網路虛擬化NSX 技術文章系列五十九：怎麼以vRealize Network Insight搭配NSX提供安全微分段規劃

作者： Colin Jao 饒康立 – VMware資深技術顧問，主要負責VMware NSX產品線，目前致力於網路虛擬化暨分散式安全防護技術方案的介紹與推廣。

上篇網誌內我們談了vRealize Network Insight裡面怎麼做搜尋，可以看到哪些虛機與Host的資訊，好好用好厲害，但NSX在哪呢？如果只具備這些功能，那為什麼這個產品叫做”Network” Insight，而不是vSphere Insight或是Virtualization Insight呢？這篇網誌我們要談一個重要的使用情境：Network Insight如何搭配NSX提供微分段方案的規劃與安全防護政策設計。

我相信看本篇網誌的各位，應該有很多已經知道，甚至已經實際部署與應用NSX微分段的功能來提供vSphere資源池內的東西向防護。微分段功能受到我們客戶的廣大喜愛，也已經應用在許多台灣企業的VMware環境內。但是在真的要應用微分段到生產環境內時，我相信大家一定會問自己一個問題：我怎麼知道現在生產環境內的應用網路流有哪些？我們如何能在設定微分段安全規則時，不會去阻擋到正確的網路流呢？

如果是商用軟體或許簡單一些，手冊內可能會有完整的防火牆需求列表。而如果是自己開發的軟體呢？用戶可能會直接發現，包含開發Team都不清楚各構件內到底用哪些網路埠連通的，更何況可能有許多舊應用，現在連開發Team在哪邊都不知道了。這樣沒人敢做東西向防護了，因為一不小心就會把不該擋的正常業務流給擋掉。那慘了，除了全新建立的資料中心，全部重新開發設計的應用系統，誰敢在現有的生產環境內隨意部署NSX來進行微分段功能？

這就是Network Insight進場的重要時間點。Network Insight能夠

• 啟動vSphere Distributed Switch上的IPFIX / Netflow功能，並將整個vSphere環境內的虛機網路流資訊都收集到Network Insight內，進行集中的統計與分析
• 不僅僅顯示IP / 網段間的統計資訊，還可以依據用戶實際的業務系統 / 安全防護群組，進行群組間的網路流分析
• 用戶不需要啟用實體網路設備上的任何特殊功能，只要用戶有Network Insight，vSphere 6以上的資源池並且使用vDS（只要有購買NSX或是採用vSphere Enterprise License都會具備）就能支援上述功能

這個功能在Network Insight內叫作Plan Security。我們把Network Insight安裝完，與vCenter介接，並且設定在vDS上啟用flow收集功能後，Network Insight就會持續地在背景一直收集整個vSphere資源池內的網路流資訊。管理者隨時可以點擊Plan Security功能，並且選擇要看多久時間 (1-day / 3-day … 1-month) 的網路流統計。接著，像是下圖的統計圖就會出現了

網路管理者可能會覺得這和一般的Flow Collector工具有何不同？首先

• 管理員不用到每台交換器、每個VLAN上去把Netflow功能打開。實際上，底層網路設備無需任何更動

• 真正的強項，是這邊的統計方式能夠依據實際的業務規劃，而非一定是IP或網段。在上圖，大家可以看到有各種不同的分類方式，在目前的Network Insight版本，總共的統計分類方式包含了

  • by VLAN / VXLAN / Subnet：依據vDS上的Port Group或是NSX內的邏輯交換器來進行分類，或是直接用不同的網段來分組。這邊就是網路的功能
  • by Application / Tier：用戶可以自訂所要的應用程式群組，以及內部的不同分層（像是Web / AP / DB），再用這來分組
  • by Folder：依據大家在vCenter內怎麼把你的虛機分類到不同Folder來進行統計
  • by Cluster / VM：依據來源在哪個Cluster或是哪個VM來進行統計
  • by Port：依據網路流的不同目的Port （不同服務）
  • by Security Group / Security Tag：在已經安裝了NSX的狀況下，用戶可以先將安全群組或安全標籤設定起來，但不啟用防火牆防護。此時，Network Insight同樣可以依據目前各虛機所隸屬的安全群組 / 安全標籤來進行網路流統計

