Si observa la configuración de cualquier firewall, lo más probable es que veamos una hoja con un montón de direcciones IP, puertos, protocolos y subredes. Así es como se implementan clásicamente las políticas de seguridad de la red para el acceso de los usuarios a los recursos. Al principio intentan mantener el orden en la configuración, pero luego los empleados comienzan a pasar de un departamento a otro, los servidores se multiplican y cambian de roles, aparece acceso para diferentes proyectos a lugares donde normalmente no están permitidos y surgen cientos de caminos de cabras desconocidos. .
Junto a algunas reglas, si tienes suerte, hay comentarios "Vasya me pidió que hiciera esto" o "Este es un pasaje a la DMZ". El administrador de la red cierra y todo queda completamente confuso. Entonces alguien decidió borrar la configuración de Vasya y SAP falló, porque Vasya una vez pidió este acceso para ejecutar el SAP de combate.
Hoy hablaré sobre la solución VMware NSX, que ayuda a aplicar con precisión políticas de seguridad y comunicación de red sin confusión en las configuraciones del firewall. Le mostraré qué nuevas funciones han aparecido en comparación con lo que tenía VMware anteriormente en esta parte.
VMWare NSX es una plataforma de virtualización y seguridad para servicios de red. NSX resuelve problemas de enrutamiento, conmutación, equilibrio de carga, firewall y puede hacer muchas otras cosas interesantes.
NSX es el sucesor del producto vCloud Networking and Security (vCNS) de VMware y del adquirido Nicira NVP.
De vCNS a NSX
Anteriormente, un cliente tenía una máquina virtual vCNS vShield Edge separada en una nube construida sobre VMware vCloud. Actuó como una puerta de enlace fronteriza, donde era posible configurar muchas funciones de red: NAT, DHCP, Firewall, VPN, balanceador de carga, etc. vShield Edge limitó la interacción de la máquina virtual con el mundo exterior de acuerdo con las reglas especificadas en el Cortafuegos y NAT. Dentro de la red, las máquinas virtuales se comunicaban entre sí libremente dentro de subredes. Si realmente desea dividir y conquistar el tráfico, puede crear una red separada para partes individuales de las aplicaciones (diferentes máquinas virtuales) y establecer las reglas apropiadas para su interacción de red en el firewall. Pero esto es largo, difícil y poco interesante, especialmente cuando tienes varias docenas de máquinas virtuales.
En NSX, VMware implementó el concepto de microsegmentación mediante un firewall distribuido integrado en el kernel del hipervisor. Especifica políticas de seguridad e interacción de red no solo para direcciones IP y MAC, sino también para otros objetos: máquinas virtuales, aplicaciones. Si NSX se implementa dentro de una organización, estos objetos pueden ser un usuario o un grupo de usuarios de Active Directory. Cada uno de estos objetos se convierte en un microsegmento en su propio bucle de seguridad, en la subred requerida, con su propia y acogedora DMZ :).
Anteriormente, solo había un perímetro de seguridad para todo el conjunto de recursos, protegido por un conmutador perimetral, pero con NSX puede proteger una máquina virtual separada de interacciones innecesarias, incluso dentro de la misma red.
Las políticas de seguridad y redes se adaptan si una entidad se traslada a una red diferente. Por ejemplo, si trasladamos una máquina con una base de datos a otro segmento de red o incluso a otro centro de datos virtual conectado, las reglas escritas para esta máquina virtual seguirán aplicándose independientemente de su nueva ubicación. El servidor de aplicaciones aún podrá comunicarse con la base de datos.
La propia puerta de enlace perimetral, vCNS vShield Edge, ha sido reemplazada por NSX Edge. Tiene todas las características elegantes del antiguo Edge, además de algunas funciones nuevas y útiles. Hablaremos más de ellos.
¿Qué hay de nuevo en el NSX Edge?
La funcionalidad de NSX Edge depende de NSX. Hay cinco: Estándar, Profesional, Avanzado, Empresarial y Sucursal remota. Todo lo nuevo e interesante se puede ver sólo a partir de Avanzado. Incluyendo una nueva interfaz que, hasta que vCloud cambie completamente a HTML5 (VMware promete el verano de 2019), se abre en una nueva pestaña.
Cortafuegos Puede seleccionar direcciones IP, redes, interfaces de puerta de enlace y máquinas virtuales como objetos a los que se aplicarán las reglas.
DHCP Además de configurar el rango de direcciones IP que se emitirán automáticamente a las máquinas virtuales en esta red, NSX Edge ahora tiene las siguientes funciones: Encuadernación и Relé.
En la pestaña encuadernaciones Puede vincular la dirección MAC de una máquina virtual a una dirección IP si necesita que la dirección IP no cambie. Lo principal es que esta dirección IP no está incluida en el grupo DHCP.
En la pestaña Relé La retransmisión de mensajes DHCP se configura para servidores DHCP que se encuentran fuera de su organización en vCloud Director, incluidos los servidores DHCP de la infraestructura física.
Enrutamiento. vShield Edge solo pudo configurar el enrutamiento estático. Aquí apareció el enrutamiento dinámico con soporte para los protocolos OSPF y BGP. La configuración ECMP (activo-activo) también está disponible, lo que significa conmutación por error activo-activo a enrutadores físicos.
Configurando OSPF
Configurando BGP
Otra novedad es configurar la transferencia de rutas entre diferentes protocolos,
Redistribución de rutas.
