最後更新:2022-04-21
Flow Network Security 提供與 Nutanix AHV 和 Prism Central 策略性且緊密整合的網絡安全,並為在 AHV 上運行的 VM 提供充分的視覺化、自動化和安全性。微分段是 Flow Network Security 的一個組件,可簡化策略管理。使用多個 Prism Central 類別(logical groups),您可以創建強大的分佈式防火牆,為管理員提供以應用程式為中心的策略管理工具,以保護 VM 流量。
類別允許您根據屬性靈活地對虛擬機進行分組,以定義安全策略。當您使用邏輯類別時,您不再需要基於網絡地址的策略定義或手動更新策略來處理網絡更改。您的安全策略可以自動應用於獨立於其網絡配置的 VM。借助 Flow Network Security,管理員可以視覺化虛擬機組之間的流量,以根據應用程式行為創建通俗易懂的策略,而不是使用 IP 地址和子網的語言定義允許的流量。
受眾
本技術說明是 Nutanix 解決方案庫的一部分。我們為負責 VM 網絡和安全的架構師和管理員編寫了它。本文檔的讀者應該已經熟悉 Nutanix AHV 和 Prism Central。
目的
在本文檔中,我們涵蓋以下主題:
- 流網絡安全
- 流網絡安全微分段
- 流網絡安全視覺化
- 創建和管理類別
- 創建和管理安全策略
- Active Directory 的基於身份的安全性
- 記錄和審計
表格。文檔版本歷史
| 版本號 | 發表 | 筆記 |
| 1.0 | 2018 年 4 月 | 原創出版。 |
| 1.1 | 2018 年 5 月 | 添加了服務鏈知識庫文章。 |
| 1.2 | 2020 年 6 月 | 替5.17 更新。 |
| 1.3 | 2022 年 4 月 | 針對 PNP 2.0 進行了更新。更新了 6.1 和命名的 Flow Network Security。 |
Flow Network Security 是一種以應用程式為中心的微分段解決方案,它基於有狀態的分佈式防火牆策略為您的 Nutanix 環境提供東西向流量保護。
Flow Network Security(前身為 Nutanix Flow)是三個主要相關產品領域的組成部分之一:
- Flow Virtual Networking:為真正的多租戶網絡提供自助服務網絡配置和重疊 IP 地址。
- 安全中心:為本地和雲環境提供安全規劃、威脅檢測和合規審計。
- Flow Network Security:提供基於類別和策略的微分段。
Flow Network Security 完全集成到 AHV 中,提供以應用程式為中心的策略,可實現完全的可見性和流量控制。此策略模型允許管理員實施有關流量來源和目的地或微分段的細粒度規則。這些相同的策略使視覺化應用程式虛擬機內部和之間流動的流量成為可能。這種細粒度的控制是針對現代數據中心威脅的縱深防禦策略的重要組成部分。
架構
Nutanix 管理平面 Prism Central 為 Flow Network Security 提供策略管理。Prism Central 和已註冊的 Nutanix 集群結合起來形成 Flow Network Security 的控制平面。數據平面是 Nutanix AHV 主機 Open vSwitch,它處理 VM 網絡流量。
圖 1 / 流網絡安全架構
啟用微分段和視覺化
Flow Network Security 默認禁用,但很容易啟用:在 Prism Central 中,點擊問號,選擇New in Prism Central,然後點擊Microsegmentation。在啟用 Flow Network Security 之前,請參閱Flow Microsegmentation Guide的安全策略部分。Nutanix 提供 60 天的免費試用期,無需任何許可證即可開始使用。
圖 2 / 啟用微分段
類別
