一般來講 VMware NSX-T 可以通俗的理解為一個(gè) SDN(軟件定義網(wǎng)絡(luò))的平臺(tái)。在NSX的教材中闡述其為一個(gè)集合SDN和NFV(網(wǎng)絡(luò)功能虛擬化)于一體的網(wǎng)絡(luò)平臺(tái): Network Virtualization(網(wǎng)絡(luò)虛擬化)。借助成熟的vSphere運(yùn)算虛擬化平臺(tái), NSX早在2013年的時(shí)候便已可以為虛擬機(jī)提供分布式 / 網(wǎng)關(guān)式防火墻。在2015年, NSX在VMware的產(chǎn)品家族中率先與vCenter控制平面結(jié)偶, 推出了面向多云環(huán)境的NSX-T平臺(tái)。
如上圖所示, NSX-T的數(shù)據(jù)轉(zhuǎn)發(fā)層面已經(jīng)不僅僅支持vSphere作為虛擬化平臺(tái)了, 同時(shí)支持了更為開放的主流Linux平臺(tái), 其中可細(xì)分為支持Linux中的容器網(wǎng)絡(luò)和Linux的直裝服務(wù)器。高性能 / 多租戶的虛擬路由器則部署在NSX Edge中, NSX Edge支持兩種部署形態(tài): 虛擬機(jī) / 服務(wù)器直裝, 前者部署便利性不言而喻, 后者借助Intel或Mellanox的DPDK追求最佳的性能。
在控制層面由于已經(jīng)與vCenter解偶, 從而有了獨(dú)立的網(wǎng)絡(luò)視角的管理界面。通過該界面NSX管理員可以使用API接口與多個(gè)vCenter對(duì)接(Up to 16), 也可對(duì)接K8s平臺(tái)(Up to 100)為其提供容器網(wǎng)絡(luò)服務(wù), K8s社區(qū)版的或商業(yè)版均支持。在非天朝地區(qū)還可以通過Cloud Service Manager組件對(duì)接公有云平臺(tái)(A家,M家,G家), 從而提供一個(gè)統(tǒng)一的虛擬網(wǎng)絡(luò)平臺(tái), 也將混合云網(wǎng)絡(luò)安全維度扁平化, 即便在混合云場(chǎng)景中, 客戶依然保持相同的網(wǎng)絡(luò)安全策略手段去設(shè)計(jì)和管理網(wǎng)絡(luò)。
如下圖所示,早在2014年VMware就提出了“零信任”安全模型, 該模型的原型來自公共安全體系架構(gòu), 可以以機(jī)場(chǎng)的安檢流程來進(jìn)行類比。假定VMware為機(jī)場(chǎng)管理方, 當(dāng)乘客進(jìn)入機(jī)場(chǎng)開始便開始經(jīng)歷各種安全檢查,大家可以回憶一下大致的安檢過程:
- 防爆測(cè)試, 行李快速檢測(cè), 簡(jiǎn)單金屬檢測(cè)
- 辦理登機(jī)牌 = 身份 / 出發(fā)地 / 目的地 校驗(yàn)
- 人臉識(shí)別 = 過往航程查詢 / 排隊(duì)通道分派
- 深度安檢前身份和機(jī)票的核對(duì)
- 度安全 = 行李分類過機(jī) / 金屬檢測(cè) / 人工檢查
- 登機(jī)前的機(jī)票核對(duì)
前5個(gè)步驟對(duì)應(yīng)數(shù)據(jù)中心的安全布局類似于圖2中右側(cè)的邊界防火墻, IPS, 可能還有WAF / DDOS / 反垃圾郵件 / 防病毒和防惡意軟件等深度檢測(cè)的網(wǎng)關(guān)。這些網(wǎng)關(guān)的工作原理都是當(dāng)且僅當(dāng)流量經(jīng)過它時(shí), 通過自身專用的CPU / 內(nèi)存 / 或芯片來做深度檢測(cè)。正如機(jī)場(chǎng)中的深度安檢時(shí)所用的儀器, 并非由機(jī)場(chǎng)生產(chǎn)。而是由第三方安全廠家生產(chǎn), 與機(jī)場(chǎng)管理方安全流程集成與聯(lián)動(dòng)?梢灶惐葹閿(shù)據(jù)中心南北向流量的深度檢測(cè)。
