基於vShield App的設計方法
爲了克服虛擬基礎架構給IT管理員所帶來的挑戰,下面將向大家介紹一種全新的,簡單且自適應的vShield App解決方案。這種新方法與傳統的方法大不相同,需要安全管理員與虛擬架構管理員緊密協作。安全管理員在創建規則時,不僅可以基於IP地址等網絡參數,還可以基於CPU/內存資源組或是虛擬基礎架構管理員創建的安全組。
在一個典型的數據中心,安全管理員需要劃分內部區域並分配相應的安全策略,虛擬基礎架構管理員則需要根據組織的需要來劃分資源池。在VMware的虛擬化環境中,資源池(RP)允許你對一臺獨立主機或是一個DRS集羣中的CPU和內存等資源加以控制。劃分資源有兩種主要方法:
1) 資源池(RP)法:這種方法使客戶能夠控制一臺主機或一組集羣中的資源,像虛擬機一樣,資源池對於CPU和內存也可以配置保留值,限額以及共享值。基於客戶的需要,資源池可以配置成多層次結構,根資源池可以爲不同組織(FIN,HR,Sales)的子資源池服務。
2) vApp模式:vApp是一個容器,像資源池一樣,它可以包含一個或多個虛擬機。它也具有一些虛擬機的功能,你可以對一個vApp加電或關機,也可以克隆一個vApp。這些功能特性可以幫助用戶部署和管理多層應用程序。管理每一層的操作策略和服務質量。
vShield App可以在VMware環境中基於邏輯組來創建規則,這些組基於數據中心,集羣,資源池或vApp等。還可以創建安全組加以補充。
下面通過一個例子來介紹安全規則:
禁止RP1到RP2的流量:這一規則用於禁止資源池RP1中的數據向資源池RP2傳遞。在定義這條規則時不需要提供IP地址,這樣就簡化了安全規則的管理。而且,這些規則可以被組中的虛擬機繼承。只要管理員將虛擬機放入了正確的組,安全策略就會發生作用,即使由於主機故障或資源不足導致虛擬機遷移到了其它的主機上,安全策略仍然有效。
下面的部分會介紹兩種基於vShield App的設計方法,一種方法使用資源池來分隔企業中的資源,第二種方法使用vApp來隔離資源。 同時也會討論在兩種不同的情況下應該如何設計安全規則。
下面這些設計組件對兩種方法都適用:
常用組件
下面是設計中的常用組件。不包括構建虛擬基礎架構所需的外部網絡和存儲基礎架構。這裏假定客戶環境中採用的是iSCSI或FC SAN,網絡中部署有交換機和路由器。
主機
由多臺服務器提供計算力,內存和網絡資源。示例配置,HP ProLiant DL380機架式服務,配置兩顆Intel至強CPU(每顆4核),96G內存,2塊10G網卡,安裝ESX/ESXi。硬件的配置決定其上可以運行的虛擬機數量及可以負擔的工作負責。
vShield App
vShield App是一個內部的,虛擬網卡級別的防火牆,利用它你可以基於網絡拓撲來創建訪問控制策略。vShield App監視所有進出ESX主機的流量,包括屬於同一端口組的虛擬機之間的流量。vShield App包括流量分析功能,也支持基於容器的策略。每臺主機需要部署一個vShield App虛擬設備。
集羣
一個集羣是一組提供資源的ESX/ESXi主機和與之相關的,分享這些資源的虛擬機。當你將一臺主機添加到DRS集羣時,主機的資源就成爲集羣資源的一部分。本設計中使用的是一個有六臺主機的集羣。
內部區域/租戶的數量
如前所述,安全管理員會根據風險的大小以及資源的重要性來創建內部區域和安全策略,內部安全區域可以基於不同的部門,如HR,Finance和Marketing,也可以基於應用的層級,如Web,App和DB等。區域的數量根據用戶需要而定。
在下面的設計方案中,可以爲三個部門(HR,Finance和Sales)創建三個內部安全區域,也可以爲不同的應用層(Web,App和DB)創建內部安全區域,我們將這三個安全區域命名爲internal zone 1,internal zone 2和internal zone 3。
安全規則
下面是安全管理員爲保護各區域而制定的安全規則:
· Internet → internal zone 1 : 只允許 TCP port 80流量通過
· Internal zone1 → internal zone 2 : 只允許TCP port 2222流量通過
· Internal zone1 → internal zone 3 : 所有流量禁止通過
· Internal zone2 → internal zone 3 : 只允許TCP port 3333流量通過