作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化暨分散式安全防護技術方案的介紹與推廣。 

 

 

身份識別防火牆是我們使用NSX時一個非常有趣的安全功能。之前雖然我們在強調NSX的分散式防火牆是標準的L4防火牆,但同時,NSX也可以搭配Guest Introspection Engine來提供用戶身份的識別;藉由用戶登入的身份,來提供虛擬機器不同的防火牆防護政策。採用這樣的機制,我們能夠相當容易地將防火牆的功能與實際的客戶環境與業務做整合,尤其是在桌面虛擬化的應用環境裡面。我們用下面的一個常見場景來進行說明:

 

  • 企業建立桌面虛擬化環境,供內部不同部門的員工,以及不同的外部合作廠商來使用。
  • 各合作廠商登入桌面虛擬化環境時,VDI虛擬機器應該僅能連往專屬於此合作廠商之應用開發環境,不能連到此企業內的任何系統。不同合作廠商間的桌面虛擬化環境網路不能互通。
  • 各部門內部員工登入時,均可連接至企業OA環境。
  • RD部門除共用系統外,可以連接至RD部門內部的開發環境。另外由於機敏資料保密政策,RD人員的VDI電腦間不可以進行檔案傳輸。
  • 財務部門除共用系統外,可接取至財務核心系統
  • 同一個部門內的員工之VDI虛擬桌面機器間可以允許檔案互傳(RD部門除外),但不同部門間不行

 

上面這樣的場景,如果我們用一張圖來描繪,大概是像下面這個樣子:

 

請大家想像一下,如果是像上面這樣的需求,在沒有NSX也沒有身份識別防火牆的狀況下,我們要怎麼達成呢?

 

  • 我們需要建立不同的網段,放置不同部門的虛擬桌面VDI機器。Horizon View的設定內,也必須要建立不同的VDI Pool分別對應各個部門的機器。這代表當單一個Pool的虛擬機器用滿時,我們也不能拿其他的Pool虛擬機器來使用。
  • 我們需要在不同VDI網段之間以及各VDI網段到企業後端環境間部署一個實體或是虛擬機器的防火牆設備,進行各部門虛擬機器間以及到後端環境間的安全政策控制。
  • 要求在RD內部各個桌面虛擬機器不能互通的需求非常難以達成,因為這些桌面都會在同一個網段內。我們可能得用一些像是PVLAN,或是另外建個虛擬防火牆然後一隻一隻腳分別接到不同RD桌面虛擬機器的方式,才有辦法做到。
  • 所有的防火牆控制會很複雜,我們需要去對應不同部門機器的網段位址以及後端系統等的網段位址,然後再去撰寫對應的防火牆規則

 

但在有NSX,而且有身份識別防火牆功能下,事情會變得非常簡單。藉由採用身份識別防火牆,我們在安全上的控制變成是和這台虛擬機器目前是誰登入相關,而和它是在哪個網路上這些就不需要有關係了。如下圖,如果某一台VDI Desktop今天是合作廠商A的用戶登入,此時這台虛機的防火牆政策就可以設定為僅能與合作廠商A的開發平台連接(黃色線)。如果明天同一台VDI Desktop變成是企業自己的員工如RD用戶登入,藉由身份識別防火牆,這台虛機的防火牆政策就改為與企業內部OA環境或是RD開發環境接取。管理與設定上會變得非常單純而且有彈性。

 

也就是說,在上面這樣的情境,當我們是採用NSX身份識別防火牆功能時,

 

  • VDI桌面可以僅需要建立一個單一的Pool給所有不同用戶使用,而且所有的桌面虛機都建立在單一的網段內即可。
  • 在Active Directory內將不同來源的使用者放置於不同的AD群組內。同時利用NSX的Security Group機制,將不同AD群組的用戶對應至不同的Security Group。
  • 於Service Composer內,針對不同Security Group的來源用戶,撰寫可連接系統的防火牆規則,比如說

1.登入用戶為合作廠商A群組的VDI虛機,僅能連接至合作廠商A開發平台內的機器,其他地方的連結都拒絕

 

2.登入用戶為合作廠商B群組的VDI虛機,僅能連接至合作廠商B開發平台內的機器,其他地方的連結都拒絕

 

3.登入用戶為RD用戶的VDI虛機,可以連結至企業OA環境以及RD開發環境。其他以此類推

 

 

  • RD用戶間不能互相溝通的需求要達成也非常簡單,我們只要撰寫一個防火牆規則,把來源機器與目的機器都設定成RD用戶登入的設備,然後拒絕這種型態的連線即可。

 

當採用了NSX與身份識別防火牆功能,企業可以取得的效益包括了

 

  • 達成企業需求的安全控制:無論是不同用戶群組間,或是同一用戶群組內的安全存取控制,或是與後端企業系統的介接,均可輕易地達成與管理
  • 大幅簡化網路與系統的設計與維護:所有的VDI虛機可以放在同一個網段內,也可以直接放在同一個Pool裡面來部署
  • 提升環境資源利用率:不同群組的用戶可以連接到同一個桌面資源池,無需做不同的資源池切分,造成不同用戶群組間之桌面無法共用
  • 無需額外採購防火牆設備來進行相關的桌面防護

 

下一篇網誌內我們會討論身份識別防火牆的建置與設定方式。但在本文最後,我們還是與大家討論一下身份識別防火牆的幾個限制:

 

  • 這個功能主要是使用於Windows的桌面環境,也就是說,沒有支援Linux或其他作業系統的身份識別,而且主要針對的也僅是Windows的桌面機器,比如說Windows 7 / Windows 8,而非可多人登入的系統比如說Windows Server
  • 要使用此功能,企業環境內一定需要有Active Directory
  • 桌面虛擬機器內必須要安裝VMTools,且NSX環境內必須要部署Guest Introspection Module

 

也因此一般來說我們會建議身份識別防火牆的應用場景主要還是應用在桌面虛擬化VDI的環境內,藉由此功能,NSX能夠與Horizon View環境上達成非常好的安全防護,並且提供於VDI環境內各個需求的網路服務功能。