VMware NSX-T統合向けJuniper Connected Securityについて
このセクションでは、ジュニパーネットワークスのvSRX仮想サービスゲートウェイが、Junos Space Security Directorをセキュリティマネージャーとして、高度なセキュリティサービスとしてVMware NSX-T環境に統合する方法の概要を説明します。
VMware NSX-Tの概要
VMware NSX-Tは、SDDC(Software Definedデータセンター)向けのVMwareのネットワーク仮想化プラットフォームです。サーバーの仮想化と同様に、ネットワークの仮想化は、ネットワーク機能を物理デバイスから切り離します。VMware NSX-T は、異種混在のエンドポイントとテクノロジ スタックを持つアプリケーション フレームワークとアーキテクチャに対応するように設計されています。VMware NSX-TはvShpereと直接連携していないため、さまざまなハイパーバイザー、コンテナ、ベアメタル、およびAmazon Web ServiceやAzureなどのパブリッククラウドをサポートしています。VMware NSX-T を使用すると、重要なデータやサービスがプライベート クラウドや Web サービス、またはパブリック クラウドの高可用性アプリケーション内でホストされている組織向けのハイブリッドクラウドを設計できます。
VMware NSX-Tは、VMwareのネットワーク仮想化製品シリーズの最新世代です。NSX-T は NSX-V の後継製品です。NSX-T は、サードパーティ製のハイパーバイザーと、Generic Network Virtualization Encapsulation(Geneve)などの次世代オーバーレイ カプセル化プロトコルをサポートしています。NSX-T はネットワーク ハイパーバイザーとして機能し、論理スイッチ(セグメント)、論理ルーター(Tier-0 または Tier-1 ゲートウェイ)、論理ファイアウォール、論理ロード バランサ、論理 VPN など、さまざまなネットワーク サービスをソフトウェアで抽象化できます。
VMware NSX-T は、L2-L4 ステートフル ファイアウォール機能、ネットワーク セグメンテーション、マルチテナント サポート、L2/L3 VPN、ロード バランサ、DHCP、送信元 / 宛先 NAT など、さまざまなサービスを Edge Gateway で提供します。VMware NSX-T は、Edge Gateway で高度なセキュリティ サービスを North-South として統合するためのフレームワークを提供します。
NSX-T 環境で実行されている各仮想マシンは、非常に詳細なレベルのポリシーで、完全なステートフル ファイアウォール エンジンで保護できます。このようなポリシーは、サービスなど、アプリケーション固有のものにできます。vSRX はサービス仮想マシンとして動作し、L4 から L7 サービスなどの高度なサービスを提供します。
VMware NSX-T環境にvSRX仮想サービスゲートウェイの高度なセキュリティ機能を展開するために、Junos Space Security Director、vSRX、NSX-Tマネージャーが連携して動作し、vSRXのプロビジョニングと導入を完全に自動化し、アプリケーションとデータを高度なサイバー攻撃から保護します。
vSRXとNSX-T ManagerおよびJunos Space Security Directorとの統合
VMware NSX-T環境にvSRX仮想サービスゲートウェイの高度なセキュリティ機能を展開するために、Junos Space Security Director、vSRX、NSX-Tマネージャーが共同ソリューションとして連携して、vSRXのプロビジョニングと導入を完全に自動化し、アプリケーションとデータを高度なサイバー攻撃から保護します。
VMware NSX-T環境へのvSRX VMの統合には、以下の管理ソフトウェアの使用が含まれます。
Junos Space Security Director:各vSRXインスタンスのサービス登録と設定を担当する集中型セキュリティ管理プラットフォーム。Security Directorは、仮想化されたファイアウォールと物理ファイアウォールの分散ネットワークを単一の場所から管理する機能を提供します。Security Director は、NSX-T Manager と vSRX サービスゲートウェイ間の管理インターフェイスとして機能します。Security Directorは、すべてのvSRXインスタンスのファイアウォールポリシーを管理します。
NSX-T Manager - VMware NSX の一元化されたネットワーク管理コンポーネント。
NSX-T Manager が登録済みデバイスとして Security Director に追加され、2 つの管理プラットフォーム間の通信は Junos Space Policy Enforcer によって双方向に同期されます。すべての共有オブジェクト(セキュリティ グループなど)は、NSX-T Manager と Security Director の間で同期されます。これには、vSRX エージェント仮想マシンを含むすべての仮想マシンの IP アドレスが含まれます。 Security Director は、NSX-T Manager から同期された各セキュリティ グループのアドレス グループと、セキュリティ グループの各メンバーのアドレスを作成します。NSX-T Manager から検出されたセキュリティ グループは、Security Director の動的アドレス グループ (DAG) にマッピングされます。Policy Enforcer は、セキュリティ グループと動的アドレス グループ間のすべての IP アドレスのマッピングを保持します。
vSRXサービスゲートウェイは、VMware NSX-T環境にパートナーサービスアプライアンスとして導入されます。セキュリティ ポリシーを使用して、L4 から L7 のすべての VM トラフィックを vSRX VM に転送します 高度なセキュリティ分析。
ハイレベルなワークフロー
図1 は、NSX-T Manager、Security Director、vSRXが相互作用して、VMware NSX-T環境にvSRXをセキュリティサービスとして展開する方法のワークフローの概要を示しています。
Junos Space Security Director が NSX-T Manager との通信を開始します。Security Director は、NSX-T Manager を検出して登録し、データベース内のデバイスとして追加します。また、Security Directorは. ovf ファイルからvSRXインスタンスを展開し、セキュリティサービスとして登録します。その後、NSX-T Manager とその共有オブジェクト(セキュリティ グループなど)およびアドレスのインベントリが Security Director と同期されます。登録プロセスでは、Policy Enforcer を使用して、Security Director と NSX-T Manager 間の双方向通信を有効にします。
NSX-T Manager は、登録済みの vSRX インスタンスを Juniper セキュリティ サービスとして NSX Edge クラスタに展開します。導入は、vSRXの .ovf ファイルに基づきます。
vSRX エージェント仮想マシンがセキュリティ サービスとしてプロビジョニングされると、NSX-T Manager は REST API コールバックを使用して Security Director に通知します。Security Director は、NSX-T セキュリティ グループをサポートするために、初期ブート構成と Junos OS 構成ポリシーを各 vSRX エージェント仮想マシンにプッシュします。Security Director は NSX-T セキュリティ グループと対応するアドレス グループを認識し、展開されたすべての vSRX エージェント仮想マシンが自動的に検出されます。
セキュリティポリシーは、特定のセキュリティグループ内のVMから発生した関連ネットワークトラフィックを、さらなる分析のためにジュニパーセキュリティサービスvSRXエージェントVMにリダイレクトします。
Security Director は、オブジェクト データベースを NSX Edge クラスタに展開されたすべての vSRX エージェント仮想マシンに動的に同期します。NSX-T Manager から検出されたセキュリティ グループは、Security Director の動的アドレス グループ (DAG) にマッピングされます。Security Directorは、vSRXエージェントVM上のファイアウォールポリシーを管理します。 Security Directorを使用して、高度なセキュリティサービスポリシー(アプリケーションファイアウォールポリシーやIPSポリシーなど)を作成し、それらのポリシーをプッシュします。
NSX-T Manager は、仮想環境の変更に関する最新情報を Security Director に送信し続けます。