server room electric 3d rendering
虛擬雲網路

網路虛擬化NSX 技術文章系列二百一十四: NSX IDPS:方案簡述(四)

作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化、分散式安全防護技術與新應用遞送方案的介紹與推廣。

前面幾篇內我們對NSX Data Center IDPS的功能與配置進行了相關的說明,本篇內我想和大家就產品介紹時,會被客戶與經銷夥伴們詢問的常見問題進行討論。

我們已經採購了NSX Data Center的Advanced / Enterprise Plus版,是否可以直接啟用IDPS功能呢?

很抱歉,NSX IDPS是特殊授權。IDPS本身並不是賣斷的Perpetual License,如同絕大部分的安全產品,NSX IDPS功能有本身的訂閱授權模式 (Subscription License),客戶可以依據需求的CPU數目,以一年或三年的方式訂閱此功能。

企業在生產環境內要採用NSX IDPS功能,有兩種方式:

  • 如果客戶已經採購了NSX Data Center Advanced / Enterprise Plus授權,想要在上面啟用IDPS功能,僅需要採購 “ATP add-on to NSX DC” 的訂閱授權即可。在此授權內,包含了IDPS / NSX Intelligence / 以及Lastline相關的NDR / Sandbox功能在內。
  • 如果在獨立環境要部署全新的NSX,且企業僅著重安全需求,不需要網路相關功能(如Overlay網路等),可以獨立採購NSX Firewall with Advanced Threat Prevention (ATP) 這個授權即可。此授權包含所有NSX L4/L7的Gateway / Distributed Firewall功能,以及前述的IDPS / Intelligence / Lastline等功能。採用此授權時,不需要客戶先購買NSX Standard / Professional / Advanced / Enterprise Plus等授權

而如果是在PoC / 試用測試環境,企業可以自行在VMware Portal內申請NSX-T的60天測試授權,裡面所有功能全開,包含了IDPS的完整功能。

NSX IDPS的授權一定要每個CPU都買嗎?

不需要的,如同前面介紹,我們可以選擇僅在某些Cluster內啟用IDPS功能。因此舉例來說如果企業環境內有20台伺服器,但裡面僅有4台伺服器負責DMZ區的工作負載,也僅有這個環境需要IDPS功能,那就這4台伺服器的獨立Cluster購置IDPS的訂閱授權8顆CPU即可。

要運作NSX IDPS,有哪些版本限制?

必須是安裝NSX-T Data Center 3.1版以上,具備ATP授權。當然,如果用戶是採用NSX for vSphere,是無法運作的。

IDPS功能目前是否僅能運作在vSphere環境內?

是的,此功能目前僅能在vSphere上運作。其他如受NSX控管的KVM Hypervisor,實體機 (Bare-Metal Server),或是公有雲上的NSX Cloud環境內,都還不支持此功能。VMC on AWS環境內目前也尚未提供IDPS功能。

IDPS啟用後,對系統效能的影響如何?

IDPS是新功能,目前僅有內部測試資料,沒有辦法給大家非常確實的數據與報告。但到目前為止我們所拿得到的資料,啟用了IDPS後在Performance上的影響大概如下:

  • 在每台vSphere上會增加10~15%的CPU利用率,但最多不會超過4個core
  • 每台vSphere上最多耗用1 Gbps的記憶體
  • 會增加虛機這邊的網路延遲時間,大致上約400~600 us左右

大家若有興趣,請關注VMworld對應到NSX IDPS以及NSX Performance的相關議題,後續應該會有更詳盡的資訊。

VMware買了Lastline有更先進的NDR方案,後續是否會直接取代IDPS功能?

這應該是對我們IDPS有興趣的客戶非常關注的問題。目前我們從內部得到的所有訊息都是不會,Lastline的NDR方案 (Network Detection and Response) 後續應會整合到NSX Data Center內,與IDPS功能相輔相成:

  • Lastline的Sensor (IDPS) 應可以獨立Appliance或是運作於NSX Gateway內,負責南北向的封包特徵檢查
  • Lastline 的Network Traffic Analytics 以及Sandbox方案,後續整合方式尚未明確公布,但應該包含可以SaaS以及On-Prem建立方式並行的方式提供客戶服務
  • 在目前系列內介紹的NSX IDPS相關功能,專攻於虛機東西向分散式的特徵比對防禦。但在Lastline內目前以及後續產出的特徵碼,會與現有開放特徵碼整合一同進行比對
  • 安全事件管理介面會進行整合,管理者後續應可以NSX內單一介面同時就南北向 / 東西向的事件進行統合管理

當然,這邊僅是Roadmap資訊,我們不能保證一定全部會發生,但就我們知道這裡的整合作業在產品面已經如火如荼在進行了

好的,希望本系列文內四篇網誌的介紹,能讓大家對NSX IDPS新方案的功能、架構、效益及授權有相關的理解。若各位有興趣,歡迎與我們及VMware的經銷夥伴們聯繫。

相关文章

评论

发表评论

电子邮件地址不会被公开。 必填项已用*标注