实验摘要:

1>利用vRealize Network Insight配置业务安全微分段策略 [难度★★复杂度★★★]

2>利用vRealize Network Insight优化业务安全微分段策略 [难度★★复杂度★★★]

正文:

今天是本系列“一步步实现SDDC”现阶段的最后一篇分享,我将向各位演示如何使用vRealize Network Insight配置并优化NSX安全微分段策略
在上一篇分享的最后,我配置了若干条分布式防火墙策略,实现了对3-Tier-App业务提供端到端的微分段保护。但是,在实际的生产环境中,经常会出现以下几种情况:

  • 安全设备全新上架,由于安全管理员对业务系统数据流走向不了解,策略配置无从下手,最终一条”permit ip any any”草草了事;
  • 病毒来袭,安全管理员本着“宁枉勿纵”的原则,一条”deny all”将正常的访问流量也一并阻挡
  • 业务系统太多太杂,安全管理员工作量攀升,成为“亚历山大”

那么,在一个采用VMware SDDC解决方案的数据中心,对于安全策略的配置与优化,是否有办法可以提高安全防护的效率,降低管理员工作量,同时能对业务流量做到360°的可视化呢?

答案是肯定的,解决方案就是今天我想向各位介绍的VMware vRealize Network Insight

主题:迷你SDDC环境搭建

任务34:利用vRealize Network Insight配置业务安全微分段策略

**
由于VMware vRealize Network Insight(后文简称vRNI)最小部署需要2台虚拟机分别承担Platform和Proxy角色,我的迷你SDDC环境内存不足,无法满足部署条件,因此今天的实验内容,将在另一套VMware SDDC演示环境中呈现。

vRNI是VMware收购Arkin后更名推出的一个产品;简单来说:

Network针对的是数据中心内的网络流量,其中当然也包括物理网络设备处理转发的部分;

Insight是一种对网络流量的洞察力,其含义包括业务拓扑描绘、应用识别和网络安全归纳等。

除了与NSX DC关系密切之外,vRNI与**VMware vRealize Suite中的vRealize Log Insight以及vRealize Operation共同使用,可以帮助IT管理员实现数据中心的智能运维与优化**。

不过,由于vRNI的部署与配置非常复杂;在今天的分享中,我将只演示vRNI+NSX的使用;关于vRNI的部署与配置,我计划在“一步步实现SDDC的后篇-vRealize ABO”中推出,届时也希望各位能继续支持晓冬的分享。

承载今天演示实验的平台是一套NSX cross DC演示环境:

包括2个vCenter和2个NSX for vSphere;

细心的朋友一定也发现了,vRNI可以对第三方的产品实现“网络洞察”,如Cisco UCSM

3-Tier-App相关的业务虚拟机分别是:


Web01:172.17.10.101/24

Web02:172.17.10.102/24

WebVIP:172.20.1.196/25;In-Line Edge

App01:172.17.20.101/24

App02:172.17.20.102/24

APPVIP:172.17.20.100/24;One-Arm Edge

DB01:172.17.30.101/24

🚢0x16 一步步实现SDDC-vRNI加速实现安全微分段 - 图31

闲话不再多说,开启正式演示:

在业务刚上线的时候,管理员尚未在NSX配置任何安全微分段
🚢0x16 一步步实现SDDC-vRNI加速实现安全微分段 - 图32

用户可以正常访问3-Tier-App业务
🚢0x16 一步步实现SDDC-vRNI加速实现安全微分段 - 图33

由于没有任何防火墙策略保护,APP应用和DB应用(虚拟机)也同样暴露给外部用户
🚢0x16 一步步实现SDDC-vRNI加速实现安全微分段 - 图34
🚢0x16 一步步实现SDDC-vRNI加速实现安全微分段 - 图35

访问vRNI,选择Plan Security并定义网络流量分析的区间
🚢0x16 一步步实现SDDC-vRNI加速实现安全微分段 - 图36

可以看到在vRNI自动分析后,左侧会以饼图的形式呈现所有的流量归类,右侧会以报表的形式呈现所有的流量统计
🚢0x16 一步步实现SDDC-vRNI加速实现安全微分段 - 图37

