作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化暨分散式安全防護技術方案的介紹與推廣。
本篇網誌內我們來談兩個在VMware NSX Service Composer內的應用場景:Data Security以及Activity Monitoring功能。這兩個都是在採購NSX後直接可以取得、無需額外License的功能,對應到在虛擬環境內的Windows虛擬機器比如說VDI或是Terminal Service的應用,能夠在機敏資料保護以及企業安全監控面進一步強化,可以說是在NSX Micro Segmentation安全保護內,兩個有用但較少被談論到的功能。
首先談到Data Security。歐美日國家特別重視個人機敏資料或是醫療資料的保護,甚至會訂立聯邦或是州法規,要求企業應有定期內稽作業,確認在企業環境內沒有不必要的機敏資料存放在不適當的機器上,比如說像是信用卡類資訊 (PCI, Payment Card Industry)、健康資訊 (PHI, Protected Health Information)、或是個人識別資訊 (PII, Personally Identifiable Information) 等等。因此,企業會需要有安全工具能夠對用戶的桌面機器或企業伺服器進行掃描,一旦發現有機敏資料,比如說信用卡號碼存放在不應該出現的機器,這些工具能夠發出報表告知安全管理者,並依據企業內部的制度進行對應的後續處理。
NSX內的Data Security功能就是因應這樣的需求所產生的工具。這個功能從vCNS時代就已經具備,在工具內已經先內建了多種在歐美國家法規要求進行的個人或健康資料資訊掃描,比如說車牌號碼、社會工作碼、信用卡號碼等。詳細的掃描資訊列表,可以到NSX Administration Guide內的幾個章節:Data Security Regulations / Data Security Content Blades / File Format Supported By Data Security等進行查詢。但當然在台灣因為法規以及環境的不同,一般來說我們的政府與企業可能需要掃瞄的包括信用卡號碼、身分證字號、台灣車牌、病歷號碼、護照號碼等。幸運的是NSX Data Security功能有支援正規表示式 (Regular Expression),因此我們當然也可以利用像是 “ ([A-Z]|[a-z]){1}[1-2]{1}[0-9]{8} “這樣的正規表示式來找身分證字號。
由於Data Security就像是前幾篇網誌與大家介紹的Guest Introspection Services整合的第三方安全方案一樣,是附加於NSX平台的安全掃瞄模組,因此設定時有幾個重點要提醒大家:
- 能夠掃瞄的目的VM必須是Windows的虛擬機器,且此虛機上必須安裝VMTools,且啟用vShield Endpoint的功能
- 必須安裝Guest Introspection Service Module
- 需要被掃描的虛擬機器必須用動態或靜態的方式加入一個安全群組 (Security Group)
- 我們應該設定一個安全政策 (Security Policy) 去對應此安全群組。在安全政策內,必須在Guest Introspection Services設定內,要有一條規則是啟動Data Security功能,如下圖所示:
- 在開始掃瞄前必須先到Data Security內的Manage頁面,於” Regulations and Standards to detect”內選按編輯,然後選擇要使用的掃瞄資料型態。或是如果要採用Regular Expression的話,可以選擇Customer Account Numbers,再把要輸入的Regular Expression輸入在後面的Data Pattern之內,如下圖。
- 同樣在Manage頁面內有Files to Scan的項次,這邊可以設定要掃描哪些不同種類的副檔名種類。
- 在Manage頁面內,按Start按鈕,就會對有啟用Data Security安全政策的安全群組內虛機進行掃描了。當掃描結束,到Monitor頁面內的Dashboard與Report部分,就可以看有哪些VM的哪些檔案會是有違反規則的了。Data Security可以用Pie Chart與長條圖顯示違反安全規則的數目與機器名如下圖,管理者也可以下載對應的CSV檔報告,顯示明確的掃描結果
另一個和大家介紹的是Activity Monitoring功能。Activity Monitoring利用本來在Windows虛擬機器內VMTools vShield Endpoint監控系統IO的功能,能夠對用戶使用了哪些應用程式、連到哪個目的地等用戶活動生出報表進行監控。舉例來說我們想要知道用戶是不是在企業內部使用了一些非法應用,比如說使用utorrent,此時就可以利用Activity Monitoring的報表功能將指定時間內所有用戶的活動列出,並利用搜尋功能找尋可疑的動作。比如說在下圖,管理者可以將三十天內的用戶活動列出,並且以”torrent”關鍵字搜尋所有BT相關的軟體,就可以列出在”av-win7-01a“這台虛機上,曾有以Administrator登入的用戶執行過uTorrent.exe這個應用。
或在下面的另一個搜尋內,我們可以列出HR-user-01這個用戶,到底有使用哪些應用程式,並且更進一步看到有連到哪些外部IP。
要啟用Activity Monitoring功能相當簡單。但一個虛擬機器的行為要能被監控,有兩個條件與大家提醒:
- 這個VM必須是Windows的虛擬機器,且虛機上必須安裝VMTools,且啟用vShield Endpoint的功能
- 必須安裝Guest Introspection Service Module
- 預設在Service Composer內會有一個預先建立的安全群組叫做”Activity Monitoring Data Collection”。任何Windows的虛機必須以自動或手動的方式加入此群組,才會被納入Activity Monitoring的監控範圍
希望在上面的說明內大家能夠對Data Security / Activity Monitoring的功能有基本的認識。NSX內的安全功能希望能做到全方位地包括網路、系統、資料、活動的保護與監控,我們可以搭配第三方頂尖廠商的安全產品來達成,但希望也能讓大家看到,包括採用NSX Service Composer的安全群組、安全政策功能即使僅搭配基本的防火牆以及資料掃描、行動監控的模組,也能做到非常強大的安全保護能力。
Comments
0 Comments have been added so far