こんにちは、VMwareの屋良です。
先日開催されたInterop Tokyo 2014にて、弊社ブースに足を運んでいただきありがとうございました。
ブース内のNSXコーナー及びミニシアターなどを通して、NSXをご紹介しておりましたが、NSXエコシステムパートナーである、Palo Alto Networks(PAN)ブースでもNSXの展示を行っていただきました。
本日は、NSXとPANの連携について、改めてご紹介します。
NSX 分散Firewallの特長とエコシステムパートナー連携
NSXでは、機能の1つとして、以下の様な特長を持つ、分散Firewallを提供しています。
- kernel組み込みによる高い処理性能
- ハイパーバイザー単位で分散処理可能なスケールアウト型アーキテクチャ
- VM,vNIC,クラスタといった、オブジェクト単位でのポリシー定義
しかし、現在では、アプリケーションの振る舞いをチェックして制御を行う、といった、より高度なFirewallが求められることも多くなってきています。
そういった、NSXだけで実現できない点に対して、NSXのエコシステムパートナーと呼ばれるパートナー企業がNSXと連携する機能を提供しています。この仕組みを利用することで、以下のようなPANの優れた機能がNSXと一緒に動作することになります。
- アプリケーション等の細やかなトラフィック可視化
- IP,Port番号に依存しない、アプリ、ユーザの識別及びポリシー制御
- 情報漏洩、マルウェアといった未知の脅威からの防御
NSX-PAN構成/動作イメージ
NSXとPAN連携は、大きく以下のコンポーネントによって構成されています。
- NSX:vCenter及び、NSX Manager
- PAN:Panorama(管理コンポーネント)及び、VM-series FW
実際のトラフィックの流れは次のようになります。
- PANにリダイレクトすべきトラフィックか(NSX側に設定)、チェック
- 対象トラフィックはFirewall処理を行うVM-series FWにリダイレクト
その際、通常のネットワークではなく、ハイパーバイザ内の通信パス(VMCI/VM Communication Interface)を利用して行われるため、効率的かつ、Guest VMに対して透過的に行われる(vMotionした際も、もちろん追従可能)
NSX-PAN連携の特長
より高度なFirewall機能をシステムに取り込める点は、もちろんですが、それ以外にも、以下のような特長があります。
- NSX-PAN間でのオブジェクト情報連携:NSXの管理コンポーネントであるNSX ManagerとPANの管理コンポーネントであるPanorama間でオブジェクト情報を連携することで、動的なポリシー制御が可能
これにより、「Webサーバのグループと、Appサーバのグループ間のみ通信を許可する」といったシンプルな定義となるので、ポリシー数が減るだけでなく、ぱっと見ただけで内容が分かるようになります。そのため、ACLのように、1つ1つのポリシーを読み解くという手間を減らすことが可能です。
- PAN VM-serices FW自動展開:Firewall処理を行うPANのコンポーネントであるVM-series FWをホストの増設に合わせて自動展開
NSXは、仮想基盤のリソース追加と同じタイミングで利用できるようになりますが、同様に、VM-series FWもそれに合わせて、自動展開されるため、リソース追加時のVM-series FWセットアップの手間を削減することが可能です。
利用シーン
NSX-PAN連携により、次のような利用シーンが考えられます。
- VDI環境のセキュリティ強化:各ユーザデスクトップからのアクセスをチェックし、マルウェアや不正サイトへのアクセスを検知/制御
- 不正アクセスの被害拡散防止:従来のセグメント間だけでなく、同一セグメント内にあるVM同士の通信についてもチェック/制御することで、仮に侵入されても被害の拡散を防止
下記は、利用シーンの1つである、Webアプリケーションへの適用例となります。「特定キーワードを含むWebサイトへのアクセスをブロック」かつ「各Tier間のアクセスを制限」した例となります。Interop会場においても、オンラインデモを実施していましたので、御覧頂いた方もいらっしゃるのではないでしょうか。
今回は、PANにフォーカスした、連携ご紹介でしたが、エコシステムパートナーは今後も広がっていきますので 、ご期待ください!