而面對(duì)當(dāng)今的網(wǎng)絡(luò)威脅, 也許僅僅南北向的深度檢測(cè)是不夠的。國(guó)內(nèi)安全形勢(shì)亦是如此, 等保2.0還有"花王"行動(dòng), 各種監(jiān)管機(jī)構(gòu)對(duì)網(wǎng)絡(luò)安全的審核已不僅僅是南北向(垂直滲透), 或我們常說的邊界安全。因?yàn)橥铍y以應(yīng)對(duì)的安全威脅是來自內(nèi)網(wǎng)。所謂"吾恐季孫之憂,不在顓臾,而在蕭薔之內(nèi)也"。經(jīng)過了機(jī)場(chǎng)的各種深度檢測(cè)后, 身在候機(jī)廳的你并不是可以任意登機(jī)口登機(jī)的, 最后還需由機(jī)場(chǎng)工作人員完成最后的登機(jī)前驗(yàn)票, 簡(jiǎn)單的驗(yàn)票流程, 由機(jī)場(chǎng)人員完成, 檢測(cè)的過程高效 /顆粒度到個(gè)人 / 寬度到每個(gè)登機(jī)口。 這好比數(shù)據(jù)中心中的東西向流量安全, 這便是VMware作為機(jī)場(chǎng)管理方最擅長(zhǎng)的分布式防火墻。這種分布式防火墻不追求檢測(cè)的深度, 而專注檢測(cè)的執(zhí)行顆粒度與寬度。這樣解釋并不是說NSX分布式防火墻不能做到深度檢測(cè), 只是這樣做會(huì)勢(shì)必會(huì)消耗更多的資源去執(zhí)行深度檢測(cè)的任務(wù), 從而會(huì)與宿主機(jī)中的業(yè)務(wù)虛擬機(jī)(或容器)有征用資源的沖突。上文中提到的深度包檢測(cè)設(shè)備無不是有自己專用的處理資源。
VMware推薦的采用集成第三方安全解決方案來構(gòu)建邊界的安全, 內(nèi)網(wǎng)采用平臺(tái)內(nèi)置分布式防火墻構(gòu)筑彈性寬度的防御體系。二者依據(jù)管理者的意志進(jìn)行安全聯(lián)動(dòng), 這樣的網(wǎng)絡(luò)安全框架更為合理。
小結(jié)
構(gòu)建全向安全數(shù)據(jù)中心首先應(yīng)該先打破一個(gè)固有的錯(cuò)誤假設(shè)“內(nèi)網(wǎng)安全”后, 再去構(gòu)建一個(gè)南北向深度防御,東西向高精度的管控粗顆粒度檢測(cè)的網(wǎng)絡(luò)安全體系。再加之能夠縱向管理的安全審計(jì)系統(tǒng),提供流量可視化,安全審計(jì),數(shù)據(jù)積淀,事件回溯等,秉承的思維應(yīng)該是“專業(yè)的事交給專業(yè)的人做”。
二。NSX-T與第三方安全產(chǎn)品集成概覽
NSX 同時(shí)算上-V和-T兩個(gè)版本, 所支持的第三方安全生態(tài)合作伙伴可謂是非常豐富的, 下圖中圍繞著NSX以及vSphere的安全生態(tài)可見一斑。
關(guān)于具體的版本所支持的第三方安全生態(tài)可以登陸VMware兼容性官方網(wǎng)站進(jìn)行查詢:
https://www.vmware.com/resources/compatibility/search.php?deviceCategory=nsxt
接下來我們一起看看NSX-T集成第三方安全的產(chǎn)品的方案以及實(shí)現(xiàn)原理。
上圖通過以下幾個(gè)維度分析了NSX-T網(wǎng)絡(luò)平臺(tái)集成第三方安全解決方案的收益:
1. 增值的網(wǎng)絡(luò)安全服務(wù)(東西向/南北向加固)
可以基于VMware軟件定義數(shù)據(jù)中心(SDDC)產(chǎn)品家族的環(huán)境或者是諸多公有云環(huán)境構(gòu)建
下一代防火墻
IPS / IDS
URL Filtering /Anti-Virus / Sandboxing
網(wǎng)絡(luò)可視化 / 分析 / 聚合
2. 與合作伙伴深度集成的收益
顆粒度更高的安全服務(wù)
簡(jiǎn)化部署 / 安全聯(lián)動(dòng)
以應(yīng)用為中心的安全策略一致性
服務(wù)鏈條
3. 靈活的部署模型
可分布式部署到所需的宿主機(jī)中
可指定部署在專用的安全服務(wù)集群中
通過幾張膠片我們分別看看東西向 / 南北向 是如何集成的,
東西向NGFW集成示意圖如下:
如上圖所示, 第三方安全設(shè)備在南北向集成時(shí), 可以與平臺(tái)邊界路由器(T0 Router)集成,也可下沉到租戶路由器(T1 Router)。借助NSX-T作為網(wǎng)絡(luò)平臺(tái), 第三方防火墻不僅僅可以在租戶的邊界對(duì)虛擬機(jī)進(jìn)行深度檢測(cè), 也可對(duì)該網(wǎng)絡(luò)內(nèi)的容器執(zhí)行相同的策略, 而第三方安全設(shè)備并不需做額外與K8s的配置。
