ネットワーク Network Security NSX NSX Data Center NSX Firewall with Advanced Threat Prevention NSX FW w/ ATP セキュリティ

VDSポートグループ で 分散FW など NSX セキュリティ機能を利用するには

こんにちは、VDSポートグループ (DVPG) で 分散FW など 「NSX セキュリティ機能」が利用できるようになったのをご存知でしょうか?「NSX Security ライセンス」や「Professional」などの 「NSX-T ライセンス」であればVDSポートグループ(DVPG)でNSX セキュリティ機能が利用できます。では、利用するにあったってどういった条件があるのか、使い所は?といったユースケースをここでご紹介したいと思います。

 

 

NSX-T を使用することで、NSX 分散仮想スイッチ (N-VDS) を展開することなく、vSphere Distributed Switch (VDS) に NSXの分散セキュリティをインストールすることができます。これにより、NSX ホスト スイッチによって管理されているかどうかに関係なく、仮想マシンで 分散FW(DFW)などの 「NSX セキュリティ機能」が動作します。

 

 

 

まずは、DVPG で 分散FW など NSX セキュリティ機能を利用するための前提条件を確認していきたいと思います。

 

 

 

 

DVPG で 分散FW など NSX セキュリティ機能を利用するための条件

対応ソフトウェアバージョン:

 

 

対応ライセンス:

  • VMware NSX-T Data Center 3.2.x : 
    • Professional
    • Advanced
    • Enterprise Plus
    • ROBO
      .
      # こちらの KB(860965) にある表の内容のように、VDSポートグループ (vSphere 6.7以降) で 分散FW など NSX セキュリティ機能を利用する「Distributed Firewall for VDS Switchports」が Professional 以上でご利用いただけます。
      .
      .
  • NSX-T 3.2 Security :
    • NSX Distributed Firewall
    • NSX Distributed Firewall With Threat Prevention
    • NSX Distributed Firewall With Advanced Threat Prevention
      .
      # こちらの KB(87077) にある表の内容のように、VDSポートグループ (vSphere 6.7以降) で 分散FW など NSX セキュリティ機能を利用する「Distributed Firewall for VDS Switchports」が NSX Distributed Firewall 以上でご利用いただけます。

 

 

その他の条件:

  • vSphere クラスタに VDSが少なくとも1つ必要、VSS/標準仮想スイッチへでのNSXセキュリティ機能は未対応
  • vSphere クラスタに N-VDS が展開されていないこと
  • コンピュート マネージャが NSX-T に登録されていること
  • [システム] > [クイックスタート] の「セキュリティとネットワーク用のクラスタの準備」から「セキュリティ専用」を用いてクラスタにインストールすること(下図参照)
    .
    ご注意:以下のような手順でインストールする場合には未対応となります
    ・マニュアルでNSXを構成した場合(「ファブリック」からトランスポートノードプロファイルをクラスタに適用する方法)
    ・[クイックスタート] の「セキュリティ専用」ではなく「ネットワークとセキュリティ」でクラスタにインストールする場合

    .

 

 

次に、DVPG で 分散FW など NSX セキュリティ機能を利用するための条件をもとに、インストール手順を見て行きたいと思います。

 

 

 

 

インストール手順

  1. ブラウザから、NSX Manager に管理者権限でログイン
  2. [システム] > [クイックスタート] に移動
  3. [セキュリティとネットワーク用のクラスタの準備] で、[はじめに] をクリック
  4. 分散セキュリティをインストールするクラスタを選択
  5. [NSX のインストール] をクリックして、[セキュリティ専用] を選択

クラスタに NSX がインストールされると、分散ポートグループのオブジェクトが、以下のようにNSX UI のセグメントにも作成されます。

NSX UI では、上図のようにDVPGの「セグメント」は、「NSX セグメント」と別表示になっていますので、DVPGなのかを容易に区別できるようになっています。そして、このDVPGのオプジェクトを使って、NSXのセキュリティルールに利用する「グループ」を作成し、マイセグや分散IPSなどのルールを適用していくことができます。

 

NSXセキュリティがある場合とない場合のクラスタ間での仮想マシンの vMotion

「NSXセキュリティのないクラスタ」から「NSXセキュリティのあるクラスタ」に仮想マシンを vMotion すると、「NSXセキュリティのあるクラスタ」のセキュリティ ポリシーが仮想マシンに適用されます。逆に、「NSXセキュリティのあるクラスタ」から「NSXセキュリティのないクラスタ」に仮想マシンを vMotion すると、セキュリティ ポリシーが削除される動作になります。