類別可以將虛擬機等實體在邏輯上組合在一起。每個類別由兩部分組成:鍵和值。例如,Environment 鍵可能有多個值,例如 Production、Development、Staging 或 Test。分配給 VM 時,每個類別都包含一個基於文本的鍵值對。例如,您將 Environment: Production(Environment 的鍵和 Production 的值)分配給生產環境中的 VM。
圖 3 / : 分配給 VM 的類別
類別非常靈活,您可以創建新的鍵值對來根據應用程式需求對虛擬機進行分組。類別是安全策略的構建塊,因此請仔細考慮沿現有邏輯邊界劃分網絡流量所需的標籤。例如,生產可能與開發分離,或者代理應用程式可能需要從 Internet 進行特殊訪問。
Prism Central 內置了許多系統類別,在 Flow Network Security 中使用時具有特殊含義。使用這些系統類別來利用安全策略,從現有類別開始,並在需要時添加您自己的類別。以下部分描述了 Flow Network Security 構建策略所需的幾個重要系統類別。
AppType 系統類別
系統類別 AppType 定義了一組屬於同一應用程式的 VM。例如,您可以使用 AppType: Exchange 來定義屬於 Exchange 應用程式的所有實體。在 AppType 類別中創建新值以匹配在 AHV 環境中運行的應用程式,而不是創建新的頂級類別。
圖 4 / AppType 類別列表
創建應用程式安全策略時,Flow Network Security 使用 AppType 類別來管理進出應用程式的流量,因此請使用適當的 AppType 值定義您的應用程式。選擇AppType,然後選擇更新以添加您自己的自定義應用程式名稱。
圖 5 / AppType 自定義應用程式名稱
AppTier 系統類別
AppTier 類別定義了一組在應用程式中提供相同功能的實體。例如,AppTier: Exchange_Mbox 和 AppTier: Exchange_Edge 是 Exchange 應用程式中的兩層 VM,每層都提供不同的功能。
AppType 和 AppTier 的組合用於唯一標識一個應用程式。在前面的範例中,為 Exchange 郵箱 VM 分配了 AppType:Exchange 和 AppTier:Exchange_Mbox。
圖 6 / 應用層類別
如果 VM 是生產環境的一部分,它也可能分配有一個環境類別,如此處所示。
圖 7 / 生產 Exchange 郵箱 VM
在創建應用程式安全策略時,Flow Network Security 使用 AppTier 值來保護與應用程式層之間的通信。通過選擇AppTier為您的應用程式創建自定義層,然後從 Prism Central 的 Administration、Categories 選單中選擇Update 。
創建自定義類別
Nutanix 建議盡可能更新現有系統類別,並使用適合您需求的值來擴展這些類別。例如,通過添加您自己的應用程式和層作為值來擴展 AppType 和 AppTier 類別。AppType 和 AppTier 是您可以選擇作為安全策略目標的唯一類別。
圖 8 / 應用程式策略必須使用 AppType
您可以根據需要為入站和出站端點和隔離策略創建新的類別鍵,但 Nutanix 建議在保持所需結果的同時盡可能保持簡單。創建盡可能少的類別有助於確保管理員快速輕鬆地創建策略。
為分支機構創建 Exchange 策略提供了在類別數量和策略數量之間進行權衡的範例。考慮基於以下兩種方法所需的類別和策略:每個站點類型一個類別和每個站點一個類別。每個策略的結果是相同的,但第二個策略所需的努力更大。
圖 9 / 方法 1:每個站點類型一個類別
之前的策略創建了一個名為 SiteType: Branch 的類別,並將此類別應用於所有分支機構的所有 VM。這意味著連接到 Exchange 的安全策略只需要所有分支 VM 的一個條目。在下一個策略中,為站點:Branch-001 到站點:Branch-004 創建了一個類別,現在此策略中需要四個入站規則。
圖 10 / 方法 2:每個站點一個類別
