“
NSX从入门到精通(6):NSX 微分段架构、组件及实践 Part1
”一文中提到,NSX 使用基于对象的安全规则使得防火墙策略更加容易辨识。但对象始终是静态的东西,对于动态的业务来说,两者之间不一定有恒定的关联关系。因此 NSX 提出了安全组这一概念,可以简单理解为:安全组=业务组,或安全组=一组需要执行相同安全策略的虚拟机。
从安全策略制定上来说,会变为下图这样,安全组在中间,之上对应的是业务组,之后关联的是安全规则。
图1
这样做有一定的好处,举个例子:下面的Finance部门的用户和Finance部门的服务器都属于可能会变动的,如果使用静态的安全规则,当用户和服务器有任何变动,安全规则需要手动修改。
如果有安全组作为“容器”,动态将所有Finance部门用户关联在一个组,将Finance 部门的服务器关联到另一个组,针对两个安全组去做安全规则,未来用户再怎么变,安全规则是不用变的。
图2
为了能更精确地描述出一组业务,安全组包含多种匹配规则:
图3
举个例子:
将所有与部门 Finance 相关的 CentOS 虚拟机加到一个组。
安全组配置方式:
动态包含: 虚拟机名称包含 Fin 且 计算机操作系统名称包含 CentOS
静态包含:空
静态排除:空
对应在 NSX 中配置方法:
打开NSX配置>安全性>服务编排>安全组,点击“安全组”按钮
图4
安全组名称为:Finance CentOS 虚拟机
图5
动态成员规则第一条: 匹配虚拟机名称包含Fin;
动态成员规则第二条: 匹配虚拟机操作系统名称包含 CentOS;
两条规则需要同时匹配(全部匹配)。
图6
其他选项无需配置,直接点击完成。
返回查看安全组,已经关联了所有 Finance 的 CentOS 虚拟机。
图7
创建好安全组后,可以直接返回防火墙,使用安全组去建立防火墙规则:
图8
NSX 除了可以将虚拟机加组,也可以将多条安全规则设为组,在 NSX 中,这个功能叫“ 安全策略”。
使用安全策略,有以下功能和优点:
将多条安全规则(例如防病毒规则、DFW防火墙规则、第三方防火墙规则)嵌套在一起,应用在一个组上;
将安全策略做成组后,可以反复套用给各种业务;
替代传统防火墙策略设置规则,直接将安全策略应用给业务组。
图9
个人觉得,最实用的功能是1和2,使用3来创建安全规则会增大安全策略的理解难度。
NSX 现在已经集成了 EPSec 和 NetX 两个接口,分别用来集成第三方防病毒产品和NGFW产品。而集成各种安全产品的核心就是安全组和安全策略。
以 NSX 集成无代理防病毒软件为例,在 NSX 中,操作步骤是:
设置防病毒安全组,将需要进行安全防护的虚拟机加到该组(使用上面介绍的各种动态、静态匹配规则);
图10
设置安全策略,在安全策略中配置 Guest Introspection 服务,将流量应用给第三方安全产品;
图11
将安全策略应用给安全组
图12
图13
为了让安全组与各种安全规则的关联关系更清晰,NSX 里多了个“画布 Canvas” 功能。画布可以围绕着安全组,展示与安全组相关的安全标记、虚拟机、安全策略、Guest Introspection规则、防火墙规则、NGFW 规则。
图14
在以前的文章中,介绍过 NSX 和杀毒软件联动做安全,而要实现这一功能,需要介绍 NSX 的另外一个组件:安全标记。
前两篇文章我们介绍了 NSX 防火墙的创建及使用,而这些规则都是基于 NSX 和 vCenter 的对象。而在有些时候,安全规则不能直接附加给基于 vCenter 的安全组。比如:
安全规则和 vCenter 的目录结构不能匹配;
基于名称的安全组可能因为名称被误修改而失效(尤其是有多个 vCenter 管理员时);
第三方安全解决方案和 NSX 结合做安全联动;
第三方云管理平台和 NSX 结合去做安全。
使用安全标记后,架构会变成这样子,安全标记作为安全组的一个中间角色使用:
图15
如果要实现下图中的安全联动,则步骤为:
一旦防病毒软件查出虚拟机有病毒,为其打上 ANTI_VIRUS.VirusFound 的安全标记
基于安全标记预先配置安全组“隔离”
设置安全策略,规定虚拟机只能访问安全工具,不能访问其他任意网络
将安全组与安全策略做关联
图16
图17
小结:
以上两篇文章围绕着 NSX 防火墙的各种组件、组件之间的搭配使用、安全规则的制定、安全规则的易读性等方面内容,简单介绍了NSX分布式防火墙的应用场景。
在生产环境中,需要熟悉每个组件的功能和优势,在适宜的时候去使用。安全规则的制定没有统一的标准,但是有一个统一的目标:足够安全、管理方便。希望这两篇文章可以作为引子,帮助大家更好了解 NSX 带来的一系列变化,在不变与变化中取舍。
领取专属 10元无门槛券
私享最新 技术干货