Herhangi bir güvenlik duvarının yapılandırmasına bakarsanız, büyük olasılıkla bir grup IP adresi, bağlantı noktası, protokol ve alt ağ içeren bir sayfa göreceğiz. Kaynaklara kullanıcı erişimine yönelik ağ güvenliği politikaları klasik olarak bu şekilde uygulanır. İlk başta yapılandırmada düzeni korumaya çalışırlar, ancak daha sonra çalışanlar departmandan departmana geçmeye başlar, sunucular çoğalır ve rolleri değişir, genellikle izin verilmeyen yerlerde farklı projelere erişim ortaya çıkar ve yüzlerce bilinmeyen keçi yolu ortaya çıkar.
Bazı kuralların yanında, eğer şanslıysanız, “Vasya benden bunu yapmamı istedi” veya “Bu, DMZ'ye geçiştir” yorumları var. Ağ yöneticisi istifa ediyor ve her şey tamamen belirsizleşiyor. Sonra birisi Vasya'nın yapılandırmasını temizlemeye karar verdi ve SAP çöktü çünkü Vasya bir zamanlar savaş SAP'sini çalıştırmak için bu erişimi istedi.
Bugün güvenlik duvarı yapılandırmalarında karışıklık olmadan ağ iletişimi ve güvenlik politikalarının hassas bir şekilde uygulanmasına yardımcı olan VMware NSX çözümünden bahsedeceğim. Bu bölümde VMware'in daha önce sahip olduklarına kıyasla hangi yeni özelliklerin ortaya çıktığını size göstereceğim.
VMWare NSX, ağ hizmetlerine yönelik bir sanallaştırma ve güvenlik platformudur. NSX, yönlendirme, anahtarlama, yük dengeleme, güvenlik duvarı sorunlarını çözer ve daha birçok ilginç şey yapabilir.
NSX, VMware'in kendi vCloud Networking and Security (vCNS) ürününün ve satın alınan Nicira NVP'nin devamı niteliğindedir.
vCNS'den NSX'e
Daha önce bir istemcinin, VMware vCloud üzerinde oluşturulmuş bir bulutta ayrı bir vCNS vShield Edge sanal makinesi vardı. Birçok ağ işlevini yapılandırmanın mümkün olduğu bir sınır ağ geçidi görevi gördü: NAT, DHCP, Güvenlik Duvarı, VPN, yük dengeleyici vb. vShield Edge, sanal makinenin dış dünyayla etkileşimini, belirtilen kurallara göre sınırladı. Güvenlik duvarı ve NAT. Ağ içerisinde sanal makineler alt ağlar içerisinde birbirleriyle serbestçe iletişim kuruyordu. Trafiği gerçekten bölüp fethetmek istiyorsanız, uygulamaların ayrı bölümleri (farklı sanal makineler) için ayrı bir ağ oluşturabilir ve güvenlik duvarında bunların ağ etkileşimi için uygun kuralları ayarlayabilirsiniz. Ancak bu, özellikle birkaç düzine sanal makineniz olduğunda, uzun, zor ve ilgi çekici değildir.
NSX'te VMware, hipervizör çekirdeğinde yerleşik dağıtılmış bir güvenlik duvarı kullanarak mikro bölümleme konseptini uyguladı. Yalnızca IP ve MAC adresleri için değil aynı zamanda sanal makineler, uygulamalar gibi diğer nesneler için de güvenlik ve ağ etkileşimi politikalarını belirtir. NSX bir kuruluş içinde konuşlandırılmışsa, bu nesneler Active Directory'deki bir kullanıcı veya kullanıcı grubu olabilir. Bu tür nesnelerin her biri, kendi güvenlik döngüsünde, gerekli alt ağda, kendi rahat DMZ'sine sahip bir mikro segmente dönüşür :).
Önceden, tüm kaynak havuzu için bir uç anahtarla korunan tek bir güvenlik çevresi vardı, ancak NSX ile ayrı bir sanal makineyi aynı ağ içinde bile gereksiz etkileşimlerden koruyabilirsiniz.
Bir varlığın farklı bir ağa taşınması durumunda güvenlik ve ağ oluşturma politikaları uyarlanır. Örneğin, veri tabanına sahip bir makineyi başka bir ağ segmentine veya hatta bağlı başka bir sanal veri merkezine taşıdığımızda, bu sanal makine için yazılan kurallar, yeni konumu ne olursa olsun geçerli olmaya devam edecektir. Uygulama sunucusu yine de veritabanıyla iletişim kurabilecektir.