使用第一種方法,只要所有分支機構與 HQ 應用程式具有相同的關係,就很容易創建安全策略。第二種方法為每個站點提供更多控制,但我們必須定義每個站點與總部之間的關係。如果我們有許多站點,為每個站點創建此定義可能會很耗時。
隔離系統類別
默認情況下,隔離類別將 VM 與所有其他網絡設備隔離開來。除了標準隔離類別(默認,它拒絕所有流量)之外,取證類別允許隔離的 VM 訪問和從策略定義的一組目標和源訪問,以幫助分析隔離的 VM。您無法修改 Quarantine: Default 和 Quarantine: Forensic 類別或手動將它們分配給 VM。當您為 VM 選擇隔離操作時,Flow Network Security 會使用這些隔離類別。
為 VM 分配類別
要將類別分配給 VM,請導航到Prism Central 選單,然後點擊Compute & Storage,然後點擊VMs。選擇所需的虛擬機,然後點擊“操作”下拉選單中的“管理類別”。
您可以為每個 VM 分配多個類別,因此可以分配多個類別類型,例如創建自定義類別部分中描述的 Site 和 SiteType。我們可以允許基於一個屬性(例如 Site:Branch-001)的分支機構之間的連接以及基於另一個屬性(例如 SiteType:Branch)從分支機構到 HQ 的連接。
圖 11 / VM 上的站點和站點類型類別
使用站點類別,您可以通過單個站點編號定義站點之間的複雜關係。為了更簡單地創建策略,您可以使用 SiteType 類別來定義所有站點和 HQ 之間的關係。這種靈活性展示了類別的力量,並表明考慮應用程式中的關係可以幫助您創建更有用的類別。
安全策略
Prism Central 中管理的安全策略使用類別來定義虛擬機之間允許或拒絕的網絡流量。不同的安全策略類型描述了類別之間以及應用程式之間的關係。Flow Network Security 提供以下策略類型:隔離( quarantine)、隔離( isolation )、應用程式和 VDI。
隔離( quarantine)政策有兩個可用層:嚴格和取證。嚴格隔離會阻止所有進出虛擬機的流量。取證隔離允許隔離虛擬機的特定預定義源和目標。使用嚴格隔離完全阻止到 VM 的所有入站和出站流量。使用取證隔離允許一組定義的管理員對 VM 進行故障排除和分析。
隔離( isolation )策略定義了不應允許相互通信的特定虛擬機類別。例如,您可以創建一個隔離策略來確保開發環境永遠無法與生產環境通信。
接下來,應用程式安全策略允許您定義多層應用程式並控制進出應用程式層以及在應用程式層內的流量。例如,您可以創建一個應用程式策略來定義 Exchange 應用程式內的郵箱和邊緣層。此外,您可以設置此策略以允許市場營銷和銷售等來源訪問郵箱層,同時 Exchange 層都允許訪問 AD 和 Windows 更新服務器。
最後,VDI 策略使用 Microsoft Active Directory 集成根據登錄用戶的 AD 組對 VM 進行分類。VDI 策略看起來就像一個應用程式策略,受保護的桌面位於中心,源和目標位於側面。每個 AD 組都成為策略的一個層。VDI 策略和應用程式策略之間的最大區別在於,當用戶屬於多個 AD 組時,與這些組匹配的 VDI 策略層將合併為一個聯合。相應的組合許可列表用於確定允許的流量。
Nutanix Flow Network Security 按下圖所示的順序評估安全策略以構建流量規則。如果流量遇到匹配規則,Flow Network Security 將應用該策略中的操作,並停止進一步的策略處理。如果沒有隔離( quarantine)或隔離( isolation )規則與流量匹配,則應用程式規則會評估它是否匹配。如果沒有應用程式規則與流量匹配,則會評估它是否與 VDI 策略匹配。如果流量源或目的地不匹配任何規則,Flow Network Security 將允許流量。
流量在離開 VM 和發送到 VM 時都匹配。使用源和目標 IP 地址以及協議和目標端口進行匹配。即使是同一 AHV 主機上相互發送流量的虛擬機也受到這些規則的保護。
