在NSX上集成第三方高级安全服务

在NSX上集成第三方高级安全服务一、为什么要集成第三方服务？（1）利用现有网络资源，延续用户使用习惯。企业的网络环境中经常会存在不同的安全交付厂商的设备或服务，并且已经有了使用习惯和良好的体验。这时候VMware NSX就需要能够很好的去集成第三方服务，以便于充分利用现有网络资源且延续用户使用习惯。（2）借助第三方高级安全服务，加强数据中心安全。NSX网络虚拟化平台在虚拟网络之中只提供了二到四层的防火墙功能。但是在一些环境中，应用需要更高级别的网络安全策略来保护。在这种情况下，用户可以利用NSX平台，在其上集成第三方安全厂商的五到七层安全服务，提供更全面更充分的基于应用的解决方案。二、 NetX架构要使用第三方的服务，需要想办法将网络流量重定向给这些服务，同时又要尽量不影响网络性能。作为一个hypervisor-integrated软件平台，NSX充分利用了hypervisor的集成能力，直接在hypervisor上集成第三方的安全服务。NSX采用NetX（Network Extensibility）框架，通过一个或多个服务虚拟机（SVM）来指定特定流量的重定向。这些SVM不通过典型的网络堆栈接收网络流量，他们直接通过虚拟机hypersivor的消息传递通道进行消息传递。可以在NSX Service Composer中以策略驱动的方式定义哪些流量被重定向到第三方服务。用户使用NSX Manager创建服务配置文件，NSX Manager会将服务实例、服务配置文件和服务配置文件规则发送给VSFWD（RabbitMQ客户端，与NSX Manager通信）。VSFWD进程将配置VSIP内核模块。具体如下图所示：图1 NetX架构三、与第三方集成的方案NSX将第三方网络安全服务集成在虚拟网络中，通过逻辑的通道发布至vNIC接口（具体见NetX架构图示），使得在vNIC后端的应用可以使用这些服务。这种形式的服务集成称为“嵌入、链接与导向”。参考图2，在Guest虚拟机和逻辑网络（逻辑交换机和分布式端口组）之间，会有一项服务部署在vNIC层面，这就是服务的嵌入。Slot-ID体现了服务于相关虚拟机的连接slot2与分布式防火墙关联，而slot4与Palo Alto公司的虚拟防火墙关联了起来，其它的slot可以集成跟多的第三方服务。这就是服务的链接流量在退出虚拟机的时候需要遵循slot ID的序号，如下图流量先被重定向到slot 2，然后是slot 4。进入虚拟机时则相反。图2 嵌入、链接、导向这种集成方案的优势以服务链的方式提供不同服务组合。随着基础设施服务从物理设备过渡到软件功能，可以通过将这些服务直接插入到特定的转发路径中，以更大的粒度部署这些服务。以这种方式组合多个功能被称为服务链或服务图。这些服务可以在基础设施中的任意两个端点之间被创建，配置，插入和动态删除。图3 服务链四、与Palo Alto集成案例当前在NSX网络虚拟化平台中已经集成了一些第三方的服务，如：Palo Alto、趋势科技、McAfee等。图4 集成第三方服务模型下文将以NSX上集成Palo Alto公司的VM系列下一代虚拟防火墙服务为例，详细阐述在NSX上集成第三方高级安全网络服务的具体方案。4.1 Palo Alto NGFW解决方案Palo Alto公司的下一代防火墙让企业实现安全的同时，能够防范已知和未知威胁。Palo Alto企业安全平台使用积极的安全控制模型，这个模型的特点如下：（1） 基于应用层特征而不是端口识别。（2） 减少威胁痕迹以阻止已知的威胁并防范未知威胁。（3） 文件可见性得以扩展（可查看常用文件类型而不论其是否加密）。（4） 零天攻击检测（能快速识别应用并对威胁作出反应）。（5） 发现恶意域名。（6） 事件响应数据的单一界面视图。4.2 NSX与Palo Alto NGFW集成解决方案Palo Alto的NGFW分为两种防火墙，分别为物理硬件防火墙和可以集成虚拟化Hypervisor的防火墙。用来与NSX集成的是虚拟防火墙。Palo Alto提供了一些核心组件，包括：VM系列防火墙、动态地址组、Panorama管理软件。VM系列防火墙：VM系列防火墙是用于虚拟化环境的Palo Alto NGFW。它使用了与Palo Alto硬件版相同的PAN-OS软件，Palo Alto安全平台使用应用识别技术来实现诸多应用层安全，如拦截恶意网站，防范漏洞扫描等。动态虚拟地址组：在虚拟化和云计算环境中，虚拟机经常在服务器之间漂移，因此不在该基于动态IP地址和端口来定义策略。Palo Alto可通过动态地址组特性，使用虚拟机打标签作为其身份的方法来创建策略。Panorama管理软件：Palo Alto集中化安全管理软件，可以管理所有物理和虚拟安全设备（前提是Internet出口防火墙是Palo Alto硬件防火墙）。从部署安全策略，到威胁的分析，再到生成整网的报告，都是在Panorama中完成的。Palo Alto将Palo Alto的虚拟系列防火墙注册为NSX的一个服务，从而使得NSX能和Palo Alto解决方案集成。一旦服务注册成功，就可以部署一个或多个集群，每一个集群内的，每一个集群内的主机都可以根据预先编排的策略进行虚拟防火墙的部署、授权、注册和配置。下图是NSX与Palo Alto的融合解决方案逻辑架构图。可以看到，在NSX分布式防火墙的基础上，另外加了一层Palo Alto VM系列防火墙，用来处理从NSX分布式防火墙重定向过来的网络流量，其部署策略和重定向策略，都是由NSX Manager定义的。