對(duì)于一個(gè)多層的應(yīng)用來說,應(yīng)用的前端更多的部署在公有云上,數(shù)據(jù)庫部署在私有云的環(huán)境中,云上和云下網(wǎng)絡(luò)的互通采用了 site to site VPN 技術(shù)或者 AWS 的 Direct Connect 以及 Azure 的 Express Route。在這種情況下,暴露了巨大的攻擊面,云上的安全威脅也會(huì)泛洪到云下的環(huán)境,所以需要在這種多云的環(huán)境下對(duì)云上和云下的工作負(fù)載進(jìn)行安全防護(hù)。
從上圖可以看出,云上的攻擊者向云下發(fā)起了攻擊。為了避免這種攻擊的發(fā)生,可以在云下對(duì)工作負(fù)載進(jìn)行安全策略的部署,同時(shí)在云上通過安全組實(shí)現(xiàn)云上的安全策略的部署。通過這種方式雖然可以進(jìn)行安全策略部署,但是運(yùn)維起來非常的復(fù)雜:第一,私有云、公有云的安全策略獨(dú)立規(guī)劃,獨(dú)立的部署,不同的管理界面,而且每朵云都有各自的管理方式,形成了架構(gòu)孤島;第二,在多云的應(yīng)用場(chǎng)景中,由于采用不同的云基礎(chǔ)設(shè)施,需要花費(fèi)大量的時(shí)間學(xué)習(xí)這些云基礎(chǔ)設(shè)施安全策略的特點(diǎn),非常高的學(xué)習(xí)成本,同時(shí)也增加了管理成本。這是目前安全運(yùn)維面臨兩大主要挑戰(zhàn)。
眾所周知,VMware NSX-T Data Center 提供了在私有云環(huán)境下的網(wǎng)絡(luò)和安全。它在幾年前就開始提供在私有云環(huán)境下微分段能力,實(shí)現(xiàn)了 L4-L7 的安全防護(hù)能力,安全策略可以應(yīng)用到虛擬機(jī)的虛擬網(wǎng)卡級(jí)別,并且在私有云環(huán)境下通過一個(gè)管理界面提供了網(wǎng)絡(luò)安全策略的部署,同時(shí)通過虛擬機(jī)名稱或虛擬機(jī)標(biāo)記等虛擬機(jī)屬性創(chuàng)建動(dòng)態(tài)的安全組,簡(jiǎn)化了安全策略的部署以及梳理工作,也不關(guān)心應(yīng)用是跑在虛擬機(jī)、容器還是物理機(jī)的環(huán)境。
然而在多云的時(shí)代,NSX-T Data Center 也擴(kuò)展到了原生的公有云,比如 AWS 和 Azure,在這種多云的環(huán)境中,我們稱為 NSX Cloud。NSX Cloud 提供了一種新的多云網(wǎng)絡(luò)安全的管理模式,為在原生公有云中運(yùn)行的工作負(fù)載跨多個(gè)公有云提供一致的網(wǎng)絡(luò)和安全策略。
與 NSX-T Data Center 一起,我們可以獲得應(yīng)用到所有工作負(fù)載的網(wǎng)絡(luò)服務(wù)和安全策略的統(tǒng)一視圖,無論是像今天私有云中運(yùn)行的虛擬機(jī),還是運(yùn)行在 AWS 和 Azure 上的工作負(fù)載。
接下來將為大家介紹一下 NSX Cloud 的特點(diǎn)及使用場(chǎng)景,后續(xù)也會(huì)給大家介紹 NSX Cloud 組件及實(shí)現(xiàn)方式。
第一,NSX Cloud 使用與 NSX-T Data Center 一樣的管理和控制平臺(tái)。
因此在多云的環(huán)境中,只需要部署一套安全解決方案就可以管理從私有云到公有云的安全策略,安全策略只需要定義一次,就可以應(yīng)用到任何位置的工作負(fù)載,包括云端、Region、AZ等。安全策略將根據(jù)應(yīng)用屬性和用戶定義的標(biāo)記以動(dòng)態(tài)方式應(yīng)用于每個(gè)工作負(fù)載。如下圖所示:
第二,在公有云上可以對(duì)現(xiàn)有的計(jì)算實(shí)例實(shí)施微段安全策略,提供 L4-L7 的狀態(tài)化分布式防火墻。
在云上有多個(gè) VPC 或 VNET 的情況下,只須在一個(gè) VPC 或 VNET 中部署冗余的 Public Cloud Gateway(簡(jiǎn)稱PCG)就可以實(shí)現(xiàn)整個(gè)云上的微分段安全策略,其它 VPC 或 VNET 可以共享 PCG,同時(shí)不改變?cè)粕系木W(wǎng)絡(luò)架構(gòu),支持代理模式和無代理模式,如下所示:
第三,提供端到端運(yùn)維的可見性。
可能通過 IPFIX、traceflow 和 syslog 獲取流和數(shù)據(jù)包的信息,同時(shí)提供了在多云環(huán)境下的網(wǎng)絡(luò)拓?fù)洌缦聢D所示:
我們可以通過 NSX Cloud 實(shí)現(xiàn)在多云環(huán)境下的安全策略的管理,那么它的架構(gòu)是什么樣的,具體在實(shí)際的生產(chǎn)環(huán)境中如何部署呢?
