分散式防火牆 DFW (Distributed Fire Wall) 是 NSX Data Center (後面簡稱 NSX) 中的一項重要功能,它是由 NSX 軟體實現的,所以可以為每一個虛機配置一台分散式防火牆,對每一個虛機進行保護。利用分散式防火牆可以把一組虛機跟其他的網路環境隔離開來,這些虛機就像連接在同一個物理網段上,這個虛擬的網段稱之為“微分段 (Micro Segmentation)”,微分段內的虛機才可以相互訪問。實際上,這些虛機可能是分佈在不同物理伺服器上的,這些物理伺服器可能位於不同的物理網段,微分段在虛擬網路上把這些虛機與其他網路相隔離。我們可以利用微分段在資料中心內部對虛機進行隔離,把不同業務部門的虛擬伺服器分隔在不同的微分段裡,減少應用的受攻擊面,提高應用的安全性。
微分段有效隔離不同部門的虛機
微分段是一種很好地保護應用和資料安全的機制,但是防火牆規則還是需要由網路系統管理員手工來創建的,這就要求管理員對企業的應用架構比較熟悉,只有瞭解了應用之間的調用關係、通訊協定和埠,才能夠比較準確地配置好微分段。但是應用一般是由應用組來負責管理的,管理員一般缺乏應用的相關知識;另外資料中心往往運行著上百個應用,採用傳統的方法來配置微分段就顯得尤為挑戰,費時費力、容易遺漏和出錯。
從 6.3 開始,NSX-V 中增加了 Application Rule Manager 工具 (後面簡稱 ARM),來幫助用戶自動識別應用之間的通訊模式。在 NSX 虛擬化網路環境下,任何一台虛機都可以被置於監控模式下 (monitoring mode),在這一模式下 ARM 可以對虛機之間的網路資料包進行監控和分析,從而得出虛機之間的通訊模式,並且根據分析的結果來自動生成防火牆規則,來規定虛機之間哪些埠上的哪些協議是允許的、哪些是應該被禁止的,由此創建針對該應用的微分段。ARM 也可以用於分析現有的應用環境,幫助管理員更加深入地瞭解應用之間的通訊模式,進而對現有的防火牆規則進行調整和優化。
跟 ARM 配套的另一項功能是端點監控工具 EM (Endpoint Monitoring),EM 的分析深入到了虛機內部,它能夠看到虛機內部進行網路通訊的應用進程。有了 EM 工具,管理員就可以看到虛機內部有哪些進程在哪些埠上偵聽、哪些進程正在試圖進行網路連接;甚至可以看到進程的細節,例如進程名字、應用名字、版本號等。舉個例子,EM 工具提供的資訊能夠詳盡到:”虛機 VM1 中的一個版本為 <x.xx> 的 SQL client 正在連接虛機 VM2 中的版本為 <y.yy> 的 SQL Server”。
ARM 工具和 EM 工具配合,可以實現強大的分析功能:它可以透過原始的網路資料流程 IP 位址,分析出是虛機上哪些應用在進行通訊;它也能夠展示虛機的細節屬性:所屬的安全性群組、附帶的安全標籤等;除了網路埠和協定,ARM 也能夠識別出應用級的閘道,從而把多個網路資料流程整合為一種通訊模式。ARM 也能夠在應用級的資料流程中過濾掉廣播和組播資料包,去掉重複的資訊和合併同樣的通訊模式。通過一系列的分析,ARM 最終能夠為使用者 建議需要創建的安全性群組和防火牆規則,管理員只需要按一個按鈕就可以發佈這些安全規則。
應用規則管理工具 ARM 和端點監控工具 EM 能夠幫助管理員更好地瞭解應用內部或應用之間的網路通訊模式,從資訊安全“零信任”的角度來看:所有應用正常工作情況下沒有用到的網路通訊都應該被禁止,在防火牆中對應的網路通訊協定和埠應該被設置成為阻止。在識別應用間通訊模式的基礎上,ARM 和 EM 工具能夠把識別的結果一鍵轉換為防火牆中的規則。下面展示了防火牆策略模型,在所有的安全規則中,應用間和應用內的通訊規則是 ARM 和 EM 工具能夠實現的範圍。
- Emergency Rules (緊急規則):用於在緊急情況下隔離或允許某些訪問;
- Infrastructure Rules (架構規則):讓 AD、DNS、NTP、DHCP、管理服務等能夠正常工作;
- Environment Rules (環境規則):用於隔離不同類型的環境,如生產和開發環境、PCI (Pay Card Industry) 和非 PCI 環境;
- Inter-Application Rules (應用間規則):應用間的訪問規則;
- Intra-Application Rules (應用內規則):不同層次之間 (多層架構),或微服務之間 (微服務架構);
- Default Rule (缺省規則):防火牆的缺省規則就是拒絕,以實現零信任。
自從 ARM 工具推出之後,已經在很多客戶的實際環境中得到應用。例如,某個用戶使用 ARM 工具監控 Skye 應用20分鐘,總共觀察到2500個原始資料流程,經過分析後合併為300個;ARM 發現其中有79個資料流程沒有被任何防火牆規則覆蓋,最後使用者創建了幾條新的防火牆規則來覆蓋這79個資料流程。
下面給大家看一個利用 ARM 工具來為應用創建微分段的演示視頻。利用 ARM 工具來為應用創建微分段只需要三個步驟:
- 啟動一個 ARM 監控 Session 來對指定的應用的資料流程 (Application Flow) 進行監控,監控的時間根據應用而不同,從幾個小時到幾天。
- 收集到足夠的網路包資料之後停止監控 Session,然後讓 ARM 來對怍集到的資料進行分析,ARM 根據分析的結果推薦安全性群組和防火牆規則。
- 管理員對 ARM 建議的安全性群組和防火牆規則進行檢查和編輯,確認無誤後發佈到分散式防火牆,新的防火牆規則開始生效。
擴展閱讀
VMware 和 Intel 攜手網路和安全轉型,共同打造虛擬雲網路 (Virtual Cloud Network),為數位化時代確定網路發展前景。虛擬雲網路基於運行在 Intel 架構上的 NSX 技術而構建, 跨資料中心、雲、邊緣環境和任意硬體基礎架構提供無處不在的基於軟體的網路連接,具有以下特點:
- 跨雲的網路架構為用戶提供端到端的連接
- 內置於基礎架構的原生安全性
- 基於軟體而交付的網路具有最大的靈活性
利用這一平臺,無論應用運行在哪裡 (現場或是雲端),用戶都能夠保證應用架構的安全;並且統一所有分支機搆和邊緣環境的網路連接,以支撐業務運行。
