作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化、分散式安全防護技術與新應用遞送方案的介紹與推廣。

前面的網誌文章內我們依序對NSX進階威脅防禦內的不同機制,包含更新的入侵偵測防禦、惡意軟體檢測、網路流分析、以及整合的安全事件儀表板。系列文的最後一篇我們採用問答的方式與大家討論在介紹相關技術時,常被問到的相關問題。

要部署上述進階威脅防禦機制時,是不是都需要架設完成NSX Application Platform

在我們前面介紹的各種機制內,IDPS功能是不需要有NSX Application Platform就能運作的。如同標準NSX安裝,只要虛機部署在NSX管理的Segment (VLAN or Overlay) 或甚至VDS的Port Group上,且具備需求的授權,都可以啟用IDPS功能。

但是Malware Prevention / Network Traffic Analysis (Suspicious Traffic) / NDR 等功能,都必須在NAPP平台已經部署完成的情況下才能夠啟用。因此如果大家需要使用這些方案,請務必先依據前一個系列內對於NAPP的相關介紹,進行相關的安裝。

部署上述進階威脅防禦機制前,是不是一定需要有對外Internet連線?

是的,如同我們前面的討論,IDPS功能需要經常由Internet進行特徵更新,Malware Prevention功能需要由Internet取用檔案Hash值資訊,並將未知檔案送往雲端沙箱進行分析、NDR功能也需要調用在雲端上的事件相關資訊。因此對外Internet連線是必要的。

多說一句,在目前NSX-T 3.2版本內,IDPS功能往Internet的連線可以透過Proxy,但其他機制透過NAPP往外連線時,目前尚未支援Proxy機制,部署前企業環境內需要允許NAPP平台往外的連線需求。

企業需要購買哪些授權才能取得這些網路威脅防禦相關功能?

本系列內介紹的網路威脅防禦相關功能都必須透過訂閱形式授權取得。NSX Security 訂閱授權的方式可以簡圖表示如下:

  • NSX-DC Professional / Advanced / Enterprise Plus版本的賣斷 (Perpetual) 方式授權內都僅有防火牆功能(以及完整的網路功能),沒有IDPS以上之網路威脅防禦功能
  • 如果僅需要NSX安全功能的客戶,可以直接以訂閱方式購買NSX Security方案。NSX Security方案內分成三層:Firewall包含L4~L7之防火牆以及維運使用的NSX Intelligence,Threat Prevention包含了前面的功能加上IDPS,Advanced Threat Prevention包含了前面的功能再加上其他高階功能包含Malware Prevention / Suspicious Traffic / NDR等。在NSX Security方案內,是沒有包含網路功能的。
  • NSX Security訂閱機制有分成Distributed (分散式)以及Gateway(閘道)授權。分散式授權指的是運作於vSphere上,防護每台虛機的東西向功能;閘道授權指的則是運作於NSX Gateway (底層為Edge虛機)上的南北向功能,企業可依據需求各自購買。兩個授權間的功能差異,可以參考下列KB: https://kb.vmware.com/s/article/87077
  • 已經有NSX-DC Advanced / Enterprise Plus版本的客戶,若想要在現有NSX平台上啟用進階安全功能,可以透過Add-On的方式購買Distributed Firewall with TP/ATP的授權。Professional版本的客戶抱歉不行,必須要先升級到Advanced版本以上。此外如果客戶想要在Gateway上也啟用南北向的進階功能,則需要獨立購買Gateway這邊的TP/ATP授權。

這些網路威脅防禦機制對於相關攻擊,都能夠立即阻擋嗎?

前面各篇獨立有提到,這裡統合討論:

  • IDPS機制內,對於現有特徵值可以認出的攻擊,東西向IDPS機制可以直接阻擋,南北向閘道機制目前於3.2版內僅有告警
  • Malware Prevention機制內,在東西向Guest Introspection機制可以阻擋,南北向閘道機制僅有告警。此外,如果是未知檔案要送到沙箱分析的,一開始不會阻擋。如果沙箱分析出來是惡意程式,則會發出告警
  • Suspicious Traffic機制內僅會發出告警

啟用這些安全機制時,對於網路效能是否會有影響?

當然會的。用過海關來比喻,如果海關這邊只是檢查護照,行李用X光機掃一掃,一定很快。但如果行李要打開檢查,人要脫鞋脫皮帶搜身,肯定速度會慢得多。

我們無法和大家保證啟用這些進階威脅防禦機制時能達到line-rate。一般來說,每台vSphere可以有2.5~3 Gbps的進階威脅防禦頻寬,以及網路封包會有數百個micro-second的延遲時間。這也是為何我們的IDPS機制內讓資安管理者可以選擇哪些虛機需要配置這些功能,而非像防火牆一樣全面預設啟用。這在架構規劃上也是大家需要考量的。

採用這些安全機制時,系統需求有多大?

相關系統需求整理如下:

  • 進行分散式東西向防禦,IDPS加上防火牆在 vSphere上面大家需要規劃保留5個CPU core,Memory 12G即可。另外進行Malware Prevention時,每台vSphere需要有一個Service VM,這個Service VM需要4x vCPU, 6 GB Memory, 以及80 GB的儲存空間
  • 南北向防禦是建立於Edge VM上。能運作進階安全防護的Edge VM必須是Extra Large Size,每台虛機需要 16x vCPU, 64 GB Memory, 以及200 GB的儲存空間
  • 不要忘記需要有NSX Application Platform。相關需求在前面的系列內有討論,簡而言之,請準備一組獨立的4-node的vSAN-Ready伺服器來安裝NAPP平台

說認真的,系統需求很高。但這裡的完整網路防禦機制包含了南北向、東西向、還有網路流收集與分析平台,即使是競爭友商的硬體方案大概也是至少半櫃以上伺服器與安全設備跑不掉。這裡也是大家在導入完整方案前要先預作準備的

我們已經有端點防禦的EDR方案了,為什麼還需要部署網路的NDR方案?

很常被問到的問題,我做個比喻。基本上安全的設計原本就需要『分層、分權限』。我們不會因為社區大門有保全了,走廊上就不設監控,家門口不鎖,貴重物品不會放到保險箱。

在資料中心也是如此,NDR方案與EDR並不是競爭關係,而是分層保護關係。我們不會想要把自己的保險箱放在大街上讓每個人都摸一摸,號碼轉一轉試一試。同樣的,EDR是系統面保護的最後一層,但要是相關的攻擊在前端NDR大部分就能夠被擋掉 / 偵測出來,此時核心業務的保障也能有多重保險。當然我們理解在企業預算有限的狀況下可能會有先後部署的順序或是方案排擠上的狀況,但在一個完整的Security Framework內,網路端南北向、東西向防禦與端點防禦彼此間都是互為輔助的。

針對NSX內新的網路進階威脅防禦技術就介紹到此,若大家有興趣,歡迎與VMware的經銷商與業務進行聯繫,我們很樂意與大家做進一步的說明與展示。