Se guardi la configurazione di qualsiasi firewall, molto probabilmente vedremo un foglio con un gruppo di indirizzi IP, porte, protocolli e sottoreti. Questo è il modo classico in cui vengono implementate le politiche di sicurezza della rete per l'accesso degli utenti alle risorse. All'inizio cercano di mantenere l'ordine nella configurazione, ma poi i dipendenti iniziano a spostarsi da un dipartimento all'altro, i server si moltiplicano e cambiano i loro ruoli, appaiono accessi per diversi progetti dove di solito non sono consentiti ed emergono centinaia di percorsi di capra sconosciuti.
Accanto ad alcune regole, se sei fortunato, ci sono i commenti “Vasya mi ha chiesto di fare questo” o “Questo è un passaggio alla DMZ”. L'amministratore di rete se ne va e tutto diventa completamente poco chiaro. Poi qualcuno ha deciso di pulire la configurazione di Vasya e SAP si è bloccato, perché Vasya una volta ha chiesto questo accesso per eseguire il SAP di combattimento.
Oggi parlerò della soluzione VMware NSX, che aiuta ad applicare con precisione le policy di comunicazione e sicurezza di rete senza confusione nelle configurazioni del firewall. Ti mostrerò quali nuove funzionalità sono apparse rispetto a ciò che VMware aveva in precedenza in questa parte.
VMWare NSX è una piattaforma di virtualizzazione e sicurezza per i servizi di rete. NSX risolve problemi di routing, switching, bilanciamento del carico, firewall e può fare tante altre cose interessanti.
NSX è il successore del prodotto vCloud Networking and Security (vCNS) di VMware e dell'acquisita Nicira NVP.
Dal vCNS all'NSX
In precedenza, un cliente disponeva di una macchina virtuale vCNS vShield Edge separata in un cloud basato su VMware vCloud. Funzionava come un gateway di confine, dove era possibile configurare molte funzioni di rete: NAT, DHCP, Firewall, VPN, bilanciamento del carico, ecc. vShield Edge limitava l'interazione della macchina virtuale con il mondo esterno secondo le regole specificate nel Firewall e NAT. All'interno della rete, le macchine virtuali comunicavano tra loro liberamente all'interno delle sottoreti. Se vuoi davvero dividere e conquistare il traffico, puoi creare una rete separata per le singole parti delle applicazioni (diverse macchine virtuali) e impostare le regole appropriate per la loro interazione di rete nel firewall. Ma questo è lungo, difficile e poco interessante, soprattutto quando si hanno diverse dozzine di macchine virtuali.
In NSX, VMware ha implementato il concetto di microsegmentazione utilizzando un firewall distribuito integrato nel kernel dell'hypervisor. Specifica le politiche di sicurezza e di interazione di rete non solo per gli indirizzi IP e MAC, ma anche per altri oggetti: macchine virtuali, applicazioni. Se NSX viene distribuito all'interno di un'organizzazione, questi oggetti possono essere un utente o un gruppo di utenti di Active Directory. Ciascuno di questi oggetti si trasforma in un microsegmento nel proprio circuito di sicurezza, nella sottorete richiesta, con la propria accogliente DMZ :).
In precedenza, esisteva un solo perimetro di sicurezza per l'intero pool di risorse, protetto da uno switch edge, ma con NSX puoi proteggere una macchina virtuale separata da interazioni non necessarie, anche all'interno della stessa rete.
Le politiche di sicurezza e di rete si adattano se un'entità si sposta su una rete diversa. Ad esempio, se spostiamo una macchina con un database in un altro segmento di rete o anche in un altro data center virtuale connesso, le regole scritte per questa macchina virtuale continueranno ad applicarsi indipendentemente dalla sua nuova posizione. Il server delle applicazioni sarà comunque in grado di comunicare con il database.
Lo stesso gateway edge, vCNS vShield Edge, è stato sostituito da NSX Edge. Ha tutte le caratteristiche signorili del vecchio Edge, oltre ad alcune nuove funzionalità utili. Ne parleremo ulteriormente.
Cosa c'è di nuovo con NSX Edge?
La funzionalità di NSX Edge dipende da NSX. Ce ne sono cinque: Standard, Professional, Advanced, Enterprise e Plus Remote Branch Office. Tutto ciò che è nuovo e interessante può essere visto solo a partire da Avanzato. Inclusa una nuova interfaccia che, finché vCloud non passa completamente a HTML5 (VMware promette l'estate 2019), si apre in una nuova scheda.
Firewall. È possibile selezionare indirizzi IP, reti, interfacce gateway e macchine virtuali come oggetti a cui verranno applicate le regole.
DHCP. Oltre a configurare l'intervallo di indirizzi IP che verranno automaticamente assegnati alle macchine virtuali su questa rete, NSX Edge dispone ora delle seguenti funzioni: Rilegatura и staffetta.
Nella scheda Associazioni È possibile associare l'indirizzo MAC di una macchina virtuale a un indirizzo IP se è necessario che l'indirizzo IP non cambi. La cosa principale è che questo indirizzo IP non è incluso nel pool DHCP.
Nella scheda staffetta l'inoltro dei messaggi DHCP è configurato sui server DHCP che si trovano all'esterno dell'organizzazione in vCloud Director, inclusi i server DHCP dell'infrastruttura fisica.
Instradamento. vShield Edge può configurare solo il routing statico. Qui è apparso il routing dinamico con supporto per i protocolli OSPF e BGP. Sono diventate disponibili anche le impostazioni ECMP (attivo-attivo), il che significa failover attivo-attivo sui router fisici.
Configurazione dell'OSPF
Configurazione di BGP
Un'altra novità è l'impostazione del trasferimento di percorsi tra diversi protocolli,
ridistribuzione dei percorsi.
