作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化暨分散式安全防護技術方案的介紹與推廣。 

 

下一篇網誌我們會討論Security Policy的設定,以及如何將NSX所支援的第三方安全保護機制應用於NSX環境內。但在這一篇網誌內我想要先和大家展示一下,即使不使用任何第三方安全保護機制,光是採用NSX本身所提供的分散式防火牆以及安全群組功能,就已經可以達成很多傳統安全架構內無法做到的安全以及管理效益,主要包括

 

  • 直接於VM前進行安全檢查,即使同網段、同安全區間的網路封包傳輸也可以進行防護
  • 集中控管,而且超大幅減少安全管理的維護Effort,直接對應業務或系統的安全防護需求
  • 系統變更或擴充時,新增的虛擬機器直接套用現有安全政策,無需資安或管理人員後續進行安全政策組態變更

 

用下列的情境與大家進行說明:企業內部已經預先於網路環境內建立了DMZ區、AP區、DB區以及對應的網段。不同的系統分別依據系統內機器的屬性,將對應的虛擬機放置到對應的網段內。如下圖,有兩個資訊系統(財務系統及人事系統),各系統的Web Server均放置在DMZ區,AP Server放置於AP區,資料庫放置於DB區。而透過NSX分散式防火牆功能,每一個VM的封包進出都會於vSphere Host進行保護,就如同每個VM前都有一個防火牆。

 

圖說:展示情境

 

現在思考第一個情境:因為在此企業內人事系統與財務系統是兩個完全獨立的系統,系統彼此之間沒有網路連線的需求,因此安全政策的要求是必須讓人事系統與財務系統間網路連線完全中斷。如此一來即使任一個系統受到駭客入侵或是中毒,也不會影響到另一個系統。我們用下圖來表示第一個情境的安全需求:

 

如果用的是傳統的邊界防火牆要怎麼做呢?首先

 

  • 這是無法完全達成的,因為同樣在DMZ區、AP區、DB區的同型態機器是位在同個網段,網路封包不會走到邊界防火牆。比如說要由HR-Web-01去攻擊Fin-Web-02機器,邊界防火牆是擋不到的
  • 傳統防火牆用網路位置來做source / destination的規則定義,但這邊的各個系統內機器都是來自不同的網段,要對應到”兩系統間不能有網路連線”的規則,我們很可能需要對應到防火牆內的十幾條Rule才能完成

 

但如果用的是NSX分散式防火牆以及安全群組功能呢?首先,我們可以定義何謂人事系統以及財務系統。有很多種定義方式如上一篇網誌內的介紹,舉例來說,只要VM Name是由HR開頭的機器,就自動被納入HR-System這個安全群組。或是只要有被加上Finance-System這個安全標籤的機器,就自動被納入Fin-System這個安全群組。在下圖我們可以看到,藉由類似這樣的方式,我們能夠很容易地將安全群組與實際上的業務系統機器進行對應:

 

圖說:安全群組與業務系統機器的對應

 

 

接下來要進行防火牆的政策設定就變得非常單純簡潔了。我們不需要去考慮任何的網路位置網段這些東西,只要直接去對應實際安全政策的需求:人事系統與財務系統間網路不能連通。考慮到方向性,這邊需要兩條NSX防火牆規則:人事系統不能到財務系統、財務系統不能到人事系統,上面的需求就被搞定了,如下所示

 

圖說:防火牆規則內直接應用人事及財務系統安全群組作為來源及目的端

 

實際登入HR-Web-01這台機器用ping給大家看,我們要的安全防護已經完全能夠達成了。

 

圖說:於HR-Web-01機器僅能連到人事系統內機器,到財務系統連線已被中斷

 

上面的例子我們可以首先看到NSX分散式防火牆與安全群組結合的威力:

 

  • 即使位於同一個網段內的機器,如HR-Web-01到Fin-Web-02,NSX DFW也完全可以進行封包阻擋,做到VM-Level的微切分安全防護
  • 防火牆的安全政策管理變得極為簡單,規則能夠直接與安全需求以及現有的業務系統進行對應。

 

考慮第二個情境:同樣在DMZ區內的伺服器實際上的網路接取需求僅有對外部用戶的服務與對後端系統的資料接取,彼此之間是不需要有相互溝通需求的。所以安全政策的要求是同樣在DMZ區內的伺服器間的網路交通要互相斷開,如下圖所示

 

圖說:安全需求是在DMZ區內的Web Servers間不能相互溝通

 

如前面所述,傳統邊界防火牆是做不到同網段內的封包檢查的。但在NSX內的做法可以變得非常簡單,有幾種組態方式,比如說我們先設定一個安全群組叫做Web Server,只要網路有接取到DMZ Zone這個網段的虛擬機器就被納入此群組

 

圖說:設定Web-Servers安全群組

 

此時防火牆規則只要設定為來源與目的端都是Web-Servers群組的機器就將連線中斷,如下圖

 

圖說:防火牆規則設定

 

這樣設定後,可以看到HR-Web-01 / HR-Web-02間的網路連線已經中斷了。

 

圖說:Web網段內網路中斷的防火牆規則已生效

 

考慮第三個情境,由於業務擴充等需求,資訊與業務單位決定要增加第三台Web伺服器來擴充前端的業務服務容量。傳統在增加新機器時,不僅是產出這個虛擬機器而已,我們還需要去新增對應的防火牆等規則,因此這邊的新增作業就需要在內部不同單位提申請、跑流程、等待相關單位把對應的防火牆規則設好,因此延長了業務上線的時間。

 

但在NSX的應用環境內,當新的虛擬機器手動或自動產出(比如說透過vRealize Automation),新虛機可以依照屬性自動的被加入安全群組,也就是說這台機器能夠”自動”被套用對應的防火牆規則,或是我們在後面要談的不同安全政策。在下圖內大家可以看到我們建立了第三台Web-Server名稱叫HR-Web-03。

 

圖說:第三台Web Server HR-Web-03的屬性

 

重點是,因為這台新機器的VM Name叫HR-Web-03,是HR帶頭的,因此他自動就被加入了HR-System群組。而也因為這台機器是建置在Web網段,自動就被加入Web-Servers的群組。此時,也就是說只要是有使用HR-System或是Web-Servers的防火牆規則或安全政策,都會直接套用到HR-Web-03上。下面的圖可以看出新機器有自動被加入安全群組,且我們前面於情境一、二所設定的安全政策都有生效。

 

圖說: HR-Web-03已經自動被加入HR System群組

 

圖說: HR-Web-03自動被套用前面所設定的安全政策

 

希望藉由上面的說明,能夠讓大家看到利用NSX DFW與安全群組功能,可以達成傳統安全防護完全做不到的防護方法,大幅強化安全並且簡化管理與維護需求。我們將這篇網誌內展示的效益再次列出於最後,作為本文的總結

 

  • 即使同網段的網路封包傳輸也可以進行檢查與防護
  • 安全群組直接對應企業的業務系統,簡化安全政策設定
  • 系統變更或擴充時,新增的虛擬機器自動加入安全群組,直接套用現有安全政策