取證隔離策略、應用程式策略和 VDI 策略都基於源或目標允許列表和目標組的組合進行匹配,目標組是安全策略的中心項。嚴格的隔離政策只包含一個沒有許可名單的目標組。隔離策略僅包含源和目標類別,並與流量的源 IP 地址和目標 IP 地址相匹配。
圖 12 / 政策評估令
結合政策
評估順序允許您組合多種策略和策略類型,為一組應用程式構建完整的安全解決方案。首先,使用隔離策略將特定 VM 與所有其他 VM 暫時隔離。接下來,使用隔離策略來定義絕不能允許哪些 VM 組與其他組通信。使用應用程式策略來控制允許進出應用程式和應用程式內的流量。
應用程式策略也可以允許兩個或多個應用程式之間的流量,但請記住確保每個應用程式的策略完全允許此流量。一個應用程式策略的出站連接可能是另一個策略的入站連接。在這種情況下,源策略的出站必須與目標策略的入站完全匹配,如以下範例所示。這些策略中端口之間的不匹配可能會導致未確定的視覺化行為。
圖 13 / 組合應用策略
最後,VDI 策略根據登錄用戶的 Active Directory 用戶組控制進出 VM 的流量。
策略模式
安全策略的兩種可選模式是強制和監控。監控模式下的策略允許流量,即使該策略沒有明確將該流量定義為允許流量。相反,強制模式只允許特別定義的流量。
監控模式是新創建策略的默認狀態。結合使用監控模式和流量視覺化來追蹤新創建策略的流量並確保它包含預期的流量。確認策略準確性後,您可以將策略從 Monitor 模式移至 Enforce 模式。在強制模式下使用流量視覺化來查看被阻止的流量。
除嚴格隔離外的所有策略都有監控模式。請特別注意策略評估順序,因為在監控模式下允許與策略匹配的流量,並且所有進一步的策略處理都會停止。例如,監控模式下的匹配隔離策略允許應用程式策略進一步向下處理順序可能會阻止的流量。
使用隔離( Quarantine )政策
您可以在 VM 操作選單中選擇將 VM 放入隔離( quarantine)類別。
圖 14 / 隔離 VM 操作
您可以將虛擬機置於嚴格或取證隔離區( Forensic quarantine )。
圖 15 / 隔離方法
選擇嚴格( Strict )以將 VM 置於默認隔離( quarantine )類別中,這會限制進出 VM 的所有流量。選擇取證( Forensic )將 VM 置於取證( forensic )類別中,該類別允許定義一組源和目標。
根據需要修改隔離( quarantine )策略以添加您自己的工具。在此範例中,允許安全團隊訪問特定端口上的取證隔離虛擬機( forensic quarantined VMs )。您可以將入站來源甚至出站目的地添加到取證( forensic )類別;但是,您不能將任何來源或目的地添加到默認的嚴格類別中。
圖 16 / 法醫檢疫政策定義
隔離流( Quarantine Flow )視覺化
使用隔離策略視圖視覺化進出隔離( quarantined ) VM 的流量。被隔離( quarantined )策略阻止的流量會顯示一個紅色的阻止符號。
圖 17 / 隔離流視覺化
使用隔離( Isolation )策略
隔離( Isolation )策略可防止兩個已定義的實體 (VM) 組相互通信。這種限制在組數有限的情況下很有用,其中一個組需要與另一個定義的組絕對隔離。隔離 (Isolation) 策略仍然允許未定義組的流量和組內的流量。要將流量限制到未定義的組並控制組內的流量,請使用應用程式政策而不是隔離( isolation )政策。
環境隔離( Environment isolation )是如何使用隔離策略的一個很好的範例,其中類別Environment: Production中的 VM 不應與Environment: Dev中的 VM 通信。
圖 18 / 將 Prod 與 Dev 隔離
通過導航到Networking and Security和Security Policies創建隔離( isolation )策略。點擊Create Security Policy,然後選擇Isolate Environments (Isolation Policy)。
圖 19 / 隔離政策選單
