンに 特定のDFWルールを強制させたり、仮想マシン名にPCIが含まれればより強固なDFWルールを強制したりと、「ダイナミックオブジェクトグループ」があることでIPアドレスに縛られず非常に直感的にファイアウォールルールを取り扱っていくことができますよね。

 

L4 (宛先ポート番号/サービス) ・L7 (L7プロトコル/プロファイル)

DFWのステートフルファイアウォール処理は、L4 と L7 の両方に対応しています。L4はIPアドレスとポート番号による制御で、L7は レイヤー7のプロトコルの動作をチェックして制御するよう動作します。L7 DFWの解説は他の記事で深堀してますので、こちらをご参考ください。

 

アクション(許可・ドロップ・却下)

上記4つのマッチ条件にヒットした場合、ファイアウォールのアクションとして 許可・ドロップ・却下の動作を選択することでき、それぞれのイベントが生じた際には Syslog または Netlow v10/IPFIX でロギングすることができます。VMware vRealize Log InsightvRealize Network Insight でDFWのログ解析ができますよ。

 

時間(ルールを有効にする期間や時間帯)

6つ目は時間です。タイムベースで DFWルールを有効にすることができる機能になります。DFWルールを指定した時間帯のみ実行させる予約機能とも言えます。
日/時間に応じて異なるDFWルールを適用することで、たとえば 「営業時間内はアプリケーションへのアクセスを許可、メンテナンスウィンドウではアプリケーションへのアクセス制限を強制」したり、他には 「経理以外のユーザーが、金融データを含む可能性のあるアプリケーションへのアクセスを “平日夜間と休日は遮断する” 」といったことも簡単に強制するとこができちゃうんです。

 

 

また、各アプリの独自のアクセス管理でそれぞれ実施する必要もなく、DFWで一括して 時間によるアクセス制御ができるようになりますよね。夜間など速やかにインシデントレスポンスを行う事が難しい時間帯には業務上本当に最小限のアクセスだけを許可するルールで運用してあげ流と言った使い方もオススメです。アイディア次第で、より頑丈なマイクロセグメンテーションを作っていくことができますね。

タイムベースによるマイクロセグメンテーションは、ゼロトラストを実現する上でも非常に応用力のある要素となります。非是、より頑丈なマイクロセグメンテーションの実現に向けて、時間による制御もご活用ください。

 

 

NSX 分散ファイアウォール の 活用術

 

詳細についてはまたいつか別の記事でご紹介しようと思いますが、VMware vRealize Log Insight (vRLI) という NSX-T ユーザーですとなんと無償で使える「ログ解析ツール 」がありまして、仮想マシンのDFWのログ、OSのイベントログ、物理ファイアウォールのログなどまでまとめて収集することができます。これらのログを一元的に分析することで、どのサーバが不正アクセスを受け、どの機密データが漏洩したのかなど、緻密なフォレンジック調査を行うことも可能になります。

こちらのvRLIのカスタムダッシュボードの一例です。DFWのルールで、使われなくなった SSL3.0/TLS1.0を ドロップするルールを有効にしています。このルールにヒットしたイベントをvRLIでグラフとして可視化してあげて、意図せず陳腐化したはずのプロトコルが使われようしたことを見つけられるようにしています。もう1つの一例(下図左)は、DFWの許可イベントのヒット数を活かして、許可されたHTTPS通信のフロー数を集計して出力しています。

 

VMware vRealize Log Insightでは、重要な監視項目にしきい値を設定して自動的にアラートを発信させることもできます。さらに、主要機能に豊富な視覚化エンジンがあり、インタラクティブな分析画面、上記の一例のような簡易的に作成できるカスタムダッシュボードもうまく活用することで、アラートを受けとってから問題解決にかかるまでの時間を短縮することも活用いただけます。

 

まとめ

さて、今回は NSX 分散ファイアウォール 紹介シリーズの初回ということで基本的な部分をご紹介させていただきました。NSX 分散ファイアウォール は、VM単位に シンプルなステートフルファイアウォール を提供しますが、ハイパーバイザー で 動作してくれるため、vCenter 基盤全体に対して 全VM 網羅的に 一括して 制御することが得意です。

こちらの記事をご覧になる以前から、データセンター ネットワーク トラフィックでのVM to VM や API to API といった E-W通信に対するネットワークセキュリティの強靭化についてお悩みをお持ちだった方もいらっしゃったのではないでしょうか。

DFWはゲートウェイ型ファイアウォールと同等のステートフルインスペクションやロギングと言ったセキュリティ対策を提供しつつ、分散アーキテクチャによりフルカバレッジでありながらインラインで処理され冗長化の自動化されたシンプルな実装なところが特徴です。

ゼロトラストを実現する仮想基盤を構築する上でも、こうしたロギングまで含めたネットワークセキュリティの健康診断が簡単に実施できて、作業負荷としてもきちんと運用できる範囲内であることが望まれます。NSX 分散ファイアウォール 使うことで、vCenter 基盤全体に対して 全VM 網羅的でより頑丈なマイクロセグメンテーションを作っていくことができますね。

是非 NSX 分散ファイアウォール を活用してみてください。

次回は分散ファイアウォールについて 昨今のサイバーセキュリティ動向と照らし合わせ、その有効性や活用術を紹介したいと思います。

 

 

– – – – – – – – – – – – – – – – – – – – – – –

過去の関連記事はこちら

– – – – – – – – – – – – – – – – – – – – – – –

 

 

〜お知らせ〜

 NSX-T Data Center、および VMware SD-WAN by VeloCloud  について入門編から中級編まで各種セミナーも定期開催しております。
より詳細についてご興味を持っていただけたお客さまはこちらも併せてご参加をご検討ください。 

各種オンラインセミナーの開催日時はこちらから https://vmware-juku.jp/seminar/


VMwareでは、各種製品をクラウド上でご評価いただくHands-on LabsHOL という仕組みを無償でご提供しています。
今回ご紹介した各種ソリューションへの最初の一歩の入り口としてぜひご活用ください。

おすすめのHOLメニューはこちらから ( http://labs.hol.vmware.com/HOL/catalogs/catalog/1212 )

 

 

Susumu Nagatoishi

ヴイエムウェア株式会社 - ネットワーク&セキュリティ技術本部 - Lead/Staff スペシャリストエンジニア, VCIX-NV(2018,2020,2022), VCAP-NV NSX-T 3.1 Feb/2022, VMware SD-WAN Troubleshoot 2020, CCIE (R/S - 12Years)

関連記事