作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化、分散式安全防護技術與新應用遞送方案的介紹與推廣。

在前文我們討論了NSX Advanced Load Balancer內,採用雲訂閱模式或是地端訂閱模式在架構及授權上的差異。簡而言之:架構及安裝沒有差異,但雲訂閱模式是採用授權集中管理的註冊機制沒有授權Key,且一定需要Internet連線。而本文內我們要進入下一個重點:採用雲訂閱模式時能取得的Cloud Service到底是什麼,有哪些效益呢?首先我們以下表請大家看整體的服務項次,並逐項說明:

WAF內的特徵與第三方規則即時更新

無論是地端或雲授權的NSX ALB Enterprise版本,都有支持Web Application Firewall功能。NSX ALB Web Application Firewall對於網頁內容的檢查與防護主要來自兩個來源:

  • 由OWASP組織維護的Web應用防護機制,基於ModSecurity模組的Core Rule Set (CRS) 開放特徵碼,
  • 由VMware專家及其他第三方安全來源基於特定攻擊撰寫的防護規則,這邊叫做Application Rule。

在地端授權內,Core Rule Set以及Application Rule都無法即時主動更新。相關的更新會來自軟體升版安裝時同時更新,或是由NSX ALB的客戶網站內手動下載後再上傳到Controller內。但在使用雲訂閱授權時,當有新版本的Core Rule Set或是Application Rule時, Controller直接自動由雲端下載並進行更新。此時對於受NSX ALB WAF防護的網頁服務,就能做到如同IDPS(入侵偵測防護)特徵更新碼一般的即時防護等級了。

網路爬蟲機器人過濾及管理 (Bot Management)

這裡在講的Bot指的是自動執行的網路程式,會對網站進行探測、搜尋、或執行特定指令。某些Bot可能是善意的,比如說由Google或其他搜尋引擎用來偵測並儲存網頁。很多Bot就純粹是惡意的,比如說偷取資料、搶火車票、遊戲外掛等等。惡意的Bot就不用特別談,但即使是善意的Bot,企業也可能希望進行阻擋與遮蔽,以避免頻寬與系統資源佔用,或想保持網站隱密。因此在應用遞送服務上,除了標準的Web Application Firewall等網頁保護,能夠識別甚至進一步阻擋Bot就成為一個重要的功能。

在採用雲訂閱授權時,NSX Advanced Load Balancer可以啟用Bot Management功能。NSX ALB藉由不同的機制,包含這個用戶Request的來源IP、名譽資料庫、HTTP User-Agent表頭、TLS交換資訊等進行比對,來判斷此Request是不是來自一個已知Bot的運作,且被認定為善意或惡意的行為。接著,管理者可以在HTTP Security Policy內去定義對應不同型態的Bot(如下圖),要採用什麼樣的行動,比如說仍允許通過、關閉連線、限制頻寬、或是提供特殊的HTTP回應等。

由於判斷過程需要與來自Internet的Bot資料庫比對,相關資訊也需定期更新,因此Bot Management僅能在雲訂閱授權內使用。

IP名譽服務 (IP Reputation Service)

IP名譽服務 (IP Reputation Service) 同樣是限定於雲訂閱模式功能的一環。啟用後,NSX ALB Controller每數分鐘就會與Internet上的NSC Webroot資料庫同步一次,若發現用戶請求是來自惡意的IP地址,就可以進行必要的後續處置。下圖內同樣是在Virtual Service的HTTP Security Policy,管理者啟用IP 名譽服務後,可進一步指定就不同型態來源地址的請求,比如說如果希望阻擋來自well-known Proxy Server的用戶Request,就可以選擇Proxy型態,進一步作阻斷、限頻寬等不同動作。

主動問題管理與支持 (Proactive Support)

目前在雲訂閱模式內,用戶可以取得下列的主動式問題管理及支持機制:

  • 管理者可以直接於Controller介面進行Case的開立、編輯、與檢視
  • 管理者可以直接於Controller介面內透過與雲端之Internet連線,直接發送Support Bundle / TCP dump等相關Case支持資訊
  • 主動問題管理機制可以和Alert Workflow整合。管理者可以配置在特定的Alert條件與門檻被觸發時,自動開立Case進行處理

好的,上面我們說明了採用雲訂閱服務時,與標準地端訂閱服務間的額外Cloud Service功能效益,主要包含在資安與管理兩部分。如果大家想就內容做進一步深入研究,可以到https://docs.vmware.com/en/VMware-NSX-Advanced-Load-Balancer/22.1.1/Cloud_Service/GUID-C0FE6504-A54C-4D70-A152-03EBCACDC72F.html 這個頁面查找相關服務資訊。

作為最後一篇,這裡很快總結一下本系列文的相關討論:

  • 我們首先說明了現行NSX Advanced Load Balancer在購買時有地端訂閱 (TERM) 與雲訂閱 (SaaS, Cloud Service) 兩種模式
  • 我們討論了這兩種模式在產品部署架構、安裝、與授權上的差異
  • 最後說明了使用雲訂閱模式時,可以額外取得的資安及管理效益

好的,落落長的文章結束,結論是什麼呢?我們的建議是,除非在完全沒有Internet連線許可的Air-Gap環境,均使用雲訂閱模式購買。此時

  • 企業取得所有NSX Advanced Load Balancer之功能與效益,包含雲訂閱模式內提供的即時資安防禦與主動式管理機制
  • 至少在本文撰寫的時間點,雲訂閱模式的訂價比地端訂閱模式的價格還要低

希望本篇能夠釐清大家對於NSX Advanced Load Balancer內的雲訂閱模式一些常見問題與相關疑慮。如果需要進一步說明討論,也非常歡迎與VMware客戶代表或我們的代理、經銷商進行聯繫。