作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化、分散式安全防護技術與新應用遞送方案的介紹與推廣。

在前篇內我們討論在客戶生產環境現有運作應用系統上要部署微分段功能時,建議進行步驟的第一項。本篇網誌內會繼續討論步驟二及三。回憶一下這四個步驟如下圖:

步驟二:透過訪談或工具,確認防火牆群組及規則

 

在步驟一內我們和客戶進行訪談,而步驟二中,則需要以實際的工具安裝在客戶的實際生產環境內,進行建議 1~2週甚至更長時間的資料收集。大致上的流程包括

 

  • 工具的安裝,這邊的可用方案包含了vRealize Network Insight (vRNI),或是 NSX Enterprise Plus版本內所包含的 NSX Intelligence 方案。如果目前因為各種限制仍在使用NSX for vSphere,Application Rule Manager也是同樣可使用的工具。

 

  • 在實際生產環境內進行業務網路流收集,持續至少 1~2 周

 

  • 依據工具觀察結果,並與應用 Team 回覆討論,進行應用群組間的規則定義與確認,並據以產出修正後的防火牆規則

 

Network Insight 或是 NSX Intelligence我們會在後續文章內進一步說明。但無論使用哪個工具,此步驟內業務應用實際發生的網路流會被記錄,管理者可以透過工具實際檢視真實的業務構件連接關係。此步驟建議要持續一段時間,包含主要業務運作的不同歷程。比如說1~2週時間看起來很長,但或許並沒有包含到備份作業的時間點。這邊就需要與客戶團隊進行實際的討論。

 

當工具資料收集結束後,專案團隊應該拿相關的結果與應用Team進行第二次討論,確認各個觀察到的網路流是否與應用團隊的認知與文件相同。此時,我們就可產出第一版經雙方同意的防火牆規則。這個規則包含了

 

  • 此業務內的構件分類,並定義出不同的群組 (Group)

 

  • 由工具觀察結果,確認群組間的防火牆規則定義

 

下圖是採用vRealize Network Insight工具的圖示範例。我們可以針對選定的業務系統,看到構件間的網路流關係,並將各個網路流展開確認細部相關資訊。

步驟三:配置規則,不進行阻擋,以防火牆 Log 檢視規則完整性

 

在步驟二內我們已可基於工具以及Workshop討論,產出第一版防火牆規則。但此時仍會擔心,是否會有漏網之魚,造成某些合法的應用行為被阻擋。因此接下來的步驟是我們要實際將防火牆規則部署上去,但『暫時不進行阻擋 (Deny / Reject) 的行為』,透過防火牆日誌持續觀察一段時間,確認規則的完整性。本步驟內包含

 

  • 實際進行 NSX微分段方案部署及防火牆規則配置

 

  • 與各業務應用相關的最後一條規則設定為 Permit Any,但不進行阻擋,但此規則需要記錄日誌 (Log),若有符合則送往後端的日誌稽核系統紀錄 (如 Log Insight)

 

  • 由日誌稽核系統,觀察數天各應用的”最後一條 Permit Any 規則”,若有出現在日誌內,代表此應用前面相關的防火牆規則有遺漏

 

  • 各業務找到的遺漏防火牆規則,再次與應用 Team 進行規則討論與確認,並據以修正

 

雖然前面步驟二透過工具收集應用的網路流,但仍有可能遺漏。可能的原因包含觀察的時間不夠長,或是工具本身準確度 / Sampling 遺漏小流量等狀況。透過第三個步驟,我們可以在不影響應用運作的狀況下,對於防火牆規則進行覆核。下圖內是我們透過 Log Insight 進行防火牆日誌檢視的演示畫面,各位可以觀察到有被記錄的網路流資訊,並據以進行需求的規則修正。

文章略長,在此暫時中斷。下篇我們繼續討論最後第四步驟,並展示一些運作的畫面。