作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化暨分散式安全防護技術方案的介紹與推廣。 

 

這一篇我們要先開宗明義,替Micro-Segmentation:微切分來作名詞解釋。之前如果我們到客戶端進行安全方案的介紹或是顧問規劃,第一件事就是告訴客戶你的環境必須要劃分”安全區”,或是說要做企業環境內的”Segmentation”。不同的安全區會具備不同的安全防護等級,進出安全區時,必須透過各種不同的安全方式來進行保護。

 

所以在最早期,各個企業先導入了防火牆將”Internet”與”企業網路Intranet”相隔開。接著更注重安全的企業另外把DMZ區、AP區、DB區、管理區、備份區、OA區、外點環境等等也各自進行了區分。然後各個安全區之間的防護最先是防火牆,後來是IPS,然後防毒牆、內容檢查,等等不同的安全機制都被加入了。大家就這樣做了客戶好多年生意。歌舞昇平,一團和樂~

 

但逐漸地,企業發現了幾個問題:

 

  • 那同一個網段,或是同一個Segment裡面的防護怎麼辦?如果同樣DMZ區內有好幾個不同系統的Web Server,結果有一台Web Server被入侵了,有什麼安全機制能夠防護這台Web Server不去攻擊DMZ區內其他系統的機器?

 

圖說:當IT系統的VM被入侵了,怎麼防護同樣在DMZ網段內其他系統的機器

   

  • 當我們是用”網段”來進行不同安全區的區分時,這代表所有的規則也都必須與網路的設定,比如說IP地址、網段、Mac Address來掛勾。如果我們要針對某一個特定的業務(比如說ERP系統)、或是特定的作業系統(比如說Windows Server 2003)、又或是針對不同的”用戶”登入機器時要設定不同的防護政策,得要怎麼做呢?

 

  • 如果稽核與法規的要求是”每一個封包”都需要進行檢查,做到零信任等級(Zero-Trust)的防護,此時要用哪樣的安全機制來進行落實?

 

  • 當我們將絕大部份的安全檢查、各種不同種類的防護機制都放到核心防火牆上,防火牆的Throughput要買多大?設備上要有多少條規則?

 

圖說:所有的安全防護都得要走到核心防火牆進行,即使只是本地的封包交換

 

在VMware NSX內的安全防護設計,是與原來的邊界式防火牆防禦,或是如Host Firewall / Host IPS等的本機防護架構完全不同。NSX的分散式防火牆 (Distributed Firewall, DFW) 是直接將封包安全檢查放在vSphere Hypervisor內以kernel module的方式運作,直接發生在虛擬機器前面:不是在遙遠的核心防火牆,也不是在Guest-OS裡面裝一個防火牆Agent。防火牆的設定是於NSX Manager或透過CMP雲平台組態集中設定,但運算是分散到各台實體伺服器內的虛擬層各自進行。

 

圖說:分散式防火牆檢查直接於ESXi Hypervisor內,每個虛擬機器之前,進行封包檢查

 

同時除了內建的防火牆外,NSX內的安全防護機制也能具備下列的特徵:

 

  • 結合vCenter內虛擬環境的資訊,並且透過NSX內Service Composer的功能動態設定群組,可將用戶的業務、指定作業系統、或是虛擬環境內特定的Resource Pool / vApp / VM等等作為安全規則指定的對象。因此安全管理者不再需要一定得用IP / Network / Mac Address等等來設定安全規則,而可以用業務、資訊系統、指定機器或作業系統等不同方式來定義安全規則。

 

  • NSX可以整合第三方安全廠商的功能,藉由將每一個虛擬機器的網路封包轉送到同伺服主機內的安全廠商服務VM (如Palo Alto Network, Trend Micro, etc..),NSX能夠讓用戶一方面利用到各安全廠商的強大安全保護機制,另一方面能夠將每一個VM的網路封包都送往安全廠商VM進行檢查,而非通過邊界才能檢查。這邊的功能叫做”Network Introspection Service”,我們會在後面的網誌繼續說明。下面的圖說明Network Introspection Service的機制,可以看出進出VM的網路封包,除了可以透過分散式防火牆 (DFW) 來進行第四層以下的封包檢查外,也可以透過轉送模組(Filtering Module) 送往合作廠商的Service VM進行檢查。

 

圖說:Network Introspection Service

 

  • 與Host Firewall不同,分散式防火牆與Guest OS是分離的。因此,我們當然也不會遭受到使用Host安全機制時所常碰到的管理問題,比如說Security Agent的更新、某些作業系統沒有Security Agent的支援、不一定具備集中管理機制,等等。只要在VMware環境內有支援的作業系統虛機,就能夠受到NSX防火牆的支援

 

後續我們會對NSX內安全防護機制的相關概念與技術做更進一步的說明。最後僅再說明兩點:

 

  • 回答一開始的問題,所以為什麼這個技術叫做”Micro-Segmentation”呢?真正的意義,是既然每個虛擬機器前都直接由Hypervisor內DFW模組進行安全防護,因此每個虛擬機器都是自己的Segment,自己的安全區。我們能夠將安全防護做到細至每一個虛機的單位

 

  • 之前在VMware環境內針對各台虛擬機器進行的系統安全防護,如進行防毒檢查、系統完整性確認等功能,在NSX架構內也都持續支援,目前我們將這樣的防護叫做Guest Introspection Service。NSX同時透過於虛擬機器前端之網路封包檢查包括Distributed Firewall與Network Introspection Service,以及系統IO之防護 (Guest Introspection Service),來達成完整的虛擬機器防護。

 

下一篇我們會開始討論NSX內建的分散式防火牆功能 。