為隔離( isolation )策略命名並選擇應該相互分離的兩個類別。您可以使用任意兩個類別來創建隔離( isolation )策略。
圖 20 / 隔離策略創建
如果您有兩個以上需要分離的組(例如Production、Dev、Staging和Testing),請為每對唯一的組創建一個隔離( isolation)策略。對於大量的組,此隔離( isolation)策略列表可能會變得很長,因此您可能會發現在這種情況下應用程式策略比隔離( isolation)策略更有效。例如,要分隔四個組,您將需要以下六個策略。
圖 21 / 四類隔離政策
再添加一個需要隔離( isolation )的組,例如Environment: Backup,需要四個新的隔離( isolation )策略 — 一個用於將每個先前存在的組與新組隔離。
隔離流( Isolation Flow )視覺化
隔離( Isolation )策略顯示隔離組( isolated groups )之間的連接嘗試次數以及發現的端口。有關隔離類別(例如源或目標 VM)之間連接嘗試的詳細信息,請使用在 syslog 服務器上收集的 Flow Network Security 策略命中日誌。
在子集中隔離( Isolate )
除了兩個組之間的簡單隔離( isolation )之外,Flow Network Security 還提供隔離( isolation )策略選項,使其僅在匹配對中的一部分 VM 中起作用。例如,我們之前的隔離( isolation )策略將所有環境:生產與所有環境:開發分開。如果我們只想在 VM 還應用了類別Site: Branch-001時將生產與開發分開,我們將Site: Branch-001作為子集添加到隔離策略中。
圖 22 / 在子集中隔離
使用應用程式策略
應用程式策略是最靈活的安全策略類型,它為單層或多層應用程式定義入站流量源和出站目的地。應用程式策略還可以控制進出各個應用程式層以及在各個應用程式層內的流量。您必須使用充當目標組的單個 AppType 類別來配置您的應用程式策略,因為應用程式策略和 AppType 類別之間的映射是 1:1。例如,您可以僅在一個應用程式安全策略中使用 AppType: Exchange 類別作為 AppType。
當您需要允許源和目標之間的特定端口和協議上的流量時,請使用應用程式策略。應用程式策略還可以將一組 AppType VM 與所有其他 AppType VM 隔離( isolate),而無需使用隔離策略。這兩種策略類型之間的主要區別在於,應用程式策略允許在應用程式之間配置來源和目標,而隔離( isolation )策略則是強制執行嚴格的隔離,沒有例外。下圖在左側顯示允許的入站源,在右側顯示出站目標,中間是單層應用程式。中央應用程式在圖中標記為您的應用程式,但在某些情況下,Nutanix 也將其稱為目標組。
圖 23 / 應用程式策略源、應用程式和目標
要在 Prism Central 中創建應用程式策略,請選擇Network & Security、Security Policies,點擊Create Security Policy,然後選擇Secure Applications (App Policy)。
圖 24 / 創建應用程式策略
輸入策略名稱和有用的文本描述。應用程式下拉選單顯示可用 AppType 類別的列表。
注意:您只能使用 AppType 類別來創建應用程式策略。
圖 25 / 應用程式策略創建
應用程式策略定義頁面還控制此策略是否允許 IPv6 流量。Nutanix 建議在安全策略中阻止 IPv6 流量;否則,允許所有 IPv6 流量進出目標組,沒有任何限制。
您還可以為指定的策略啟用策略命中日誌創建。當您選擇此選項時,進出受保護應用程式的流量會話會生成系統日誌消息到配置的系統日誌服務器。
來源和目的地
使用 AppType 類別選擇應用程式後,選擇是允許還是將入站來源和出站目標列入安全列表。使用Allow All選項,所有源或目標都可以與應用程式通信。要控制允許哪些來源或目標,請使用Allowed List Only選項來允許顯式類別或 IP 子網並阻止任何未指定的流量。
