作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化暨分散式安全防護技術方案的介紹與推廣。 

 

前面談的都是NSX內分散式防火牆的功能。但NSX能協助虛擬環境進行的安全防護功能,在有了Service Composer功能後更進一步地脫胎換骨了。企業在談論安全防護時有兩個重點必須面對:

  • 哪些系統要進行防護?如何指定應保護的物件來加入這些系統,或是可否在選定的物件具備特定特徵時,就加入此系統?要如何將資訊環境內進行安全保護的物件,與業務的需求相對應?
  • 要進行哪些安全防護機制?企業內所部署的不同安全方案,要怎麼應用到這些需要防護的業務系統上?

NSX Service Composer的架構完美地對應並解決了上面的問題。如下圖內所顯示,Service Composer包含了兩個部分:

 

圖說:Service Composer架構

  • Security Group(安全群組)的機制協助定義哪些業務與系統需要被保護。管理者可以用不同的方式,靜態或動態地建立安全群組的成員,並與業務資訊系統,或是需要保護的安全防護目標進行對應。
  • Security Policy(安全政策)可以被指定到Security Group上,定義在此安全群組內虛擬機器的安全防護方式,包括作業系統防護 (Guest Introspection Service) 如何進行、網路封包防護又要如何進行,包含NSX內建的防火牆 (Distributed Firewall),或是搭配其他第三方廠商的網路L7防護機制 (Network Introspection Service)架構。

NSX的Service Composer主要進行的,便是將要保護的對象(Security Group)與要保護的方式(Security Policy)進行結合。用下面幾張圖來進行說明:Service Composer項次內總共有三個工作頁面, Security Group工作頁面如下:

 

圖說:Security Group頁面

 

裡面的資訊包括了

 

Name: 列出目前有哪些已經定義出來的安全群組

 

Security Policies: 列出目前已經套用到這個安全群組的安全政策有哪些。每個安全群組可以套用多個安全政策。點擊選定安全群組內之安全政策的數字,就會彈跳出有哪些安全政策目前正在被套用中。如下圖內,Lab-Windows-Machine這個安全群組,是套用了Trend-Anti-Virus這個安全政策。

 

圖說:點擊選定安全群組內安全政策的數字,會列出目前套用的安全政策有哪些

 

Guest Introspection Services: 列出由於套用之安全政策,目前對應到此安全群組上之系統防護機制有哪些規則。這邊的Guest Introspection Services是新名字,簡而言之就是之前的vShield Endpoint的加強版。這裏的規則可以定義Windows作業系統的虛機要採用哪種防毒機制、系統檢查機制、或是機敏資料掃描機制等等。以下面這張圖,目前Lab-Windows-Machine這個群組所採用的系統防護機制是定義在Trend-Engine這個規則之內

 

圖說:點擊選定安全群組內Guest Introspection Service的數字,會列出套用的系統防護機制規則

 

Firewall Rules: 列出由於套用之安全政策,目前對應到此安全群組上之NSX分散式防火牆規則有哪一些

 

Network Introspection Services: 列出由於套用之安全政策,目前對應到此安全群組上之網路防護機制有哪些規則。這裏的規則可以定義虛機要採用哪種網路防護機制如IPS、L7封包內容檢查、Web頁面檢查等等。如下面,目前DS-Lab-SecurityGroup這個群組所採用的網路防護機制定義了兩組規則:PAN-Outbound / PAN-IPS-Inbound

 

圖說:點擊選定安全群組內Network Introspection Service的數字,會列出套用的網路防護機制規則

 

Virtual Machines: 列出現在被定義在這個安全群組內的虛機到底有哪些。以下面這張圖,將Lab-Windows-Machines群組內的所有30台虛擬機器名字都列出

 

圖說:點擊選定安全群組內Virtual Machines的數字,會列出有哪些虛擬機器包含在此動態群組內

 

上面用表格列出的方法如果大家覺得太枯燥,其實NSX的介面內也有一個圖形化,滿直覺的介面叫做Canvas。Canvas內同樣會列出一個安全群組的成員,以及所套用的安全規則之內容,但是以圖形的方式組合起來,像是下面這樣

 

圖說:Service Composer內安全群組與政策的組合也可以用圖形化方式表示

 

本文的最後再強調一下要表達的重點,藉由Service Composer介面

 

  • 管理者可以方便的定義虛擬機器群組,將對應某一資訊或業務系統的虛擬機器以動態或靜態的方式用Security Group的方式組合起來

 

  • 針對上面的群組,我們可以定義Security Policy,將所要採用的系統、網路等不同安全防護機制應用上去

 

因此在後續的網誌文章,我們就要開始討論可以用哪些動態與靜態的屬性來定義安全群組,以及如何定義與應用不同的安全政策與規則。