虚拟云网络专辑|VMware 网络安全新方案简述(五)
奇正资讯 > VMware资讯 更新时间:2022/10/13前面的推文内我们依次对 NSX 进阶威胁防御内的不同机制,包含更新的入侵侦测防御、恶意软件检测、网络流分析、以及整合的安全事件仪表板。本系列的最后一篇我们采用问答的方式与大家讨论在介绍相关技术时,常被问到的相关问题。
Q
要部署上述进阶威胁防御机制时,是不是都需要架设完成 NSX Application Platform?
在我们前面介绍的各种机制内,IDPS 功能是不需要有 NSX Application Platform 就能运作的。如同标准 NSX 安装,只要虚机部署在 NSX 管理的 Segment (VLAN or Overlay) 或甚至 VDS 的 Port Group 上,且具备需求的授权,都可以启用 IDPS 功能。
但是 Malware Prevention / Network Traffic Analysis (Suspicious Traffic) / NDR 等功能,都必须在 NAPP 平台已经部署完成的情况下才能够启用。因此如果大家需要使用这些方案,请务必先依据前一个系列内对于 NAPP 的相关介绍,进行相关的安装。
Q
部署上述进阶威胁防御机制前,是不是一定需要有对外 Internet 连线?
是的,如前面的讨论,IDPS 功能需要经常由 Internet 进行特征更新,Malware Prevention 功能需要由 Internet 取用档案 Hash 值信息,并将未知档案送往云端沙箱进行分析、NDR 功能也需要调用在云端上的事件相关信息。因此对外 Internet 连线是必要的。
多说一句,在目前 NSX-T 3.2 版本内,IDPS 功能往 Internet 的连线可以透过 Proxy,但其他机制透过 NAPP 往外连线时,目前尚未支援 Proxy 机制,部署前企业环境内需要允许 NAPP 平台往外的连线需求。
Q
企业需要购买哪些授权才能取得这些网络威胁防御相关功能?
本系列内介绍的网络威胁防御相关功能都必须透过订阅形式授权取得。NSX Security 订阅授权的方式可以简图表示如下:
NSX-DC Professional / Advanced / Enterprise Plus 版本的卖断 (Perpetual) 方式授权内都仅有防火墙功能(以及完整的网络功能),没有 IDPS 以上之网络威胁防御功能。
如果仅需要 NSX 安全功能的客户,可以直接以订阅方式购买 NSX Security 方案。NSX Security 方案内分成三层:Firewall 包含 L4~L7 之防火墙以及维运使用的 NSX Intelligence,Threat Prevention 包含了前面的功能加上 IDPS,Advanced Threat Prevention 包含了前面的功能再加上其他高阶功能包含 Malware Prevention / Suspicious Traffic / NDR 等。在 NSX Security 方案内,是没有包含网络功能的。
NSX Security 订阅机制有分成 Distributed (分散式)以及 Gateway(闸道)授权。分散式授权指的是运作于 vSphere 上,防护每台虚机的东西向功能;闸道授权指的则是运作于 NSX Gateway (底层为 Edge 虚机)上的南北向功能,企业可依据需求各自购买。两个授权间的功能差异,可以参考下列 KB:
已经有 NSX-DC Advanced / Enterprise Plus 版本的客户,若想要在现有 NSX 平台上启用进阶安全功能,可以透过 Add-On 的方式购买 Distributed Firewall with TP/ATP 的授权。Professional 版本的客户抱歉不行,必须要先升级到 Advanced 版本以上。此外如果客户想要在 Gateway 上也启用南北向的进阶功能,则需要独立购买 Gateway 这边的 TP/ATP 授权。
Q
这些网络威胁防御机制对于相关攻击,都能够立即阻挡吗?
前面各篇独立有提到,这里统合讨论:
IDPS 机制内,对于现有特征值可以认出的攻击,东西向 IDPS 机制可以直接阻挡,南北向闸道机制目前于 3.2 版内仅有警告。
Malware Prevention 机制内,在东西向 Guest Introspection 机制可以阻挡,南北向闸道机制仅有警告。此外,如果是未知档案要送到沙箱分析的,一开始不会阻挡。如果沙箱分析出来是恶意程序,则会发出警告。
Suspicious Traffic 机制内仅会发出警告。
Q
启用这些安全机制时,对于网络功能是否会有影响?
当然会的。用过海关来比喻,如果海关这边只是检查护照,行李用 X 光机扫一扫,一定很快。但如果行李要打开检查,人要脱鞋脱皮带搜身,肯定速度会慢得多。
我们无法和大家保证启用这些进阶威胁防御机制时能达到 line-rate。一般来说,每台 vSphere 可以有 2.5~3 Gbps 的进阶威胁防御频宽,以及网络封包会有数百个 micro-second 的延迟时间。这也是为何我们的 IDPS 机制内让资安管理者可以选择哪些虚机需要配置这些功能,而非像防火墙一样全面预设启用。这在架构规划上也是大家需要考量的。
Q
采用这些安全机制时,系统需求有多大?
相关系统需求整理如下:
进行分散式东西向防御,IDPS 加上防火墙在 vSphere 上面大家需要规划保留 5 个 CPU core,Memory 12G 即可。另外进行Malware Prevention 时,每台 vSphere 需要有一个 Service VM,这个 Service VM 需要 4x vCPU, 6 GB Memory, 以及 80 GB 的储存空间。
南北向防御是建立于 Edge VM 上。能运作进阶安全防护的 Edge VM 必须是 Extra Large Size,每台虚机需要 16x vCPU, 64 GB Memory, 以及 200 GB 的储存空间。
不要忘记需要有 NSX Application Platform。相关需求在前面的系列内有讨论,简而言之,请准备一组独立的 4-node 的 vSAN-Ready 服务器来安装 NAPP 平台。
说认真的,系统需求很高。但这里的完整网络防御机制包含了南北向、东西向、还有网络流收集与分析平台,即使是竞争友商的硬件方案大概也是至少半柜以上服务器与安全设备跑不掉。这里也是大家在导入完整方案前要先预作准备的。
Q
我们已经有端点防御的 EDR 方案了,为什么还需要部署网络的 NDR 方案?
这是常被问到的问题,我做个比喻:基本上安全的设计原本就需要【分层、分权限】。我们不会因为社区大门有保全了,走廊上就不设监控,家门口不锁,贵重物品不会放到保险箱。
在数据中心也是如此,NDR 方案与 EDR 并不是竞争关系,而是分层保护关系。我们不会想要把自己的保险箱放在大街上让每个人都摸一摸,号码转一转试一试。同样的,EDR 是系统面保护的最后一层,但要是相关的攻击在前端 NDR 大部分就能够被挡掉 / 侦测出来,此时核心业务的保障也能有多重保险。当然我们理解在企业预算有限的状况下可能会有先后部署的顺序或是方案排挤上的状况,但在一个完整的 Security Framework 内,网络端南北向、东西向防御与端点防御彼此间都是互为辅助的。
针对 NSX 内新的网络进阶威胁防御技术就介绍到此,若大家有兴趣,欢迎与 VMware 的经销商与业务进行联系,我们很乐意与大家做进一步的说明与展示。
本文转载自VMware公众号
关注奇正科技公众号