而Palto Alto VM系列防火墙的策略，又通过与NSX Manager集成的Panorama进行定义。此外，Panorama可以对外部物理防火墙进行统一管理。图5 NSX与Palo Alto的融合解决方案逻辑架构4.3方案特点 独立于网络拓扑架构：无论网络是基于Overlay技术搭建的逻辑网络，还是通过传统的VLAN进行部署的，安全策略永远都与虚拟机的位置和连接的端口无关。 自动地部署和配置：注册到NSX Manager的Panorama成了安全管理平台，并为NSX Manager提供关于Palo Alto VM系列虚拟防火墙的信息，其后NSX Manager就会在每一个ESXi主机上自动化的部署下一代安全服务。Palto Alto VM成功部署后会跟Panorama直接通信，并由Panorama进行授权和配置的工作。 无缝重定向到下一代安全服务：在NSX网络虚拟化环境中，流量会通过NSX的API直接自动重定向到Palo Alto VM系列防火墙，而无须对网络进行手动配置。 基于应用、用户、内容和虚拟机的“容器”动态安全策略：所有的虚拟应用程序都可以被实例化，并被安放在逻辑的“容器”内。“容器”的概念可以扩展到基于Palo Alto下一代安全平台动态地址组的VM系列虚拟防火墙的安全策略。在VMware和Palo Alto的管理平台之间实现完整的上下文共享，使得动态地址组通过虚拟容器的最新信息进行更新，而不是手动追踪成百上千的IP地址。这个特性使得我们能够很容易在虚拟应用之上应用安全策略，无论虚拟机何时创建或在网络中漂移到什么位置。 利用下一代安全，保护虚拟应用和数据：由于VM系列虚拟防火墙使用了PAN-OS操作系统，因此可以启用PAN-OS带来的全面的下一代安全特性来部署数据中心应用的定义，控制和安全策略，并对所有威胁的内容进行检测。 与主机同步线性扩展：在Hypervisor数量增长时，IT管理员无需考虑网络安全功能所需的物理资源消耗每增加一个Hypervisor，Palo Alto下一代安全平台就会在上面自动生成，只要license数量足够。4.4 NSX和Palo Alto NGFW集成步骤NSX和Palo Alto NGFW的融合解决方案利用“嵌入、链接与定向”的方式，将Palo Alto的下一代防火墙集成在NSX虚拟化平台上。实现在基于微分段技术的NSX分布式防火墙之上，引入57层应用安全防护。下面讲下如何将两家不同公司不同技术的产品集成在一个解决方案上。这个融合解决方案对两家公司的产品软件，有着版本要求，需要的最低版本如下：l PAN-OS 6.0（Panorama and VM-Series）以上版本；l ESXi5.1以上的版本；l vCenter5.5以上的版本；l NSX Manager6.0以上版本；有了这些软件后就可以部署了，部署流程如下：图6 NSX与Palo Alto NGFW的集成解决方案部署过程（1） 将Panorama注册到NSX Manager。注册时，需要在Panorama的VMware Service Manager界面上定义NSX Manager的各种信息，如IP地址，主机名、证书等。注册成功后，NSX之后可以自动根据数据中心内部的动态变化（如虚拟机迁移）与Panorama中的策略进行同步。（2） 通过NSX Manager在所有主机上部署Palo Alto VM系列虚拟防火墙。这样集群内每台主机都可以获得Palo Alto的NGFW服务。NSXManager会在每台主机上自动加载Palo Alto系列虚拟防火墙的OVF文件，启用虚拟防火墙，并为新建的防火墙提供通信地址和Panorama的信息。（3） Panorama对每个虚拟防火墙进行授权，并将安全策略推送到每个节点。Palo Alto系列虚拟防火墙只使用一个vNIC用于管理，这个接口与Panorama直接通信，以获得策略规则配置和交换实时信息（如流量日志、策略更新等）。（4） 在NSX Manager里创建安全组后，它就会与Panorama的动态地址组关联起来。在NSX与安全平台的集成中，在执行（Action）的操作中，会通过流量重定向，将流量交给Palo Alto虚拟系列防火墙处理。（5） 当集群增大，主机数量增多时，上述步骤是自动完成的。NSX Manager获得了ESXi的变化信息，而这些信息都可以在两个厂商的平台中同步并更新。（6） 一旦Panorama获得了来自NSX Manager的实时更新信息，它就会再次推送给Palo Alto VM系列虚拟防火墙，重复之前的步骤。这样就可以在新的主机上自动化部署Palo Alto的VM虚拟系列防火墙。下面是使用集成解决方案对Web三层应用进行57层的高级防护。在Web层、APP层、数据库层都部署了Palo Alto VM系列虚拟防火墙，这样就可以将需要进行57层高级安全防护的流量，重定向到Palo Alto下一代平台中去处理，Web服务器与APP服务器的交互、APP服务器与数据库的交互都能实现高级安全。在NSX中不仅东西向的流量可以这么处理，南北向的可以通过在NSX Edge所在的ESXi主机上部署Palo Alto系列虚拟防火墙，或者针对南北向部署物理防火墙。通过Panorama实现统一管理。NSX提供了很好的开放性来集成不同的第三方厂商安全产品，从而加强数据中心的安全性。