در این مقاله قصد داریم امنیت با فایروال توزیع شده NSX را شرح دهیم. نمونهسازی(Instantiating) یک سرویسِ distributed firewall بر روی VDS چیزی بیش از فقط برچسب زدن یک سرویس یا محصول به عنوان فایروال توزیع شده است. NSX یک stateful firewall را ایجاد میکند که ویژگیهای متنی را با عملکرد نزدیک به نرخ خط ارائه میدهد. سادگی عملیاتی از طریق مجموعهای از الزامات برای استقرار موفقیتآمیز NSX برای micro-segmentation تطبیقی تضمین میشود. این یکی از دلایل اصلی استفاده از NSX برای حل انواع موارد استفاده امنیتی(security use cases) است. علاوه بر این، NSX میتواند سرویس مفیدی را برای کمک به مهاجرت مرکز داده به لایه underlay ِ جدید خود ارائه نماید. اجرای یک پلتفرم NSX یک SDDC ایجاد میکند و فقط به اتصال IP از لایه underlay نیاز دارد.
Running an NSX platform establishes a SDDC and requires only solid IP connectivity from the fabric underlay.
نحوه کار فایروال توزیع شده NSX
NSX به طور پیش فرض، distributed firewall را فعال میکند که در vNIC هر VM تحقق یافته و ترافیک ورودی/خروجی از VM همیشه از این فایروال توزیع شده عبور میکند که موجب مزایای کلیدی از جمله فایروال لایه 2 تا 4 و نیز کاهش قرار گرفتن در معرض مخاطرات امنیتی در ریشه ترافیک شرق به غرب میباشد که از بار کاری مجازی جدا شده است. لایه سرویس نرم افزاری ذاتی این فایروال توزیع شده در NSX، یک قابلیت ریزبخش بندی تطبیقی (adaptive micro-segmentation) را ارائه میدهد.
این distributed firewall میتواند مکمل یک فایروال متمرکز در حاشیه مرکز داده باشد و موجب حذف دستگاههای فیزیکی (or concrete) مورد استفاده به عنوان فایروال شرق به غرب، که به سرویس پیچیده برای استفاده عملیاتی نیاز دارند بشود.
همانطور که در شکل ذیل نشان داده شده است، اکنون انعطاف در طراحی و ایجاد یک پالیسی امنیتی پیچیده، فراهم است زیرا پالیسی به توپولوژی فیزیکی گره نمیخورد. پالیسی امنیتی را میتوان برای موارد زیر سفارشی نمود:
– برای درون سگمنت و بین سگمنتها (layer 2)
– برای دسترسیهای full یا partial
– برای مدیریت مجموعه قوانین N-S که مستقیماً در سطح بارکاری مجازی به کار میرود.
ضمن این که فایروال لبه(edge firewall) نیز میتواند به عنوان یک مرز امنیتی بین دامنهای استفاده شود.
NSX
Micro-Segmentation and Protection of Traffic
همانطور که در شکل بالا نشان داده شده است قابلیت خط مشی فایروال توزیع شده با micro-segmentation دارای مزایای زیادی است، مانند:
– ایجاد زونهای PCI در سگمنتهای مشترک
– پالیسیهای امنیتی متنی مانند Identity Firewall برای دسکتاپها در محیط VDI
– کاهش سربار عملیاتی مورد نیاز برای دوخت ترافیک(stitching traffic) از طریق فایروال های متمرکز با ruleهای مسیریابی مبتنی بر پالیسی
– فایروالهای مجازی به ازای هر ماشین مجازی یا کانتینر
– پالیسی امنیتی برای چندین سایت با مدیریت متمرکز