Keep Focus Web-Tier、App-Tier和DB-Tier三个逻辑交换机和其他相关网络流量归类
可以看到饼图已经自动描绘了数据流走向:
其中VLAN5和VLAN10分别是两个数据中心的网络;

合规的数据流走向是VIP(VLAN5 172.20.1.196)-Web->AppVIP(onearm edge)->App->DB;
以及其他非业务相关的流量,如管理流量、非法流量、服务器访问公网DNS等流量
🚢0x16 一步步实现SDDC-vRNI加速实现安全微分段 - 图38

查阅Web-Tier的流量统计信息,可以看到该逻辑交换机合计承载了2台虚拟机,分别是Web01和Web02
🚢0x16 一步步实现SDDC-vRNI加速实现安全微分段 - 图39

点击Recommended Firewall Rules,查看vRNI推荐的安全微分段规则
🚢0x16 一步步实现SDDC-vRNI加速实现安全微分段 - 图40

点击具体的某一条规则,可以看到该规则详细的描述;以及当前是否已经有安全微分段规则与之匹配
🚢0x16 一步步实现SDDC-vRNI加速实现安全微分段 - 图41

选择合理的规则,导出成CSV文件
🚢0x16 一步步实现SDDC-vRNI加速实现安全微分段 - 图42

重复上述步骤,完成App-Tier和DB-Tier的安全微分段推荐配置查阅和导出
🚢0x16 一步步实现SDDC-vRNI加速实现安全微分段 - 图43
🚢0x16 一步步实现SDDC-vRNI加速实现安全微分段 - 图44
🚢0x16 一步步实现SDDC-vRNI加速实现安全微分段 - 图45
🚢0x16 一步步实现SDDC-vRNI加速实现安全微分段 - 图46

  • 管理员可以将导出的建议微分段进行整合
    🚢0x16 一步步实现SDDC-vRNI加速实现安全微分段 - 图47
  • 通过对建议的微分段进行归纳整理,总结出针对3-Tier-APP的分布式防火墙规则
    🚢0x16 一步步实现SDDC-vRNI加速实现安全微分段 - 图48

    通过Web Client配置分布式防火墙规则
    注:由于NSX cross VC演示环境采用Universal Logical Switch作为部署3-Tier-App业务虚拟机的逻辑网络承载,因此Universal DFW的对象只能用IP地址段或者安全组
    🚢0x16 一步步实现SDDC-vRNI加速实现安全微分段 - 图49

    可以看到Universal DFW规则会自动从Primary节点同步到Secondary节点
    🚢0x16 一步步实现SDDC-vRNI加速实现安全微分段 - 图50

    下面来验证一下防火墙规则:
    业务访问并无影响
    🚢0x16 一步步实现SDDC-vRNI加速实现安全微分段 - 图51
    外部网络无法再直接访问MYSQL数据库服务器
    🚢0x16 一步步实现SDDC-vRNI加速实现安全微分段 - 图52
    外部网络无法再直接访问APP应用服务器
    🚢0x16 一步步实现SDDC-vRNI加速实现安全微分段 - 图53

    通过上面的演示,各位可以看到:借助于vRNI,管理员可以对整个数据中心业务的拓扑明细和数据流走向(Network)有一个360°无死角的洞察力(Insight);vRNI会非常智能地提出安全微分段配置建议,以加速业务安全加固,降低管理员工作量,提高运维效率
    那么,vRNI的工作到此结束了么?再者;管理员基于vRNI建议的安全微分段目前看的确能加固业务安全,是否有进一步优化的空间呢?