Equilibrador de carga L4/L7. X-Forwarded-For se introdujo para el encabezado HTTP. Todos lloraron sin él. Por ejemplo, tienes un sitio web que estás equilibrando. Sin reenviar este encabezado, todo funciona, pero en las estadísticas del servidor web no vio la IP de los visitantes, sino la IP del equilibrador. Ahora todo está bien.
Además, en la pestaña Reglas de aplicación ahora puede agregar scripts que controlarán directamente el equilibrio del tráfico.
VPN. Además de VPN IPSec, NSX Edge admite:
- VPN L2, que le permite ampliar redes entre sitios geográficamente dispersos. Una VPN de este tipo es necesaria, por ejemplo, para que, al trasladarse a otro sitio, la máquina virtual permanezca en la misma subred y conserve su dirección IP.
- SSL VPN Plus, que permite a los usuarios conectarse de forma remota a una red corporativa. A nivel de vSphere existía esa función, pero para vCloud Director es una innovación.
Certificados SSL. Los certificados ahora se pueden instalar en NSX Edge. De nuevo surge la pregunta de quién necesitaba un equilibrador sin certificado para https.
Agrupación de objetos. En esta pestaña, se especifican grupos de objetos para los cuales se aplicarán ciertas reglas de interacción de red, por ejemplo, reglas de firewall.
Estos objetos pueden ser direcciones IP y MAC.
También hay una lista de servicios (combinación de protocolo y puerto) y aplicaciones que se pueden utilizar al crear reglas de firewall. Sólo el administrador del portal vCD puede agregar nuevos servicios y aplicaciones.
Estadisticas Estadísticas de conexión: tráfico que pasa por la puerta de enlace, firewall y balanceador.
Estado y estadísticas de cada túnel VPN IPSEC y VPN L2.
Inicio sesión. En la pestaña Configuración de Edge, puede configurar el servidor para grabar registros. El registro funciona para DNAT/SNAT, DHCP, Firewall, enrutamiento, balanceador, IPsec VPN, SSL VPN Plus.
Los siguientes tipos de alertas están disponibles para cada objeto/servicio:
-Depurar
-Alerta
-Crítico
- Error
-Advertencia
- Aviso
— Información
Dimensiones del borde NSX
Dependiendo de las tareas a resolver y del volumen de VMware Cree NSX Edge en los siguientes tamaños:
Borde NSX
(Compacto)
Borde NSX
(Grande)
Borde NSX
(Cuádruple grande)
Borde NSX
(XL)
CPU virtual
1
2
4
6
Salud Cerebral
512MB
1GB
1GB
8GB
Disco
512MB
512MB
512MB
4.5GB + 4GB
Cita
Una cosa
aplicación, prueba
centro de datos
Pequeño
o promedio
centro de datos
Cargado
cortafuegos
Equilibrio
cargas en el nivel L7
A continuación, en la tabla se muestran las métricas operativas de los servicios de red según el tamaño de NSX Edge.
Borde NSX
(Compacto)
Borde NSX
(Grande)
Borde NSX
(Cuádruple grande)
Borde NSX
(XL)
Interfaces
10
10
10
10
Subinterfaces (troncal)
200
200
200
200
Reglas NAT
2,048
4,096
4,096
8,192
Entradas ARP
Hasta sobrescribir
1,024
2,048
2,048
2,048
Reglas de firmware
2000
2000
2000
2000
Rendimiento del firmware
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
Grupos DHCP
20,000
20,000
20,000
20,000
Rutas ECMP
8
8
8
8
Rutas estáticas
2,048
2,048
2,048
2,048
Piscinas LB
64
64
64
1,024
Servidores virtuales LB
64
64
64
1,024
Servidor/grupo LB
32
32
32
32
Controles de salud de LB
320
320
320
3,072
Reglas de aplicación de LB
4,096
4,096
4,096
4,096
Centro de clientes L2VPN para hablar
5
5
5
5
Redes L2VPN por Cliente/Servidor
200
200
200
200
Túneles IPSec
512
1,600
4,096
6,000
Túneles SSLVPN
50
100
100
1,000
Redes privadas SSLVPN
16
16
16
16
Sesiones concurrentes
64,000
1,000,000
1,000,000
1,000,000
Sesiones/Segundo
8,000
50,000
50,000
50,000
Proxy L7 de rendimiento de LB)
2.2Gbps
2.2Gbps
3Gbps
Modo L4 de rendimiento LB)
6Gbps
6Gbps
6Gbps
Conexiones LB/s (Proxy L7)
46,000
50,000
50,000
Conexiones simultáneas LB (proxy L7)
8,000
60,000
60,000
Conexiones/s LB (modo L4)
50,000
50,000
50,000
Conexiones simultáneas LB (modo L4)
600,000
1,000,000
1,000,000
Rutas BGP
20,000
50,000
250,000
250,000
Vecinos BGP
10
20
100
100
Rutas BGP redistribuidas
No Limit
No Limit
No Limit
No Limit
Rutas OSPF
20,000
50,000
100,000
100,000
Entradas OSPF LSA Máximo 750 Tipo 1
20,000
50,000
100,000
100,000
Adyacencias OSPF
10
20
40
40
Rutas OSPF redistribuidas
2000
5000
20,000
20,000
Rutas totales
20,000
50,000
250,000
250,000
→
La tabla muestra que se recomienda organizar el equilibrio en NSX Edge para escenarios productivos solo a partir del tamaño grande.
Eso es todo lo que tengo por hoy. En las siguientes partes, explicaré en detalle cómo configurar cada servicio de red de NSX Edge.
Fuente: habr.com