作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化、分散式安全防護技術與新應用遞送方案的介紹與推廣。

本篇內想要透過實際的配置畫面和大家進一步介紹NSX IDPS的相關功能。我不會一個個選項都拉出來談,但會在重要的地方特別強調。IDPS這邊的配置介面其實很直覺,介面裡面有四個主要的面板選項:SETTINGS / PROFILE / RULES / EVENTS,通常我們都是由右至左來進行設定,以下也一個個步驟從頭進行。

步驟 0:輸入IDPS授權

首先,NSX-T IDPS有獨立授權,並未含在NSX DC Standard / Professional / Advanced / Enterprise Plus的版本內。企業可以透過採購NSX ATP (Advanced Threat Prevention) 授權取得功能。如果大家想要試用此功能,也可以於VMware Customer Portal內申請NSX-T 60天的測試授權。取得後,先將IDPS授權輸入,才能啟用管理畫面。

步驟 1:於SETTINGS內進行特徵碼更新及選定啟用叢集

授權啟用後,管理者就可以到Security – Distributed IDS/IPS的介面內開始進行配置。最右邊的SETTINGS如下圖:

在此處的兩個重點是特徵碼更新以及哪些vSphere Cluster內要啟用IDPS功能,幾個重點如下:

  • 管理者可以依據不同的vSphere叢集 (Cluster) 來選定是否啟用,這代表企業無需僅能選擇IDPS功能在環境內全開或全關,而可以基於實際安全需求以及成本授權考量來選定。在上圖內,我們僅選擇Cluster-TPE這個叢集要啟用IDPS功能,lab / lab2這兩個叢集就不啟用。
  • 預設值內所有vSphere Cluster都是沒有啟用IDPS功能的,管理者需要手動啟用
  • 特徵碼可以透過網路進行自動更新,若必要也可以在沒有Internet的環境預先下載特徵碼後,再手動進行更新
  • 如果想要,管理者可以看每次特徵檔更新的內容,包含有哪些新的特徵值,哪些有更新等等,如下圖

步驟 2:於PROFILES內進行特徵碼選擇以及動作模式選定

與大部分南北向友商的方案不同,NSX IDPS的設計是針對不同的環境或應用不同,給予合適的特徵值檢查。比如說,總共特徵值有一萬五千筆,但裡面對應到Web Server的可能只有一千筆左右,此時我們就可以建立一個只有這一千筆的Profile來對應Web Server環境使用。又或是說,雖然面對Internet的DMZ環境內我們要及時進行IDPS的檢查與阻斷,但是內部AP環境希望只希望要檢查(而不要阻斷),此時當然我們也可以直接來設定不同的Profile給這些不同的環境。

在PROFILES的選項內,除了預設的Default Profile(包含所有特徵值)外,管理者可以自行建立需求的特徵值Profile,裡面管理者可以不同的條件來進行特徵值選擇:

  • 基於特徵值的嚴重性(Critical / High / Medium / Low)選擇哪些需要包含
  • 基於不同的分類。目前NSX可以基於攻擊型態 (Attack Types) / 攻擊目標 (Attack Targets),CVSS分數,或是影響的產品等來進行分類選擇。
  • 一條條的特徵值來選擇是否要啟用,以及如果符合時的動作模式。

上圖內,我們建立了一個名叫Test-Profile的特徵值模組,僅包含了Critical / High的弱點,此外還選擇了攻擊目標為Web Server / Web Serveraffected product這兩種,以及CVSS分數九分以上的特徵值。在這樣的條件選擇下,可以看到原本將近14,000個特徵值,在此Profile內僅有近80條需要比對。

同時我們還可以選擇”Manage Signatures for this profile” 做更進一步的管理:

大家可以看到,NSX可以列出所有分類篩選後的特徵值,於上面的搜尋列我們也可直接以ID或是其他的分類進行近一步篩選。每條特徵值內包含了

  • 此特徵值的詳細資訊,如嚴重性 / 影響產品 / 攻擊型態 / CVSS分數 / CVE代號等等
  • 符合時的動作。大部分預設是Alert,但若我們要啟用阻擋功能 (Prevention),管理者可以將動作改選擇為Drop或是Reject
  • 此特徵值在Profile內的狀態,也就是此特徵值是否要啟用

很快地整理一下。本篇內我們和大家討論了NSX Distributed IDPS內包含SETTINGS / PROFILES兩個配置頁面,在SETTINGS內是IDPS的最基礎啟用配置,包含了特徵碼如何更新,還有哪些底層環境(vSphere Cluster)要開啟功能。PROFILES內則是讓管理者定義不同的特徵值模板。在為數眾多的特徵值內,管理者可以依據危險性、攻擊手法與目標、對應產品、對應CVSS分數等等來選擇合適的特徵值,且更進一步到單一特徵值是否要啟用,以及若比對符合時的動作。

暫時打住,下篇內我們會進行後面兩個配置頁面的說明。