圖 26 / 全部允許與僅允許列表
按類別或 IP 子網在應用程式策略的左側添加入站來源。從下拉選單中選擇類別,然後使用文本框搜索並選擇所需的類別。帶有此類別標記的所有 VM 都被添加為允許的來源。
圖 27 / 按類別添加來源
選擇Subnet/IP並以 CIDR 表示法(IP/掩碼長度)輸入 IPv4 網絡地址。例如,使用 24 的掩碼長度以允許整個 C 類子網,或使用 32 的掩碼長度以僅允許單個主機 IP 地址。當您添加的來源或目標位於 Nutanix 集群外部時,使用 IP 子網會很有幫助。
圖 28 / 按子網/IP 添加源
點擊添加以添加來源後,點擊加號以選擇流量的目的地,從而允許流量到應用程式中的特定層。
圖 29 / 將源連接到 AppType
將允許的協議和端口(例如 TCP、UDP 和 ICMP)添加到流中。
圖 30 / 允許流量規範
在應用程式策略中添加類別和 IP 子網作為目標的工作方式類似,但您在右側添加目標後選擇應用程式源層上的加號。
應用層
向需要對應用程式中的不同 VM 進行精細流量控制的應用程式添加層。在前面的範例中,我們將 Exchange AppType 類別與兩個 AppTier 類別組合在一起:Exchange_Mailbox 和 Exchange_Edge_Transport。要在應用程式策略中添加這些 AppTier 類別,請選擇在應用程式層上設置規則,而不是允許流量進出應用程式的各個層。
圖 31 / 添加應用程式層
現在,您可以在各個層級控制來源和目標。
圖 32 / AppTier 的來源
要控制應用程式層之間的流量,請點擊屏幕頂部的在應用程式內設置規則,然後選擇您要允許來自的流量的層。使用出現在其他層上的加號來定義允許的流量。
圖 33 / 在應用程式中設置規則
要控制單個應用層中虛擬機之間的流量,請選擇是否允許同一層中的流量。對於 Exchange,希望允許同一層中的服務器之間的流量,但管理員可能希望禁止同一前端 Web 應用程式層中的 Web VM 之間的流量以提高安全性。這個額外的規範在桌面虛擬機之間也非常有用,可以防止惡意軟體的傳播。
服務鏈插入
當存在鏈時,您可以通過服務鏈引導應用程式策略中的每個定義的流。服務鏈定義了一組用於高級流量處理的網絡功能 VM (NFV)。例如,服務鏈可以將特定端口上的網絡流量引導到虛擬機,以進行防病毒掃描、深度數據包檢查或數據包捕獲。您可以將多個 NFV 組合在一個鏈中,以將多個功能應用於訪客 VM 流量。
圖 34 / 網絡功能虛擬機鏈
Nutanix 與提供 NFV 的公司合作。這些合作夥伴應用程式的部署工作流程可以直接從 Calm 藍圖或其他編排工具自動創建服務鏈。有關手動實施服務鏈的幫助,請參閱KB 12833中的建議。
一旦您的合作夥伴或 Nutanix 專業服務創建了服務鏈,就可以立即在 Flow Network Security 中使用它。在 Prism Central 中,像往常一樣使用 Flow Network Security 創建允許的入站或出站規則,然後從下拉選單中選擇所需的服務鏈。
圖 35 / 通過服務鏈重定向
流網絡安全監控
應用策略基於 24 小時收集的流量統計數據提供流量視覺化,以監控阻塞和允許的流量。Nutanix AHV 主機收集流量信息並將其發送到 Prism Central,後者在策略內部構建流量視覺化視圖。流量顯示可能需要幾分鐘的時間來處理和呈現。Flow Network Security 監控和視覺化旨在簡化策略創建,不應用作流量審計工具。而是使用 syslog 作為審計目的的事實來源。
圖 36 / 在監控模式下檢測到的流量
當應用程式策略處於監控模式時,策略中不允許的應用程式流量顯示為黃色。將鼠標懸停在流量上會顯示有關端口和協議的詳細信息。點擊檢測到的流會顯示所有端口和協議的列表。編輯策略時,將鼠標懸停在流量入站來源或出站目標上可讓您將特定流添加到策略。這種靈活性可幫助您創建準確的策略,確保不會錯過任何流量,並查看正在發生的活動。
圖 37 / 接受檢測到的流量並添加到策略