上圖展示了南北向集成的防火墻實(shí)例是如何工作的, 旁邊的英文描述已經(jīng)大致說明了轉(zhuǎn)發(fā)機(jī)制。NSX-T采用策略路由將目標(biāo)分段導(dǎo)流(重定向)到第三方防火墻中, 再通過BFD檢測(cè)保持MAC地址的更新以及HA狀態(tài)的檢測(cè)。在南北向的集成部署模式當(dāng)中第三方設(shè)備是支持主備(Active/Standby)模式的, 當(dāng)然你非要Standalone也是可以的。
東西向的安全集成則有兩種模式, 分布式部署/ 集中式部署。
上圖向大家展示的就是第三方安全產(chǎn)品采用分布式方式部署, 簡(jiǎn)單的可以理解為每個(gè)宿主機(jī)一臺(tái)第三方安全VM。值的一提的是, 在東西向部署中采用的流量重定向的封裝為Geneve(可理解為VxLAN), 采用該中模式就為在南北向中集成多重安全服務(wù)埋下了伏筆, 也就是服務(wù)鏈條。再看如下圖您就會(huì)更好的理解為什么第三方安全VM可以集中部署了。
既然是采用Geneve封裝, 那么其實(shí)第三方安全VM放在哪一臺(tái)宿主中并不是強(qiáng)制的,只要底層路由可達(dá)的前提下都是可以的。圖8的部署模式中, 用戶可以設(shè)置一些特定的運(yùn)算資源(宿主機(jī))作為安全服務(wù)集群, 集中可將多個(gè)或多樣的安全產(chǎn)品部署進(jìn)去。分布式部署的模型中第三方安全VM會(huì)更靠近受保護(hù)終端, 帶寬和延時(shí)親和。集中式部署則有著清晰的資源開銷預(yù)支, 用戶還可以為該安全服務(wù)集群?jiǎn)为?dú)制定集群策略, 某些帶寬和延時(shí)不敏感的場(chǎng)景下還能為用戶節(jié)省第三方License的開銷。
東西向的安全集成大家不難發(fā)現(xiàn), 它的檢測(cè)顆粒度更高, 不僅僅是在租戶或平臺(tái)的邊界, 而是可以深入到每個(gè)子網(wǎng)/微分段/安全組中去。通過Geneve的隧道封裝我們可以將多種的安全或監(jiān)控服務(wù)串聯(lián)在一起形成一個(gè)服務(wù)鏈條, 如下圖所示。
如上圖所示, 可以通過配置Service Profile還可以為不同的安全分組采用不同的服務(wù)鏈條, 實(shí)現(xiàn)安全服務(wù)等級(jí)的劃分和不同監(jiān)管要求的落實(shí)。
三。關(guān)于集成安全生態(tài)的小結(jié)
總結(jié)一下NSX-T平臺(tái)為什么需要集成眾多的安全生態(tài):- 首先安全是一個(gè)系統(tǒng)工程,不是筑起一道墻就能完成的。然而在如此復(fù)雜的系統(tǒng)當(dāng)中沒有任何一家解決方案供應(yīng)商可以一力承擔(dān)(如果有,這本身似乎也不安全);
- 其次我們摒棄掉“內(nèi)網(wǎng)安全”的觀點(diǎn), 遵循“專業(yè)的事交給專業(yè)的人做”原則來構(gòu)筑安全體系,因?yàn)槿祟惿鐣?huì)本就如此分工;
- 作為一個(gè)網(wǎng)絡(luò)虛擬化平臺(tái), 第三方的安全解決方案展示了該平臺(tái)的包容性。通過此網(wǎng)絡(luò)平臺(tái)安全解決方案廠家可以更專注在安全領(lǐng)域, 而不是花時(shí)間去考慮如何去與眾多的計(jì)算生態(tài)去集成;
- 同時(shí)第三方的安全解決方案很好的滿足了用戶以往對(duì)該品牌產(chǎn)品的使用慣性, 也互補(bǔ)了VMware在安全檢測(cè)深度上的“不擅長(zhǎng)”。眾多的第三方安全產(chǎn)品也滿足了用戶個(gè)性化的安全需求;
- 拓展思考, 集成第三方安全, 保障的不僅僅是虛擬機(jī), 更是容器態(tài)的業(yè)務(wù), 云上或云間的業(yè)務(wù)。而第三方可集成的也不全是深度檢測(cè)產(chǎn)品,也不乏安全審計(jì)和監(jiān)控解決方案。
Rock Zang
VMware中國(guó)區(qū)資深網(wǎng)絡(luò)架構(gòu)師