VMware NSX で作る VDI 環境のファイアウォール
description
Transcript of VMware NSX で作る VDI 環境のファイアウォール
NSX で作るVDI 環境のファイアウォール
三田 泰正
自己紹介 ( 三田 泰正 )
• 2006-2013 某 HW ベンダーでサーバ製品のプリセールス SE 主に仮想化分野を担当。 2012 年に vExpert 認
定。
• 2013/11- VMware で EUC 製品の担当 SE主に VDI ソリューションを担当
• 普段の業務:案件のプリセールスサポート、新製品の機能検証やスキルトランスファー。最近は VMware View や Virtual SAN 関連が多いです。
• vExpert 2012/2013/2014
• Twitter : @ymita
本日 NSX 6.1 がリリースされました
• https://www.vmware.com/support/nsx/doc/releasenotes_nsx_vsphere_61.html
ファイアウォール機能も少し強化されたようです。
一般的なファイアウォール構成
4
インターネット
ファイアウォール
①
① 境界型セキュリティの限界
• 侵入防止型セキュリティ• 突破されたときの拡大防止は中でなんとか
する
② 物理ネットワークの限界
• vlan による部門毎のセグメント
• セグメント内でのアクセス制御では、スイッチのポート毎に設定が必要
②
セキュリティゾーン内で感染が拡大する
VDI 環境のファイアウォール• 現状のセキュリティ
– 部門ごとの vlan で部門間のセキュリティは担保– 部門内の仮想デスクトップ間通信は可能– ネットワークとは切り離せない仮想デスクトップ環境
• 現状の VDI セキュリティにおけるリスク– 部内でのウィルス拡散– 悪意を持った内部犯行者は他のデスクトップへのアクセスが可能– ウィルスが発見された仮想デスクトップもネットワークへ継続接続
VMware VMware VMware
物理ネットワーク
経理部 仮想デスクトップ
営業部 仮想デスクトップ
設計部 仮想デスクトップ
社内システム
通常の通信
ウィルス等の拡大
ウィルス / マルウェア等
不正な通信
NSX によるマイクロセグメンテーション• 新しい VDI セキュリティ
– 仮想デスクトップごとにファイアウォールサービスを提供– ウィルススキャンと連動するセキュリティルール
• 新しいセキュリティの効果– VLAN に依存せず仮想デスクトップ間通信をファイアウォールでブロック– ウィルスが発見された仮想デスクトップには、隔離セキュリティルール
を自動適用• 例 : すべての通信を遮断
VMware VMware VMware
物理ネットワーク
社内システム
隔離ルールの自動適用
仮想デスクトップ単位の分散型ファイアウォール
7
ESXi
物理サーバ
仮想デスクトップ
仮想デスクトッ
プ
NSX vSwitchESXi
物理サーバ
仮想デスクトップ
仮想デスクトップ
セキュリティポリシー仮想デスクトップ
vCenter
NSX vSwitch
コンセプトは分かったけど実際どうなの?
NSX を初めて触って試してみました。
システム構成
vSphere ESXi 5.5 update 2
vSphere Distributed Switch
vSphere ESXi 5.5 update 2
vSphere Standard Switch
NSX Manager
Guest Introspection Service
Trend Micro Deep Security Service
vCenter Deep Security Manager
システム構築時の事件
NSX Manager から ESXi に VIB Module をプッシュインストールときにエラー発生
Guest Introspection Serviceデプロイ失敗
NSX のスペシャリストの力を借りて無理やり解決!!
他の用途で使いまわしている環境のため VIB の不整合が発生??※ 検証環境はできるだけクリーンな環境を用意した方が良さそう。。。
ファイアウォールのルール定義
ここでルールを定義
NSX のメニュー
おなじみの Web Client
ルール定義を見てみる
ソース ターゲット サービス 許可 or ブロック
ソースとターゲットを指定して、特定サービス( 例えば DHCP とか ) の通信を許可 or ブロック
ソースとターゲットは細かい単位で指定可能
データセンター、クラスタ、リソースプール、仮想マシン、 vNIC 、 IP セット、セキュリティグループなどなど
セキュリティタグで適用ルールを動的に変更
セキュリティポリシー“通常用ポリシー”
セキュリティグループ“健全デスクトップ層”
ルール Aルール B・・・
セキュリティポリシー“隔離用ポリシー”
セキュリティグループ“隔離ゾーン”
ルール Xルール Y・・・
仮想デスクトップに付けるタグによってグループメンバーが動的に変更される
グループごとに異なるポリシー、異なるルールを適用できる
タグを変えると仮想デスクトップに適用されるルールが自動的に変わる
セキュリティタグを作るタグは仮想マシンの目印のようなもの設定は名前だけ
セキュリティグループを作る
特定のタグを含むオブジェクトをメンバーとして構成する
セキュリティポリシーを作る
ポリシー内でファイアウォールのルールを定義
例:ポリシーが適用されたグループ → 任意のオブジェクト 「ブロック」
作ったポリシーはセキュリティグループに適用
アンチウイルス製品との連携
マルウェアを検出すると特定のタグを自動的に付与
19
最終的にこうなります
脆弱システムを修正するまで隔離
Softw
are-
Defi
ned
Dat
a Ce
nter
セキュリティ グループ = 隔離ゾーンメンバー = {Tag = ‘ANTI_VIRUS.VirusFound’, L2 Isolated Network}
セキュリティ グループ = 仮想Desktop 層
Service Composer
クラウドの運用管理
仮想ネットワーク
ポリシーの定義標準的なデスクトップ仮想マシン ポリシー アンチウイルス: スキャン
隔離仮想マシン ポリシー ファイアウォール: すべてブロック (セキュリティ ツールを除く) アンチウイルス: スキャンと修正
雑感
• 設定は簡単だが設計が難しい!!• ソース / ターゲットをどう設定するか?• セキュリティタグはどう分類するか?• VDI 環境は登場人物が多いので難しい。
(Connection Server/vCenter/AD などなど )
• 誰が設計 / 設定するの?という話になりそう• ネットワークエンジニア?• サーバエンジニア?• 役割分担どうする?
• でも使いこなせれば便利そう
ありがとうございました