posted

0 Comments

NSX Data Center (本文中簡稱 NSX) 的分散式防火牆除了能夠識別應用之外,還能夠識別用戶,這樣就能夠針對使用者組來定義防火牆規則,實現針對某一組特定使用者的網路訪問進行控制。例如,我們可以只允許財務部門的員工訪問財務類應用,人事類應用則只允許人事部門的員工訪問。

這種針對用戶的存取控制跟 NSX 的微分段功能是有區別的,微分段功能是針對資料中心的,前提是每台伺服器上都安裝了 NSX Data Center 軟體,微分段是通過每個虛機上的分散式防火牆來實現的,跟著虛機走。用戶身份識別和存取權限控制則把範圍擴展到了資料中心以外的用戶端,跟著用戶的 Windows 桌面會話而產生作用。桌面會話 (Session) 是指從用戶登錄開始到退出登錄之間的整個操作交互過程,用戶都是通過自己的桌面會話來訪問資料中心內的企業應用,這種桌面會話通常有以下幾種類型:

  • 物理桌面:PC 電腦一般是部署在資料中心以外的辦公網路中的,PC 上也沒有安裝 NSX 軟體,但是只要是用 AD 用戶身份登錄 Windows 桌面,NSX 就能夠識別從這個桌面到資料中心的資料包是屬於哪個使用者的。
  • VDI 虛擬桌面:VDI (Virtual Desktop Infrastructure) 是虛擬化桌面最常見的一種方式,使用者的 Windows 桌面運行在資料中心內的虛擬機器中,通過瘦客戶機遠端存取虛擬桌面。桌面虛機有專用和共用兩種情況,共用類型的桌面就不能通過微分段來設定從這個桌面出發的存取控制了,必須按登錄用戶來進行存取控制。
  • RDSH 遠端應用:RDSH (Remote Desktop Service Host) 是由 Windows Server 提供的遠端應用共用服務,伺服器上的應用可以被用戶遠端存取,並且被多個用戶共用,用戶可以通過 PC 或瘦客戶機來遠端存取應用。因為 RDSH 應用是在同一台伺服器上運行並且被多個用戶共用的,所以也需要按照使用者來設置存取權限。(關於 VDI 和 RDSH 的區別,可以閱讀這篇文章)。

具有這種用戶身份感知能力的防火牆叫作“身份防火牆 (Identity Firewall)”,NSX 是通過以下兩種方法來識別用戶身份的:

  • Guest Introspection (客戶機偵測):客戶機偵測是一種安全服務擴展機制 (另一種是網路偵測 Network Introspection),它通過虛機內安裝的 VMware Tools 來把使用者登錄會話的相關資訊發送給 NSX Manager,從而讓 NSX 知道在各個虛擬桌面上的會話屬於哪個用戶。
  • Active Directory Event Log Scraper:NSX Manager 通直接訪問 AD 安全事件日誌來獲得桌面會話所屬的使用者資訊。

管理員可以根據需要來選用以上兩種方法中的一種來讓 NSX 從 Active Directory 中獲得使用者登錄的資訊,從而實現使用者身份感知能力。

 

在下面的例子中,有兩種類型的組:

  • Active Directory 用戶組:HR-AD-GROUP (人事部) 和 ENG-AD-GROUP (工程部);
  • NSX 中的安全性群組 (Security Group): 這是 NSX 用於管理物件的一種機制,下例中的安全性群組 SG-HR-APP 包含了人事類應用。

NSX 的分散式防火牆中有兩條規則:

  • Allow HR to HR App:允許屬於 HR-AD-GROUP 的用戶訪問屬於安全性群組 SG-HR-APP 中的應用;
  • Block All to HR App:除了上述規則以外的其他使用者都不允許訪問安全性群組 SG-HR-APP 中的應用。

用戶 Bob 是屬於人事部門的員工,可以通過 RDSH 會話訪問應用 APP;但是 Alice 是屬於工程部的員工,所以她不能訪問這個應用。

 

下面給大家看一個展示 NSX Data Center 使用者身份感知能力的演示視頻。

 

 

擴展閱讀

VMware 和 Intel 攜手網路和安全轉型,共同打造虛擬雲網路 (Virtual Cloud Network),為數位化時代確定網路發展前景。虛擬雲網路基於運行在 Intel 架構上的 NSX 技術而構建, 跨資料中心、雲、邊緣環境和任意硬體基礎架構提供無處不在的基於軟體的網路連接,具有以下特點:

  • 跨雲的網路架構為用戶提供端到端的連接
  • 內置於基礎架構的原生安全性
  • 基於軟體而交付的網路具有最大的靈活性

利用這一平臺,無論應用運行在哪裡 (現場或是雲端),用戶都能夠保證應用架構的安全;並且統一所有分支機搆和邊緣環境的網路連接,以支撐業務運行。