當應用程式策略處於強制模式時,被拒絕的流量會顯示一個紅色的塊符號,表示該策略阻止的連接嘗試。
圖 38 / 在強制模式下阻止的流
如果您為策略啟用命中日誌,則這些流量的每個視覺化顯示都會生成一個發送到配置的系統日誌服務器的系統日誌條目。
應用程式策略過濾器
創建應用程式策略時,您還可以選擇應用此應用程式規則的特定類別子集。使用 AppType: Exchange 範例並選擇 Environment: Production 過濾器,應用程式策略僅適用於 AppType: Exchange VMs,它們也共享類別 Environment: Production。
為避免歧義,當 AppType 策略使用 Environment 過濾器時,所有來源和目標都必須明確定義一個 Environment 類別。
圖 39 / 子集中的應用程式策略
使用過濾器,您可以使用不同的安全策略保護不同環境中的應用程式。
使用 VDI 策略實現基於身份的安全
Flow Network Security 5.17 引入了基於身份的安全性,允許管理員根據登錄用戶的 Active Directory 組對 VM 進行分類。基於身份的安全保護 VDI 並添加了一個稱為 VDI 策略的新流網絡安全策略。您可以在 Nutanix Flow 網絡安全指南中找到有關使用和配置 VDI 策略的更多信息。
在任何使用基於 ID 的安全性的系統中只有一個 VDI 策略,並且在所有其他策略之後對其進行評估。VDI 策略類似於具有入站源、出站目標和多個層的應用程式策略。用戶組從 Active Directory 導入並映射到 Prism Central 中的 ADGroup 類別,例如 ADGroup: Marketing。每個映射的 ADGroup 都成為 VDI 策略中的一個層。當具有映射組的用戶登錄到與包含條件匹配且尚未分配 AppType 的 AHV VM 時,ADGroup 類別將應用於 VM。
圖 40 / VDI 政策
Flow Network Security 一起評估匹配 ADGroup 的層,並將生成的組合允許列表應用於 VM。例如,如果用戶屬於 ADGroup: Marketing 和 ADGroup: Engineering,則 Marketing 和 Engineering 的規則都適用於 VM。由於策略組合,登錄到屬於工程和營銷組的 VM 的用戶可以訪問此範例中的 Oracle 和 Files。
使用 VDI 策略的默認層內設置來阻止同一層中的 VM 之間的流量。此設置有助於防止惡意軟體從一個桌面傳播到另一個桌面。
使用 Syslog 進行日誌記錄和審計
Flow Network Security 提供兩種類型的日誌:審計日誌和策略命中日誌。審核日誌追蹤對安全策略配置和 VM 到類別映射的更改。使用審核日誌來確定策略何時更改或應用以及誰更改了它。
圖 41 / 查看策略更改的審核事件
策略命中日誌追蹤網絡流量以及特定策略是否允許或拒絕它們。使用策略命中日誌來確定網絡上是否存在特定流量以及安全策略如何影響流量。使用策略命中日誌作為追蹤安全虛擬機連接的權威工具。
審核日誌默認啟用,並捕獲在 Prism Central 中進行的與 Flow Network Security 相關的所有更改。為每個策略啟用策略命中日誌,默認情況下禁用。策略命中日誌可能會生成大量數據。要分析來自策略命中日誌的數據,請使用外部遠程 syslog 服務器或 SIEM 系統來收集這些事件。Prism Central 將審核日誌發送到遠程系統日誌服務器,您也可以在 Prism Central 中查看它們。策略命中日誌從每個 AHV 主機直接發送到 syslog 服務器,但生成的數據過多,無法在 Prism 內部使用,因此您必須在外部 SIEM 上進行策略命中日誌分析。
圖 42 / 外部日誌架構
確保遠程 syslog 服務器或 SIEM 期望來自 Prism Central 和每個單獨的 AHV 主機的流量。在 Prism Central 中配置遠程 syslog 服務器並選擇所需的端口和協議。