Edge ağ geçidinin kendisi olan vCNS vShield Edge'in yerini NSX Edge aldı. Eski Edge'in tüm centilmen özelliklerine ek olarak birkaç yeni kullanışlı özelliğe sahiptir. Onlar hakkında daha fazla konuşacağız.
NSX Edge'deki yenilikler neler?
NSX Edge işlevselliği şunlara bağlıdır: NSX. Bunlardan beşi var: Standart, Profesyonel, Gelişmiş, Kurumsal ve Uzak Şube. Yeni ve ilginç olan her şey yalnızca Gelişmiş'ten başlayarak görülebilir. vCloud tamamen HTML5'e geçene kadar (VMware 2019 yazını vaat ediyor) yeni bir sekmede açılan yeni bir arayüz dahil.
Firewall. Kuralların uygulanacağı nesneler olarak IP adreslerini, ağları, ağ geçidi arayüzlerini ve sanal makineleri seçebilirsiniz.
DHCP. NSX Edge artık bu ağdaki sanal makinelere otomatik olarak verilecek IP adresi aralığını yapılandırmanın yanı sıra aşağıdaki işlevlere de sahiptir: bağlayıcı и Röle.
Sekmesinde bağlamaları IP adresinin değişmemesini istiyorsanız sanal makinenin MAC adresini bir IP adresine bağlayabilirsiniz. Önemli olan bu IP adresinin DHCP Havuzuna dahil olmamasıdır.
Sekmesinde Röle DHCP mesajlarının aktarımı, fiziksel altyapının DHCP sunucuları da dahil olmak üzere, vCloud Director'da kuruluşunuzun dışında bulunan DHCP sunucularına yapılandırılır.
Yönlendirme. vShield Edge yalnızca statik yönlendirmeyi yapılandırabildi. OSPF ve BGP protokollerini destekleyen dinamik yönlendirme burada ortaya çıktı. ECMP (Aktif-aktif) ayarları da kullanıma sunuldu; bu, fiziksel yönlendiricilere aktif-aktif yük devretme anlamına geliyor.
OSPF'yi ayarlama
BGP'yi ayarlama
Bir diğer yenilik ise farklı protokoller arasında rota aktarımının ayarlanmasıdır.
rota yeniden dağıtımı.
L4/L7 Yük Dengeleyici. X-Forwarded-For, HTTP üstbilgisi için tanıtıldı. O olmadan herkes ağladı. Örneğin dengelediğiniz bir web siteniz var. Bu başlığı iletmeden her şey çalışır, ancak web sunucusu istatistiklerinde ziyaretçilerin IP'sini değil dengeleyicinin IP'sini gördünüz. Şimdi her şey yolunda.
Ayrıca Uygulama Kuralları sekmesinde artık trafik dengelemeyi doğrudan kontrol edecek komut dosyaları ekleyebilirsiniz.
VPN. IPSec VPN'e ek olarak NSX Edge şunları destekler:
- Ağları coğrafi olarak dağınık siteler arasında genişletmenize olanak tanıyan L2 VPN. Örneğin, başka bir siteye taşınırken sanal makinenin aynı alt ağda kalması ve IP adresini koruması için böyle bir VPN gereklidir.
- Kullanıcıların kurumsal bir ağa uzaktan bağlanmasını sağlayan SSL VPN Plus. VSphere seviyesinde böyle bir fonksiyon vardı ama vCloud Director için bu bir yenilik.
SSL sertifikaları. Sertifikalar artık NSX Edge'e kurulabilir. Bu yine https sertifikası olmayan bir dengeleyiciye kimin ihtiyaç duyduğu sorusuna geliyor.
Nesneleri Gruplandırma. Bu sekmede, güvenlik duvarı kuralları gibi belirli ağ etkileşimi kurallarının uygulanacağı nesne grupları belirtilir.
Bu nesneler IP ve MAC adresleri olabilir.
Ayrıca güvenlik duvarı kuralları oluştururken kullanılabilecek hizmetlerin (protokol-port kombinasyonu) ve uygulamaların bir listesi de bulunmaktadır. Yalnızca vCD portalı yöneticisi yeni hizmetler ve uygulamalar ekleyebilir.
İstatistikler. Bağlantı istatistikleri: ağ geçidi, güvenlik duvarı ve dengeleyiciden geçen trafik.
Her IPSEC VPN ve L2 VPN tüneli için durum ve istatistikler.