 

このように、「NSX 展開済クラスタ」へのvMotionでのマイグレーションができるようになり、切り戻したい場合にもvMotionで簡単に戻せるため、試験導入のハードルを低く抑えることができるようにしています。導入の手間や作業工数も少なく、リスクを抑えた安全な基盤のマイグレーションが実施いただけるようになっています。

 

DVPGで利用可能なNSXセキュリティ機能

インストールはしみてたものの、そもそもDVPGで利用可能なNSXセキュリティ機能とはどういったものがあるのでしょうか。NSXセキュリティでは、DVPG に次のようなセキュリティ関連の機能を提供しています。

このようなUTM製品相当のセキュリティ対策が、ハイバーバイザーにビルトインし、ネットワーク的には透過的に動作します。これにより、エージェントレスで且つネットワークの構成変更なしに、高度なセキュリティ機能を容易にアドオンしていくことができてしまいます。

 

それでは、最後にこうしたセキュリティ機能の活用例として、ユースケースを2つご紹介したいと思います。

 

ユースケース

 

① vSphere基盤の強靭化

昨今の脅威は、一旦DC内部に入られると、セグメント内の通信は全て許可されていたり脅威検知の仕組みがないために、その中は自由に動き回って脅威が拡散したり、侵害がどこまで拡散しているかわからないといった状況が起き始めています。上記の手順を適用するだけで、vSphere基盤でVDSやDVPGの構成はそのままに、NSXセキュリティがアドオンされまして、攻撃・侵害全体の流れを可視化したり、脅威を防御・予防していくことができるようになります。以下のようなNSXの各種セキュリティ機能をフル活用しつつ、管理は NSX Manager で一元管理することで、シンプルなオペレーションで基盤強靭化を施行いただくことができます。

 

 

② VMware Horizon基盤の最新脅威への対策

また、VMware HorizonのようなVDI環境は、常にインターネットアクセスを行う業務にも利用されるプラットフォームになりますが、昨今のアンチウイルスでの防御にも限界がきていたり、パッチ適用までのリードタイムが脅威となってしまうことが終始懸念されます。同じように上記の手順を適用するだけで、ご利用中のVMware Horizonで既存のVDSやDVPGの構成はそのままに、NSXセキュリティがアドオンされ、エージェントレスでアンチウィルスを適用したり、脅威検知した際にVDIを自動隔離していく、IPアドレスに依存せずにVDIにアクセスしているユーザIDをベースにした柔軟で適切なアクセス制御などができるようになります。

 

 

 

さいごに

いかがだったでしょうか。NSXセキュリティは、ネイキッドのvSphereやHorizonなどをご利用のVMwareユーザの皆様に、構成はそのままにセキュリティ機能をあっさりとアドオンしてくれる軽量でカンタンな仕組みを提供してくれます。無数のセキュリティ製品を組み合わせて構築して、セキュリティログをつけ合わせて運用していくこれまでのアプローチから、「次期のセキュリティ対策の予算ではVMwareにビルトインされたNSXを使ってみようかな」と思っていただけたら幸いです。次は是非、弊社セミナーなどにお越しいただけますと幸いです。

 

 

 

本記事のリファレンス

 

– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –

 

〜お知らせ〜

 ※NSX-T Data CenterNSX Advanced Load Balancer、および VMware SD-WAN  について入門編から中級編まで各種セミナーも定期開催しております。より詳細についてご興味を持っていただけたお客さまはこちらも併せてご参加をご検討ください。

各種オンラインセミナーの開催日時はこちらから https://vmware-juku.jp/seminar/

 

  1. VMware の新たな仮想ネットワークソリューションを聞いたみたい!という方はこちら
  2. VMware SD-WANに関するより詳細な解説と動態デモ、デザイン、運用イメージについて説明を聞いたみたい!という方はこちら
  3. VMware でネットワークセキュリティ対策を実現するには?そんな説明を聞いたみたい!という方はこちら
  4. VMware NSX Advanced Load Balancer のメリットやユースケースについて、デモを交えながら詳しく説明を聞いたみたい!という方はこちら

 

※VMwareでは、各種製品をクラウド上でご評価いただくHands-on Labs(HOL) という仕組みを無償でご提供しています。今回ご紹介した各種ソリューションへの最初の一歩の入り口としてぜひご活用ください。
おすすめのHOLメニューはこちらから