Bilanciatore del carico L4/L7. X-Forwarded-For è stato introdotto per l'intestazione HTTPs. Tutti piangevano senza di lui. Ad esempio, hai un sito web che stai bilanciando. Senza inoltrare questa intestazione tutto funziona, ma nelle statistiche del server web non vedevi l'IP dei visitatori, ma l'IP del bilanciatore. Ora è tutto a posto.
Inoltre nella scheda Regole dell'applicazione ora puoi aggiungere script che controlleranno direttamente il bilanciamento del traffico.
VPN. Oltre alla VPN IPSec, NSX Edge supporta:
- VPN L2, che consente di estendere le reti tra siti geograficamente dispersi. Una VPN di questo tipo è necessaria ad esempio affinché, quando ci si sposta su un altro sito, la macchina virtuale rimanga nella stessa sottorete e mantenga il suo indirizzo IP.
- SSL VPN Plus, che consente agli utenti di connettersi da remoto a una rete aziendale. A livello di vSphere esisteva una funzione del genere, ma per vCloud Director questa è un'innovazione.
Certificati SSL. Ora è possibile installare i certificati su NSX Edge. Ciò porta nuovamente alla domanda su chi avesse bisogno di un bilanciatore senza certificato per https.
Raggruppamento di oggetti. In questa scheda vengono specificati i gruppi di oggetti per i quali verranno applicate determinate regole di interazione di rete, ad esempio le regole del firewall.
Questi oggetti possono essere indirizzi IP e MAC.
È inoltre disponibile un elenco di servizi (combinazione protocollo-porta) e applicazioni che possono essere utilizzati durante la creazione delle regole del firewall. Solo l'amministratore del portale vCD può aggiungere nuovi servizi e applicazioni.
Statistiche. Statistiche di connessione: traffico che passa attraverso gateway, firewall e bilanciatore.
Stato e statistiche per ogni VPN IPSEC e tunnel VPN L2.
Registrazione. Nella scheda Impostazioni Edge è possibile impostare il server per la registrazione dei registri. La registrazione funziona per DNAT/SNAT, DHCP, Firewall, routing, bilanciatore, IPsec VPN, SSL VPN Plus.
Per ciascun oggetto/servizio sono disponibili le seguenti tipologie di alert:
—Debug
-Mettere in guardia
—Critico
- Errore
- Avvertimento
- Avviso
- Informazioni
Dimensioni del bordo NSX
A seconda delle attività da risolvere e del volume di VMware crea NSX Edge nelle seguenti dimensioni:
NSX Bordo
(Compatto)
NSX Bordo
(Grande)
NSX Bordo
(Quad-grande)
NSX Bordo
(X-grande)
CPU virtuale
1
2
4
6
Memorie
512MB
1GB
1GB
8GB
Disco
512MB
512MB
512MB
4.5GB + 4GB
appuntamento
Una cosa
applicazione, prova
Banca dati
piccolo
o nella media
Banca dati
Caricato
firewall
Bilanciamento
carichi al livello L7
Di seguito nella tabella sono riportate le metriche operative dei servizi di rete a seconda delle dimensioni di NSX Edge.
NSX Bordo
(Compatto)
NSX Bordo
(Grande)
NSX Bordo
(Quad-grande)
NSX Bordo
(X-grande)
interfacce
10
10
10
10
Interfacce secondarie (tronco)
200
200
200
200
Regole NAT
2,048
4,096
4,096
8,192
Voci ARP
Fino alla sovrascrittura
1,024
2,048
2,048
2,048
Regole FW
2000
2000
2000
2000
Prestazioni FW
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
Pool DHCP
20,000
20,000
20,000
20,000
Percorsi dell'ECMP
8
8
8
8
Percorsi statici
2,048
2,048
2,048
2,048
Piscine LB
64
64
64
1,024
Server virtuali LB
64
64
64
1,024
Server/pool LB
32
32
32
32
Controlli sanitari LB
320
320
320
3,072
Regole per l'applicazione LB
4,096
4,096
4,096
4,096
Hub client L2VPN per parlare
5
5
5
5
Reti L2VPN per client/server
200
200
200
200
Tunnel IPSec
512
1,600
4,096
6,000
Tunnel SSLVPN
50
100
100
1,000
Reti private SSLVPN
16
16
16
16
Sessioni simultanee
64,000
1,000,000
1,000,000
1,000,000
Sessioni/secondo
8,000
50,000
50,000
50,000
Proxy L7 di throughput LB)
2.2Gbps
2.2Gbps
3Gbps
Velocità effettiva LB (modalità L4)
6Gbps
6Gbps
6Gbps
Connessioni/e LB (proxy L7)
46,000
50,000
50,000
Connessioni simultanee LB (proxy L7)
8,000
60,000
60,000
Connessioni/s LB (modalità L4)
50,000
50,000
50,000
Connessioni simultanee LB (modalità L4)
600,000
1,000,000
1,000,000
Percorsi BGP
20,000
50,000
250,000
250,000
Vicini BGP
10
20
100
100
Percorsi BGP ridistribuiti
No Limit
No Limit
No Limit
No Limit
Percorsi OSPF
20,000
50,000
100,000
100,000
Voci LSA OSPF massimo 750 tipo-1
20,000
50,000
100,000
100,000
Adiacenze OSPF
10
20
40
40
Percorsi OSPF ridistribuiti
2000
5000
20,000
20,000
Percorsi totali
20,000
50,000
250,000
250,000
→
Dalla tabella si evince che è consigliabile organizzare il bilanciamento su NSX Edge per scenari produttivi solo a partire dalla dimensione Large.
Questo è tutto quello che ho per oggi. Nelle parti seguenti esaminerò in dettaglio come configurare ciascun servizio di rete NSX Edge.
Fonte: habr.com