Kerestecilik. Edge Ayarları sekmesinde, günlükleri kaydetmek için sunucuyu ayarlayabilirsiniz. Günlük kaydı DNAT/SNAT, DHCP, Güvenlik Duvarı, yönlendirme, dengeleyici, IPsec VPN, SSL VPN Plus için çalışır.
Her nesne/hizmet için aşağıdaki uyarı türleri mevcuttur:
—Hata ayıklama
-Uyarı
—Kritik
- Hata
-Uyarı
- Fark etme
— Bilgi
NSX Kenar Boyutları
Çözülen görevlere ve VMware'in hacmine bağlı olarak NSX Edge'i aşağıdaki boyutlarda oluşturun:
NSX Kenarı
(Kompakt)
NSX Kenarı
(Geniş)
NSX Kenarı
(Dörtlü Büyük)
NSX Kenarı
(X-Large)
vCPU
1
2
4
6
Bellek
512MB
1GB
1GB
8GB
Disk
512MB
512MB
512MB
4.5GB + 4GB
Randevu
Bir şey
uygulama, test
veri merkezi
Küçük
veya ortalama
veri merkezi
Yüklendi
güvenlik duvarı
dengeleme
L7 düzeyindeki yükler
Aşağıdaki tabloda NSX Edge'in boyutuna bağlı olarak ağ hizmetlerinin çalışma ölçümleri yer almaktadır.
NSX Kenarı
(Kompakt)
NSX Kenarı
(Geniş)
NSX Kenarı
(Dörtlü Büyük)
NSX Kenarı
(X-Large)
Arayüzler
10
10
10
10
Alt Arayüzler (Gövde)
200
200
200
200
NAT Kuralları
2,048
4,096
4,096
8,192
ARP Girişleri
Üzerine Yazılana Kadar
1,024
2,048
2,048
2,048
Yazılım Kuralları
2000
2000
2000
2000
Yazılım Performansı
3Gbps
9.7Gbps
9.7Gbps
9.7Gbps
DHCP Havuzları
20,000
20,000
20,000
20,000
ECMP Yolları
8
8
8
8
Statik Yollar
2,048
2,048
2,048
2,048
LB Havuzları
64
64
64
1,024
LB Sanal Sunucuları
64
64
64
1,024
LB Sunucusu/Havuzu
32
32
32
32
LB Sağlık Kontrolleri
320
320
320
3,072
LB Başvuru Kuralları
4,096
4,096
4,096
4,096
L2VPN Müşteri Merkezi Konuşulacak
5
5
5
5
İstemci/Sunucu başına L2VPN Ağları
200
200
200
200
IPSec Tünelleri
512
1,600
4,096
6,000
SSLVPN Tünelleri
50
100
100
1,000
SSLVPN Özel Ağlar
16
16
16
16
Birleşen oturumlar
64,000
1,000,000
1,000,000
1,000,000
Oturum/Saniye
8,000
50,000
50,000
50,000
LB Verim L7 Proxy'si)
2.2Gbps
2.2Gbps
3Gbps
LB Verimi L4 Modu)
6Gbps
6Gbps
6Gbps
LB Bağlantıları/Bağlantıları (L7 Proxy)
46,000
50,000
50,000
LB Eşzamanlı Bağlantılar (L7 Proxy)
8,000
60,000
60,000
LB Bağlantıları/Bağlantıları (L4 Modu)
50,000
50,000
50,000
LB Eşzamanlı Bağlantılar (L4 Modu)
600,000
1,000,000
1,000,000
BGP Rotaları
20,000
50,000
250,000
250,000
BGP Komşuları
10
20
100
100
BGP Rotaları Yeniden Dağıtıldı
Limitsiz
Limitsiz
Limitsiz
Limitsiz
OSPF Rotaları
20,000
50,000
100,000
100,000
OSPF LSA Girişleri Maksimum 750 Tip-1
20,000
50,000
100,000
100,000
OSPF Bitişiklikleri
10
20
40
40
OSPF Rotaları Yeniden Dağıtıldı
2000
5000
20,000
20,000
Toplam Rotalar
20,000
50,000
250,000
250,000
→
Tablo, yalnızca Büyük boyuttan başlayarak üretken senaryolar için NSX Edge'de dengelemenin organize edilmesinin önerildiğini göstermektedir.
Bugünlük elimde olan tek şey bu. Aşağıdaki bölümlerde her bir NSX Edge ağ hizmetinin nasıl yapılandırılacağını ayrıntılı olarak ele alacağım.
Kaynak: habr.com