圖 43 / 配置外部日誌記錄目標
選擇所需的模塊,例如審計和安全策略命中日誌以收集審計和策略命中日誌,並將嚴重級別設置為6 信息。
圖 44 / 選擇要導出的記錄數據
API 審計和審計模塊分別捕獲通過 REST API 和 Prism 對策略所做的更改。安全策略命中日誌模塊對應一個策略命中日誌,不能修改嚴重性。API 審計模塊捕獲直接通過 Prism Central 中的 REST API 端點對策略或類別所做的任何更改。僅在 Nutanix 支持人員的指導下使用 Flow Network Security 服務日誌。
使用導出和導入備份策略
從 Prism Central 5.11 開始,使用導出文件備份安全策略以在以後恢復它們或將現有策略傳輸到新系統。
圖 45 / 政策進出口
導出捕獲所有安全策略以及用於構建它們的類別。導入會將所有現有安全策略替換為導入文件中的策略。任何缺失的類別也會在導入時創建。
特別注意事項
使用 Flow Network Security 構建安全系統時有幾個注意事項。您必須了解如何評估和應用安全策略才能了解如何處理 VM 流量。
將類別映射到 VM IP 地址
Flow Network Security 使用分配給 VM 的類別並了解與這些 VM 關聯的 IP 地址列表。每個 VM 可能有多個接口或共享虛擬 IP 地址的多個 IP 地址。管理程序虛擬交換機中的安全規則是根據這些學習到的 IP 地址列表創建的。阻止 Environment: Dev 到達 Environment: Prod 的安全策略評估源和目標 IP 地址列表以執行此操作。
當 AHV IP 地址管理 (IPAM) 將 VM IP 地址分配給託管網絡時,AHV 會在 VM 開啟之前立即知道 VM 的地址。當 VM 使用靜態 IP 地址或外部 DHCP 地址時,管理程序必須通過 DHCP 和 ARP 偵聽來學習地址。虛擬機管理程序獲知 VM 的新 IP 地址時可能會有短暫的延遲,在此期間,基於此新 IP 地址的安全策略尚未保護 VM。
Nutanix 建議在使用安全策略時使用 AHV IPAM,以確保嚴格的策略執行。
IPv6 地址
安全策略基於 IPv4 地址,不支持基於 IPv6 地址的規則。Nutanix 建議為所有已配置的安全策略配置阻止 IPv6,以便丟棄進出受保護 VM 的所有 IPv6 流量。如果您在安全策略中允許 IPv6,則所有可能的 IPv6 源和目標都可以在所有端口上進出此 VM。
第 2 層廣播流量
應用程式安全策略不會阻止進出受保護 VM 的 ARP 和其他第 2 層廣播流量,因為此流量對 VM 操作至關重要。隔離策略確實會阻止隔離類別之間的所有第 2 層廣播流量。
Flow Network Security 是 AHV 的軟體定義網絡解決方案,可提供視覺化、自動化和安全性,並使用 Prism Central 類別和安全策略來保護 VM。通過使用類別創建靈活的 VM 組,Flow Network Security 簡化了安全策略定義。借助安全策略,管理員可以保護或隔離應用程式或環境,並隔離受感染或惡意 VM。
通過以策略和應用程式為中心的流量監控,Flow Network Security 視覺化回答了虛擬系統中發送和接收哪些 VM 流量的重要問題。
輕鬆創建和分配類別和策略為自動化打開了大門。安全性不再與虛擬機或 IP 地址直接相關,管理員可以快速響應數據中心的變化。
由於 Flow Network Security 內置於 Prism Central 並在 AHV 中本地運行,因此無需安裝或管理其他組件。網絡安全現在只需點擊一下即可。
如需反饋或問題,請使用Nutanix NEXT 社區論壇聯繫我們。
參考
關於 Nutanix
Nutanix 是雲軟體領域的全球領導者,也是超融合基礎架構解決方案的先驅,它使雲不可見,讓客戶能夠專注於他們的業務成果。世界各地的組織都使用 Nutanix 軟體來利用單一平台來管理其混多雲環境中任何位置的任何應用程式。訪問www.nutanix.com了解更多信息,或在社交媒體@nutanix上關注我們。
