作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化暨分散式安全防護技術方案的介紹與推廣。 

 

前面的網誌有提到NSX不僅本身提供了標準防火牆功能於vSphere Kernel內運作外,也可以結合資安大廠的方案來提供針對每一個虛擬機器的完整防護。因此在這一篇內,想與和各位介紹當與第三方安全廠商產品進行整合時,安裝的主要流程,以及如何於Service Composer內設定並且應用Security Policy。

 

如果大家對於詳細產品的實際設定需要找到對應文件,可參考如下文件名稱並找最新版本:

 

  • Trend-Micro: Deep Security Installation Guide with VMware NSX
  • Palo Alto Network: Palo Alto Network VM-Series Deployment Guide
  • 其他大廠請詢問原廠~

 

除了Trend Micro與PAN,其他產品我們目前在台灣Lab內沒有實際測過,但預期安裝方式與本文內描述也不會有太大的差異才對。在本網誌撰寫的時間點,VMware NSX已整合,並能與生產環境內運作的安全大廠產品包括如下

 

接下來我們開始對如何安裝這些資安廠商之產品,以及與NSX整合的流程進行說明。安裝的流程分為下面七個步驟,我們逐步就各個步驟進行討論

 

 

步驟一、安裝資安廠商中心端控管產品: 

 

每個資安廠商會有自己的資安中心端控管軟體,不僅可以管理虛擬環境內的安全設定,也可以整合在實體環境的設備集中進行政策設定、合規檢查等等作業。這些軟體比如說在Trend Micro就是Deep Security Manager,在Palo Alto Network就是Panorama。請各自依照各個廠商的文件,進行此中心端軟體的安裝,一般包括了

 

  • 建立虛擬機器,安裝底層Guest OS與安全管理軟體。也有可能是直接利用OVA檔匯入
  • 進行此虛擬機器網路、時間、DNS等等的基本設定
  • 安裝授權License

 

步驟二、將資安中心端管理軟體與vCenter / NSX進行註冊: 

在中心端管理軟體內一定有一個地方可設定與vCenter及NSX要進行註冊,這邊需要輸入vCenter及NSX Manager的IP或FQDN,以及管理者帳號與密碼。

 

重點是在註冊完後,於vCenter內的NSX頁面:Service Definitions內,必須要能夠看到這個資安產品有被註冊進來,而且有列出所對應的功能。在下圖內我們可以看到Palo Alto Network NGFW有註冊成功,並且於功能上支援IDS IPS與Firewall。而Trend Micro Deep Security也有註冊,並且支援IDS IPS與Anti virus兩個功能。這樣就是註冊成功的正確顯示。

 

步驟三、部署Guest Introspection Module (Optional)

Guest Introspection Module其實就是之前的vShield Endpoint VM的升級版。Guest Introspection VM會與同伺服器上其他Windows虛擬機器內所安裝之VMTools進行通訊(VMTools安裝時必須要啟用vShield endpoint功能),監控各個Guest OS的system call與activities,並且於有必要時,將Guest OS之相關檔案送給同伺服器內的資安廠商Service VM進行掃描。

 

我們在這邊把此Guest Introspection Module的安裝列為Optional的原因,是在於實際虛擬環境的安全防護機制,企業是否有用到”系統防護機制”的功能,也就像是Antivirus / File Integration Check / Data Security等等這些功能。在前面的表內可看出各資安廠商產品是否有利用到此功能,如果有利用到的比如說Trend-Micro Deep Security,那我們就必須先安裝Guest Introspection Module。但如果各位安裝的僅是網路防護產品比如說Palo Alto Network,此步驟便可以省略。

 

Guest Introspection Module的安裝有分為下列流程,因為在後面步驟四要部署Security Service VM的方法也一模一樣,在這邊我們較為仔細地進行說明

 

  • 流程一:到NSX頁面下的Installation -> Service Deployments -> 然後按”+”號

  • 流程二:這邊我們應該會看到之前有註冊成功的安全服務有哪些。在這裡選擇要部署Guest Introspection服務,並且在下面選擇馬上部署

  • 流程三:選擇在哪一個Datacenter以及哪些Cluster上要部署這個服務如下圖。這邊的重點是,當我們要部署Guest Introspection Module或是其他的資安Service VM如Deep Security Agent / PAN HV1000等等時,我們是無法選定哪些”vSphere Host”來部署的,部署的最小單位必須是Cluster。因此假如環境內有兩個Cluster各8台vSphere Hosts,我們無法選擇要在”哪幾台”vSphere Host上部署這些Service VM,而僅能選擇是要部署到Cluster A / Cluster B,或是兩個Clusters上都部署

  • 流程四:選擇部署這些Service VM的Datastore / Network,以及IP派送的方式。一般來說我們會選擇一個外接的datastore(要用內接的也可以,但得用到Host Profile,有點複雜),網路選擇可以與vCenter / NSX / 資安中心端控管軟體接取的Port Group,然後IP派送的方式可以採用DHCP或是IP Pool。

  • 流程五:在Ready to Deploy頁面確認資訊並按Finish後,vCenter就會到各個vSphere Host上安裝此Service VM。在安裝完成後,我們會在Service Deployments看到Guest Introspection這個服務顯示於下方,並且Installation Status顯示為成功。另外我們也會在Web Client內VM & Templates介面內的ESX Agents檔案夾內,看到所有部署完成的Service VM。

 

  • 流程六:通常到上面的步驟就已經安裝完成,不過某些資安廠商的方案比如說Palo Alto Network,仍需要更進一步到中心端管理軟體,針對這些新安裝的Service VM進行License安裝。

 

步驟四、部署Security Service VM

這邊的部署流程就與步驟三一模一樣,只是我們安裝的不再是Guest Introspection VM,而是各個資安方案的Service VM。大家可以在上圖看到,每一個資安方案都會有一個自己的Service VM,因此比如說當我們的資安架構設計是要用Trend Micro Deep Security來進行防毒,但用Palo Alto Network來進行L7網路安全防護時,那在每一台運算的vSphere Host上,都各自會安裝一組Deep Security Agent、一組PAN NGFW、以及一組Guest Introspection VM。因此在硬體容量規劃上,應該要將這些Security Service VM所需求的CPU / Memory等考慮進去

 

因為已經寫得太長了,所以就此打住。下一篇網誌我們繼續就安裝步驟,尤其是Security Policy的設定與套用方式,和各位做介紹。