了解适用于 VMware NSX-T 集成的瞻博网络 Connected Security
本节概述了瞻博网络 vSRX 虚拟服务网关如何作为高级安全服务集成到 VMware NSX-T 环境中,Junos Space Security Director 作为其安全管理器。
VMware NSX-T 概述
VMware NSX-T 是 VMware 面向软件定义的数据中心 (SDDC) 的网络虚拟化平台。与服务器虚拟化一样,网络虚拟化将网络功能与物理设备分离。VMware NSX-T 旨在解决具有异构端点和技术堆栈的应用程序框架和架构问题。VMware NSX-T 不与 vShpere 直接耦合,因此它支持各种虚拟机管理程序、容器、裸机和公共云,如 Amazon Web Service 和 Azure。借助 VMware NSX-T,您可以为关键数据和服务托管在私有云和 Web 服务中的组织或公有云中的高可用性应用程序中的组织设计混合云。
VMware NSX-T 是 VMware 网络虚拟化产品系列的最新一代产品。NSX-T 是 NSX-V 的后继版本。NSX-T 支持第三方虚拟机管理程序和新一代叠加封装协议,例如通用网络虚拟化封装 (Geneve)。NSX-T 充当网络虚拟机管理程序,允许对各种网络服务进行软件抽象,包括逻辑交换机(分段)、逻辑路由器(Tier-0 或 Tier-1 网关)、逻辑防火墙、逻辑负载平衡器和逻辑 VPN。
VMware NSX-T 在边缘网关上提供 L2-L4 状态防火墙功能、网络分段、多租户支持、L2/L3 VPN、负载平衡器、DHCP、源/目标 NAT 以及更多服务。VMware NSX-T 提供框架,用于在边缘网关上以南北向的形式集成高级安全服务。
在 NSX-T 环境中运行的每个虚拟机都可以使用非常精细级别的完整状态防火墙引擎进行保护。此类策略可以是特定于应用程序的,包括服务。vSRX 作为服务虚拟机运行,并提供高级服务,如 L4 到 L7 服务。
要在 VMware NSX-T 环境中部署 vSRX 虚拟服务网关的高级安全功能,Junos Space Security Director、vSRX 和 NSX-T Manager 作为一个解决方案一起运行,以完全自动化 vSRX 的调配和部署,以保护应用程序和数据免受高级网络攻击。
vSRX 与 NSX-T Manager 和 Junos Space Security Director 集成
要在 VMware NSX-T 环境中部署 vSRX 虚拟服务网关的高级安全功能,Junos Space Security Director、vSRX 和 NSX-T Manager 作为一个联合解决方案一起运行,以完全自动化 vSRX 的调配和部署,以保护应用程序和数据免受高级网络攻击。
在 VMware NSX-T 环境中集成 vSRX VM 涉及与以下管理软件配合使用:
Junos Space Security Director — 负责每个 vSRX 实例的服务注册和配置的集中式安全管理平台。Security Director 使您能够从单个位置管理由虚拟化防火墙和物理防火墙组成的分布式网络。Security Director 用作 NSX-T 管理器与 vSRX 服务网关之间的管理接口。Security Director 管理所有 vSRX 实例上的防火墙策略。
NSX-T Manager - VMware NSX 的集中式网络管理组件。
NSX-T Manager 将作为已注册设备添加到 Security Director 中,并且 Junos Space 策略实施器在两个管理平台之间进行双向同步通信。所有共享对象(例如安全组)都在 NSX-T 管理器和 Security Director 之间同步。这包括所有虚拟机(包括 vSRX 代理虚拟机)的 IP 地址。 Security Director 为从 NSX-T 管理器同步的每个安全组创建一个地址组,以及该安全组每个成员的地址。从 NSX-T 管理器发现的安全组将映射到 Security Director 中的动态地址组 (DAG)。策略实施器保留安全组和动态地址组之间所有 IP 地址的映射。
vSRX 服务网关作为合作伙伴服务设备部署在 VMware NSX-T 环境中。使用安全策略将所有虚拟机流量定向到 L4 到 L7 高级安全分析的 vSRX 虚拟机。
高级工作流程
图 1 提供了 NSX-T 管理器、Security Director 和 vSRX 如何交互以在 VMware NSX-T 环境中将 vSRX 部署为安全服务的高级工作流。
Junos Space Security Director 启动与 NSX-T 管理器的通信。Security Director 发现、注册 NSX-T 管理器并将其作为设备添加到其数据库中。Security Director 还会从 .ovf 文件部署 vSRX 实例,并将其注册为安全服务。然后,NSX-T Manager 及其共享对象(例如安全组)和地址清单将与 Security Director 同步。注册过程使用策略实施器在 Security Director 和 NSX-T 管理器之间启用双向通信。
NSX-T 管理器将注册的 vSRX 实例作为瞻博网络安全服务部署到 NSX Edge 群集。部署基于 vSRX .ovf 文件。
将 vSRX 代理虚拟机置备为安全服务后,NSX-T Manager 会使用 REST API 回调通知 Security Director。Security Director 将初始引导配置和 Junos OS 配置策略推送到每个 vSRX 代理虚拟机以支持 NSX-T 安全组。Security Director 可识别 NSX-T 安全组和相应的地址组,并自动发现所有已部署的 vSRX 代理虚拟机。
安全策略将源自特定安全组中的虚拟机的相关网络流量重定向到瞻博网络安全服务 vSRX 代理虚拟机,以便进行进一步分析。
Security Director 会将对象数据库动态同步到 NSX Edge 群集中部署的所有 vSRX 代理虚拟机。从 NSX-T 管理器发现的安全组将映射到 Security Director 中的动态地址组 (DAG)。Security Director 管理 vSRX 代理虚拟机上的防火墙策略。使用 Security Director,您可以创建高级安全服务策略(例如,应用程序防火墙策略或 IPS 策略),然后推送这些策略。
NSX-T 管理器会继续向 Security Director 发送有关虚拟环境中更改的实时更新。