我們用一個實際的例子讓大家感受一下Network Insight的Plan Security要怎麼用。假設你的環境內有兩個業務系統：HR-System及Fin-System，各自都有Web / AP / DB的機器。我們利用手動建立Network Insight內的Application / Tier（當然也可以用NSX的安全群組 / Security Tag來做）來建立出下列分類：兩個Application，以及各自有三個Tier (Web / AP / DB)

接著就在Network Insight內選擇要進行Plan Security，並直接選擇要看一整個月的網路流，這樣夠久了吧～然後在統計連線圖內，我們就可以選擇要依據哪種分類來看網路流分析。右上角的分類內，選擇採用By Tier的方式進行。在下圖內，我們可以看到所有我們在前面有手動列出的Tiers都有顯示於連線圓餅圖內，除了我們自訂的Tiers外，Others代表沒有被列入Tiers的虛機，其他的分類還有包含來自Internet的IP，或是來自實體設備的網路位址等等。

作為舉例，將游標移到HR-AP-Tier上，我們會看到針對這個Tier分類的所有網路流如下，為了說明起見，我把相關的四個網路流用標號1~4列出

首先是1號黃色的網路流，將游標移到此線上並點擊，我們就會看到對應的相關資訊：

可以看到這個網路流在統計期間內共有兩組，都是流往HR-AP-01的8443 Port。如果我們再點擊上面的Count of Flow下的2，網路流的細部資訊會顯示如下：

總共有兩組網路流分別由HR-Web-01及HR-Web-02流往HR-AP-01的8443 Port。同時包含細部的flow資訊、流量統計等也都提供。

同時大家應該也有注意到在上上圖內的上方有”Recommended Firewall Rules”，這邊就是Network Insight根據實際的網路流統計，提出NSX微分段安全政策的設定建議。因此針對這個網路流，當我們選擇Recommended Firewall Rules時，就會顯示如下：

可看出建議我們設定兩個安全群組：由來源SG-HR-Web-Tier到SG-HR-AP-Tier，並且設定允許TCP的8443 Port服務。這邊就是這個應用由Web到AP之間的Traffic。

同樣地，我們可以看到連線圖內的2號線，點擊下去可以看到HR-AP-Tier與HR-DB-Tier間的連線是Application Server會透過TCP port 3306 (MySQL)去連結到資料庫伺服器。依據這邊的資料，Network Insight也推薦了對應的防火牆規則：由來源SG-HR-AP-Tier到SG-HR-DB-Tier，允許TCP的3306 Port服務。

利用這樣的圖表，不僅是能看到合法的連線，我們同時也可以看是否有奇怪的、值得懷疑需要確認的連線，或甚至是在已經設定了NSX防火牆後，利用此圖表確認網路行為是否符合預期。比如說在上面連線圖內的第3條連線，乍看之下就很奇怪，為什麼Finance系統內的Web機器會連往HR系統內的AP機器呢？點擊一下看到

有奇怪的SSH連線，這就值得調查是合法的行為，還是已經有駭客在內部進行探索了呢。同樣的，連線圖內的第4條連線是由HR-AP-Tier連往其他的機器，把這條連線點擊開可以看到是連往DNS的連線。這看起來應該就還算合理。

在上面的演示內可以看到Network Insight是一個搭配NSX微分段功能非常有威力的工具，我們不再對底層應用到底有哪些連線全然無知，任意的虛擬環境內網路流都能夠被監控與檢討，也能夠成為NSX微分段安全政策設定的依據。下面這張圖內我們列出Network Insight在NSX方案建置前、部署時、以及Day 2維運時能夠發揮的功效，希望讓大家感受到Network Insight確實是在導入NSX時，應該同時考量部署的一個重要維運工具。

下篇網誌會是本系列介紹vRealize Network Insight的最後一篇，我們要來討論另一個功能：利用Network Insight如何建立虛機間的可視化連線關係圖。