最近更新文章
2017/10/20
職場監視尺度須拿捏 兼顧資安保護及員工隱私
2017/10/20
AI/運算/感測相繼成熟 自駕車隨技術水到渠成
2017/10/19
樺賦科技全新 N2350 和 N4350 儲存伺服器
2017/10/19
雲服務接地氣 電信級標籤防偽
2017/10/19
微服務容器不是易開罐
2017/10/18
記錄檔案伺服器存取軌跡 免費達成稽核調閱要求
2017/10/17
希捷推出高容量 12TB NAS 硬碟
2017/10/17
網路櫃攸關機房運作 細節著手管理更可靠
2017/10/17
解危IoT威脅 資安委外滅火
2017/10/16
大世科成立全台首座企業級資安實戰演練中心
2017/10/16
合勤科技 2017 BBWF 首次亮相最新 WiFi Mesh 解決方案
2017/10/16
緊盯資安最脆弱環節 專家解析主機異常活動
2017/10/16
正確撰寫Dockerfile 製作最好用容器映像檔
2017/10/15
Hitachi Vantara 全新商用 Lumada 軟體堆疊, 強化工業物聯網平台市場
2017/10/14
恩智浦運用 Google Cloud IoT Core 促進智慧裝置的邊緣運算
2017/10/14
達友科技獨家代理資安品牌 OPSWAT 抵抗惡意攻擊
2017/10/13
NEC 研發出世界首創的聲音AR技術
2017/10/13
Nutanix 發表最新的企業雲平台 採用單一OS混合雲
2017/10/13
統轄大型複雜虛擬化環境 vROps監控管理有效率
2017/10/13
電商連資安險都拒保 專業防護贏回競爭力
2017/10/12
Openfind Mail2000 協助企業輕鬆做好資安防護
2017/10/12
NETSCOUT 推出 AIRCHECK G2 全新功能
將此篇文章跟 Facebook 上的朋友分享將此篇文章跟 Plurk 上的朋友分享將此篇文章跟 Twitter 上的朋友分享列印轉寄
2017/7/12

搭配NSX規劃微分段防護政策 整合虛實檢視環境路徑

vRealize Network Insight 網管監控神器入門(二)

饒康立
學會如何在vRealize Network Insight內搜尋,並判讀虛機及Host資訊後,接下來將說明Network Insight搭配NSX所提供的微分段方案及安全防護,並且整合實體設備來查看詳細的虛實環境路徑。


上次文章說明了在vRealize Network Insight裡面怎麼做搜尋,可以看到哪些虛機與Host的資訊,功能很實用,但NSX在哪裡呢?如果只具備這些功能,那為什麼這個產品叫做「Network」 Insight,而不是vSphere Insight或是Virtualization Insight呢?

對此,本文將談論兩個重要的使用情境:Network Insight如何搭配NSX提供微分段方案的規劃與安全防護政策設計,並整合實體設備進行虛實環境路徑檢視。

相信很多人都已經實際部署與應用NSX微分段的功能,來提供vSphere資源池內的東西向防護。雖然微分段功能受到VMware客戶的廣大喜愛,也已經應用在許多台灣企業、政府、學校的vSphere環境內,但是在真的要應用微分段到生產環境內時,相信大家一定會問一個問題:「怎麼知道現在生產環境內的應用網路流有哪些?如何能在設定微分段安全規則時,不會去阻擋到正確的網路流呢?」

微分段方案規劃安全防護政策設計

如果是商用軟體或許簡單一些,手冊內可能有完整的防火牆需求列表。而如果是自己開發的軟體呢?用戶可能會馬上發現,包含開發團隊都不清楚各構件內到底用哪些網路埠連通的,更何況可能有許多舊應用,現在連開發團隊在哪邊都不知道了。這樣沒人敢做東西向防護了,因為一不小心就會把不該擋的正常業務流給擋掉。那糟了,除了全新建立的資料中心外,全部重新開發設計的應用系統,誰敢在現有的生產環境內隨意部署NSX來進行微分段功能?這就是Network Insight進場的重要時間點。Network Insight能夠辦到以下幾件事:

‧啟動vSphere Distributed Switch上的IPFIX/Netflow功能,並將整個vSphere環境內的虛機網路流資訊都收集到Network Insight內,進行集中的統計與分析。

‧不僅僅顯示IP∕網段間的統計資訊,還可以依據用戶實際的業務系統∕安全防護群組,進行群組間的網路流分析。

‧用戶不需要啟用實體網路設備上的任何特殊功能,只要用戶有Network Insight、vSphere 6以上的資源池並且使用vDS(只要有購買NSX或是採用vSphere Enterprise License都會具備),就能支援上述功能。

這個功能在Network Insight內叫作Plan Security。把Network Insight安裝好,與vCenter介接,並且設定在vDS上啟用Flow收集功能後,Network Insight就會持續地在背景不斷地收集整個vSphere資源池內的網路流資訊。

管理者隨時可以點擊Plan Security功能,並且選擇要看多久時間(1-day、3-day等等或1-month)的網路流統計。接著,像是圖1的統計圖就會出現了。


▲圖1 網路流統計圖。


網路管理者可能會覺得這與一般的Flow Collector工具沒有什麼不同,其實有以下兩點的差異:

首先管理員不必到每台交換器、每個VLAN上把Netflow功能打開。實際上,底層網路設備無須任何更動。

而其真正的強項是,這邊的統計方式能夠依據實際的業務規劃,而非一定是IP或網段。

在圖1中,可以看到有各種不同的分類方式。在目前的Network Insight版本中,總共的統計分類方式包含以下幾項:

by VLAN/VXLAN/Subnet:依據vDS上的Port Group或是NSX內的邏輯交換器進行分類,或是直接用不同的網段來分組。這邊就是網路的功能。

by Application/Tier:用戶可以自訂所要的應用程式群組,以及內部的不同分層(如Web、AP、DB),再用這來分組。

by Folder:依據大家在vCenter內怎麼把虛機分類到不同Folder來進行統計。

by Cluster/VM:依據來源在哪個Cluster或是哪個VM來做統計。

by Port:依據網路流的不同目的Port(不同服務)。

by Security Group/Security Tag:在已經安裝NSX的狀況下,用戶可以先將安全群組或安全標籤設定起來,但不啟用防火牆防護。此時,Network Insight同樣能夠依據目前各虛機所隸屬的安全群組和安全標籤進行網路流統計。

這篇文章讓你覺得滿意不滿意
送出
相關文章
評估使用環境及目的 挑出SDN建置最適方案
剖析SDN設備硬體架構 專屬/開放型各有考量
VM移轉須透通網路 雲結盟降低頻寬成本
按部就班建置VMware NSX 實現網路安全虛擬化
網路本質轉變 帶動新框架興起
留言
顯示暱稱:
留言內容:
送出