主题:迷你SDDC环境搭建

任务35:利用vRealize Network Insight优化业务安全微分段策略

在回答上面2个疑问之前,我们先继续通过vRNI更加深入地了解3-Tier-App业务;

在完成分布式防火墙配置后,继续查看网络流量
可以看到App-Tier有自进自出的流量,这也是我们之前定义源为App-Tier,目的为App-Tier的一条安全微分段规则的理由;但是这条规则可能存在不合理

🚢0x16 一步步实现SDDC-vRNI加速实现安全微分段 - 图54

进入App-Tier这个通用逻辑交换机
可以看到这个交换机所有交互的服务,包括一个公网地址DNS服务,一个DB-Tier地址MYSQL服务和两个APP虚拟机的地址HTTP服务

🚢0x16 一步步实现SDDC-vRNI加速实现安全微分段 - 图55

查看详细的出入向流量,可以看到以下特征:

所有从Web->App流量,均为两台Web虚拟机访问App的VIP地址,即172.17.20.100
所有从App->App流量,均为App的VIP地址访问两台App虚拟机的地址
所有App->DB流量,均为两台App虚拟机访问DB虚拟机的地址
🚢0x16 一步步实现SDDC-vRNI加速实现安全微分段 - 图56
🚢0x16 一步步实现SDDC-vRNI加速实现安全微分段 - 图57

同时,由于分布式防火墙策略只允许App访问DB的MYSQL服务,其他所有入向目标为DB的流量全部被屏蔽;
管理员无法在合法的管理跳板机SSH访问数据库服务器执行配置更新

🚢0x16 一步步实现SDDC-vRNI加速实现安全微分段 - 图58

通过对应用3_Tier-App的流量检查,可以看到分布式防火墙一共阻挡了三类流量:
禁止了外部访问App服务器的HTTP服务流量(合规)

🚢0x16 一步步实现SDDC-vRNI加速实现安全微分段 - 图59
禁止了外部访问DB服务器的MYSQL服务流量(合规)
但也同时禁止了合法的管理跳板机(属于外部)访问DB服务器的SSH流量
🚢0x16 一步步实现SDDC-vRNI加速实现安全微分段 - 图60

因此,管理员在采纳vRNI基于智能流量分析给出的安全微分段规则配置后,可能存在需要优化的地方,因此借助于vRNI对网络的全面洞察力,进一步优化安全微分段规则的配置,提高规则合理性和针对性,让安全条目更清晰、更准确、更贴近业务实际

管理员根据vRNI的流量统计,更新分布式防火墙规则
修改Web->AppVIP和AppVIP->App的规则;添加跳板机172.20.1.199访问所有应用虚拟机SSH的规则
🚢0x16 一步步实现SDDC-vRNI加速实现安全微分段 - 图61

在分布式防火墙规则生效后,可以看到用户虽然无法PING通数据库服务器,但是可以SSH访问实现管理

🚢0x16 一步步实现SDDC-vRNI加速实现安全微分段 - 图62

优化防火墙规则后,业务并没有受到影响

🚢0x16 一步步实现SDDC-vRNI加速实现安全微分段 - 图63

因此,vRNI+NSX加速安全微分段的实现至少包含了“评估“””“配置”与“优化”三个层次;之所以会出现几条不合理需要优化的安全微分段配置,是因为vRNI采用基于网络流量的智能分析,我的SDDC演示环境并没有大量的实际访问流量提供vRNI“评估”;除此以外,NSX Cloud支持与公有云对接,凭借vRNI+NSX Family,用户可以将业务延伸至公有云,实现混合云的蓝图。
至此,一步步实现SDDC(前篇)分享告一段落;一共35个实验演示,向各位展示了vSphere、vSAN和NSX三个SDDC基础架构层的安装与配置用例。在后面的分享中,我将不定期交叉推出两个新的系列:

vRealize ABO,一步步实现SDDC(后篇),介绍vRealize Automation、vRealize Business for Cloud、vRealize Operation和vRealize Log Insight的安装部署与配置使用;同时也会一并分享vRealize Network Insight的相关演示实验;

变形金刚外传之NSX-T,以全新的NSX-T2.4版本为基础,演示构件一个跨vSphere与KVM的迷你数据中心环境。

希望能与各位关注技术的朋友,有更多的相互交流,我们共同学习,一起进步~