及最佳路徑選擇
(
圖七
)
三、
VMware NSX
改造虛擬資
料中心網路安全模型
NSX
如何進一步改變網路安全的
管理流程?傳統上,網路管理者必須
對網路位址分配、應用程式內容及協
定、哪些埠可被允許、系統漏洞及弱
點⋯等等有深入的瞭解,甚至必須針
對硬體接口及設備位置等進行管理。
進而能為虛擬資料中心設計一連串的
防護措施,從防火牆到
IPS
入侵防護、
WAF
網頁保護等等,在上一個段落我
們已經知道,
NSX
可以大幅降低虛擬
資料中心的網路複雜度,本章節將說
NSX
將如何降低我們在網路安全
方面的負擔。
由最基本的網路分割來看,傳統
上,我們經由防火牆設備或路由器,
將網路層、應用程式層及資料庫層的
流量進行分割隔離。但在定義這些政
策前,我們需要花非常多時間,深入
的針對應用協定內容制定網安設備政
策,包含
IP
位址、協定、應用等大量
內容,但在實際佈署的時候,極易因
實體環境限制或設定複雜度、人為疏
失等因素,導致網路安全漏洞產生。
但在虛擬網路環境中,透過分布式原
則,我們很容易將不同主機中同類型
的服務歸納在同一個虛擬交換器上,
透過虛擬交換器我們很容易將網路分
割隔離的需求實現,同時減少實體網
路配置上的障礙點或瓶頸點,以及安
全性配置的人為疏失。管理者只需利
用管理程式定義,用戶該如何連接應
用程式,應用程式又該如何抓取資料
內容,以及該過程中必須具備的安全
性原則即可,而這些設定皆以虛擬機
為基準,可跟隨虛擬機的遷移而移動,
極大的減低配置的複雜度及人為疏失
的可能性。
而在安全性功能上,傳統的防火
牆是任何環境中眾所周知的效能瓶頸
點,
NSX
本身即具備基本防火牆功
能,可以在上面自訂存取原則,同時
分散式防火牆能夠協助我們將安全性
原則統一且一致性的佈署在虛擬化環
境中。
VMware
利用
vSphere
在分散
式核心中處理
ACL
的機制,以及以
OpenFlow
技術為基礎的狀態式存
取原則 (
Stateful ACLs
) ,
圖八可
看出虛擬防火牆在每個分佈式虛擬路
由器上分散並行處理,解決防火牆效
能瓶頸的難題。
四、
VMware NSX
提供更多的
整合性功能
NSX
也支援整合
VMware
第三
方合作夥伴提供的安全性功能。使用單
一的應用程式介面(
API
) ,
將安全平
台和虛擬網路平台連結,一旦佈署就
緒,
NSX
Service Composer
工具
就可以用來集中部署合作廠商的進階防
火牆、惡意軟體防護、漏洞管理、
DLP
IDS/IPS
平台。
NSX
亦可與許多其他網路或資
安關鍵技術整合,比如防火牆和威脅
036
2015
技術論壇
雲端運算與資料中心
資料儲存與備份
BYOD
與資訊安全
網路技術與應用