接下來,我們先來看一下 NSX Cloud 架構(gòu),如下圖所示:
Cloud Service Manager(CSM)
提供了私有云和公有云 VPC/VNET 以及實(shí)例的視圖以及安全策略的統(tǒng)一視圖,同時(shí)通過 CSM 在 VPC或 VNET 中部署 PCG設(shè)備(是一個(gè)虛擬機(jī)),提供 PCG 生命周期的管理,CSM 屬于控制平面的組件。
NSX Manager
提供了私有云和公有云網(wǎng)絡(luò)和安全策略部署的統(tǒng)一視圖,所有的策略配置都在 NSX Manager 中提供,并下發(fā)的實(shí)例運(yùn)行的地方。
Public Cloud Gateway(PCG)
它是公有云中的 NSX 本地控制平面,它是由 CSM 部署,它在 VPC/VNET 中執(zhí)行資源清單的發(fā)現(xiàn),也包括云中的標(biāo)記的發(fā)現(xiàn),以 active-standby 方式部署在云端。
NSX Tools
屬于數(shù)據(jù)平面的組件,通過它執(zhí)行分布式防火墻的策略,相當(dāng)于實(shí)例中的代理,PCG 做為控制平面,將 NSX Manager 中配置的安全策略下發(fā)的 NSX Tools 執(zhí)行安全策略。另外,也支持無代理的方式,即不需要在計(jì)算實(shí)例中安裝任何代理,PCG 通過 API 調(diào)用原生公有云安全組實(shí)現(xiàn)安全策略。
接下來讓我們?cè)賮砜匆幌?NSX Cloud 在生產(chǎn)環(huán)境的網(wǎng)絡(luò)拓?fù)湟约白罴褜?shí)踐。如下圖所示:
要通過 NSX Cloud 交付云上云下一致的網(wǎng)絡(luò)安全策略,需要提前做一些準(zhǔn)備工作。
- 客戶數(shù)據(jù)中心與 AWS/Azure 通過 site to site VPN 或DirectConnect/ExpressRoute 實(shí)現(xiàn)云上和云下的互通,以路由方式互通即可。
- 部署 PCG 的 VPC/VNET(稱為 Transit VPC/Transit VNET)創(chuàng)建三個(gè) subnets,分別用于 PCG 的管理、上聯(lián)和下聯(lián)網(wǎng)絡(luò),并且要求PCG 的管理 subnet 能夠訪問 internet,可以通過代理或 NAT 網(wǎng)關(guān)實(shí)現(xiàn)。
- 云上的 VPC/VNET 之間需要 Peering,或者使用 TGW/VGW 實(shí)現(xiàn)hub-spoken 的架構(gòu)。
- 通過 VMware 提供的腳本創(chuàng)建 AWS/Azure 的帳號(hào)權(quán)限。
以上四個(gè)條件具備了之后,這時(shí)我們就可以部署 NSX Cloud 了。
部署步驟如下:
1、如果已經(jīng)在數(shù)據(jù)中心部署了 NSX-T Data Center,并實(shí)現(xiàn)了在數(shù)據(jù)中心內(nèi)部的微分段,這時(shí)我們就直接在數(shù)據(jù)中心內(nèi)部部署 CSM。部署 CSM使用的 OVA 與 NSX-T Manager Appliance 是一樣的,在部署過程中選擇部署 CSM 即可。如果沒有部署 NSX-T Data Center,先部署 NSX-T Data Center,完成部署 CSM 后,在 CSM 的頁面中加入 NSX-T Data Center 的帳號(hào),然后在加入 AWS 和 Azure 的帳號(hào)同步云上的資源清單,如下圖所示 :
點(diǎn)擊 instances 或 VPC/VNET,可以查看到云上的詳細(xì)信息。
2、在 AWS/Azure 的 Transit VPC/VNET 中部署 PCG,部署 PCG 的時(shí)候,選擇 PCG 所使用的 subnet。
PCG 部署成功后,如下圖所示:
3、如果采用代理方式,需要在實(shí)例中安裝 NSX tools,如下圖所示:
4、在實(shí)例中安裝 NSX tools 后,這個(gè)實(shí)例成為了 NSX managed 的實(shí)例,這時(shí)我們就可以在 NSX 的界面中發(fā)現(xiàn)這個(gè)實(shí)例以及實(shí)例上的標(biāo)記,在 NSX 可以針對(duì)標(biāo)記創(chuàng)建動(dòng)態(tài)安全組來實(shí)現(xiàn)微分段的策略。
5、如果其它 VPC/VNET 中的實(shí)例也需要一致的安全策略,這時(shí)需要將其它的計(jì)算 VPC/VNET 鏈接到 Transit VPC/VNET 來共享 PCG,然后在計(jì)算 VPC/VNET 中的實(shí)例中安裝 NSX tools。如下圖所示:
總結(jié)
在應(yīng)用遷移到了公有云的進(jìn)程中,如果客戶數(shù)據(jù)中心已經(jīng)使用了 NSX 的微分段來實(shí)施安全策略,那么我們就可以通過 NSX Cloud 將私有云、原生公有云上的工作負(fù)載統(tǒng)一實(shí)施安全策略,不需要對(duì)私有云以及公有云的網(wǎng)絡(luò)架構(gòu)進(jìn)行修改,就可以實(shí)現(xiàn)私有云和公有云一致的安全策略交付,簡(jiǎn)化了安全的運(yùn)維工作,同時(shí)提供了安全的可視性。
