作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化暨分散式安全防護技術方案的介紹與推廣。 

 

前一篇與這一篇網誌我們與各位談論的是如何將各資安大廠的方案與NSX進行整合安裝,並且透過我們的Service Composer建立動態安全群組並套用對應的安全政策。在前一篇網誌內我們已經說明了下面的步驟一至四,本篇會繼續就第五至七點進行說明與討論。請大家先參照前一篇的內容後再來服用本篇~

 

圖說:資安廠商整合與Security Policy設定步驟

 

步驟五、設定並配置Security Policy 

 

步驟一到四完成後,我們就可以到NSX介面內的Service Composer -> Security Policies工作頁面來新增安全政策。此頁面會列出目前現有已經建置的安全政策,也可以於左上角按新增圖示,增加新的Security Policy。

 

建立Security Policy時可以看到左方有幾個不同的流程,包括定義政策名稱、設定系統防護機制、設定防火牆規則、設定網路防護機制等。就各流程我們分別進行說明

 

  • 流程一:設定安全政策的名稱,很單純。不過這邊有一個比較特定的設定是將Advanced options打開時,可以設定此Security Policy的權重值(Weight)。Weight的意義是如果當一台VM由於隸屬多個Security Group,因此被設定了多個Security Policy時,Weight值越高的Security Policy會優先被使用。如果在會採用多組Security Group / Security Policy的環境內,管理者應該要考慮安全政策的優先權問題,並進行Weight值的調整。

 

  • 流程二:設定要採用的系統防護機制 (Guest Introspection Services)。這邊如果需要,可以同時設定一至多個不同的系統防護方案。按”+”號之後輸入此規則的名稱,最重要的是到”Service Name”內去選用欲採用的系統防護方式。下圖內可以看到可選用的包括了我們在之前步驟安裝之Trend Micro Deep Security,另外也包括了VMware NSX內建的Data Security兩種機制。選定後按OK即完成單一防護規則的制定。如果要採用多個規則的話則再重複上面步驟繼續建立。

  • 流程三:設定Firewall Rules (防火牆規則)。防火牆可以直接在NSX介面內的Firewall內設定,也可以在Security Policy內來定義後續會應用此政策之Security Group防火牆規則。下圖內可以看出與原本設防火牆規則,要設定的包括Action / Source & Destination / Service Type / Log等等項次都很一致。唯一要注意的是在Source與Destination內一定至少要有一個是Policy’s Security Groups;我們總不成設個安全政策規則,結果來源與目的地都與這個安全群組無關吧~

 

  • 流程四:設定要採用的網路防護機制 (Network Introspection Services)。同樣的如果真的需要,我們可以設定一至多個不同的網路防護方案(比如說你又想讓封包先給PAN檢查又給Check Point檢查…)。按”+”號之後輸入此規則的名稱,然後幾個比較重要的設定:
  1. Action:設定要”Redirect to service”
  2. Service Name:這邊下拉式選單,選出要採用的安全服務方案。下圖選用的就是我們在之前步驟安裝之Palo Alto Networks NGFW,或是其他企業所採用的安全方案
  3. Source & Destination:與防火牆相同,至少要有一個是Policy’s Security Group
  4. Service:也可以選定只有哪些Service才要redirect到服務方案去

 

這邊有一個比較重要的設定是通常針對單一方案,比如說Palo Alto Network,我們會設定兩個規則,一個是Outbound規則(Source是Security Group),一個是Inbound規則(Destination是Security Group)。兩個規則會分別負責將進、出指定虛擬機器的網路封包都送給Security Service VM進行檢查。

 

  • 流程五:最後到Ready to Complete內,確認相關資訊後按Finish即完成Security Policy的設定,在Security Policy的頁面就應該可以看到這個新安全政策了

 

步驟六、套用PolicySecurity Group 

 

到上面為止我們建立完成了一個Security Policy。但要讓這個Security Policy生效,我們必須把Policy套用到Security Group上,此時這個Security Group內的虛擬機器才會受到此Security Policy定義的安全機制保護。這邊的步驟很直接:

 

  • 首先到Service Composer內,Security Groups的工作頁面,選擇之前已經建立完成的Security Group。然後在上方,選擇Apply Policy這個圖示

 

  • 接著直接點選要使用的Security Policy就好啦,確認後按OK完成

 

  • 最後可以在Security Policy或是Canvas頁面確認此群組使用的政策、系統防護、防火牆、與網路防護之安全規則,以及目前對應的虛機有哪些

  • 或是更直接一點,如果我們要知道某一個虛機到底現在被套用了哪些安全政策,我們可以直接點擊虛機,於Monitor內選擇Service Composer,就可以查詢Guest Introspection Services / Firewall Rules / Network Introspection Services分別設了哪些規則。在下圖我們可以看到,實際上Lab-Win7 VM被套用了兩個Guest Introspection規則,但僅有第一條有生效(第二條是灰色)

 

步驟七、於資安中心端管理軟體進行安全政策設定: 

 

前面的步驟都完成後,各台虛擬機器就能夠依據我們的安全防護設定與需求,達成

 

  1. 將虛機Guest OS 進出的IO檔案透過VMTools與Guest Introspection Module,送往資安廠商的Service VM進行防毒與安全性檢查
  2. 虛機進出網路封包由NSX內建的分散式防火牆檢查
  3. 虛機進出網路封包轉送給資安廠商的Service VM進行更進一步的L7封包檢查,如IPS or Content Check

 

大家有沒有注意到於第1及第3點,NSX只是把要檢查的檔案或是封包送給資安廠商的Service VM,但NSX本身並未提供檢查與保護。因此到底要做什麼樣的資安防護設定,請大家參考各大廠商的設定文件,到資安的中心端防護平台進行設定。如果是以Trend Micro的Deep Security Manager,可能要設定的包括了

 

  • 在Trend-Micro Deep Security Manager內設定一組安全Policy,並且在這個Policy內進行包括Anti-Malware / Web Reputation / Intrusion Prevention / Integrity Monitoring / Log Inspection等等的政策設定並啟用。

 

  • 同樣在Policy內,可以設定NSX Security Tagging,舉例來說當發現VM有中毒且無法清除時,Deep Security就可以設定此VM一個Security Tag為ANTI_VIRUS.VirusFound。此時我們可以在NSX內建立一個安全群組,設定只要有Security Tag是ANTI_VIRUS.VirusFound的虛機就要加入此群組,然後可以再定義對應這些中毒VM的安全政策如何

 

  • 在Deep Security Manager內選定虛機,套用指定的Policy,並啟用保護。

 

以上,是我們對於與各資安大廠方案的整合方式,以及如何套用相關安全保護的作業機制所進行的介紹。本文最後要感謝Trend Micro的Ken / Albert / Peter以及Palo Alto Network的Bruce與我們一同進行產品與NSX之整合測試與發掘問題。希望在上面網誌的介紹,能讓各位了解NSX與各資安大廠整合的方式。