NSX で作るVDI 環境のファイアウォール

三田 泰正

自己紹介 ( 三田 泰正 )

• 2006-2013 某 HW ベンダーでサーバ製品のプリセールス SE　　　主に仮想化分野を担当。 2012 年に vExpert 認

定。

• 2013/11- VMware で EUC 製品の担当 SE主に VDI ソリューションを担当

• 普段の業務：案件のプリセールスサポート、新製品の機能検証やスキルトランスファー。最近は VMware View や Virtual SAN 関連が多いです。

• vExpert 2012/2013/2014

• Twitter : @ymita

本日 NSX 6.1 がリリースされました

• https://www.vmware.com/support/nsx/doc/releasenotes_nsx_vsphere_61.html

ファイアウォール機能も少し強化されたようです。

一般的なファイアウォール構成

4

インターネット

ファイアウォール

①

① 境界型セキュリティの限界

• 侵入防止型セキュリティ• 突破されたときの拡大防止は中でなんとか

する

② 物理ネットワークの限界

• vlan による部門毎のセグメント

• セグメント内でのアクセス制御では、スイッチのポート毎に設定が必要

②

セキュリティゾーン内で感染が拡大する

VDI 環境のファイアウォール• 現状のセキュリティ

– 部門ごとの vlan で部門間のセキュリティは担保– 部門内の仮想デスクトップ間通信は可能– ネットワークとは切り離せない仮想デスクトップ環境

• 現状の VDI セキュリティにおけるリスク– 部内でのウィルス拡散– 悪意を持った内部犯行者は他のデスクトップへのアクセスが可能– ウィルスが発見された仮想デスクトップもネットワークへ継続接続

VMware VMware VMware

物理ネットワーク

経理部 仮想デスクトップ

営業部 仮想デスクトップ

設計部 仮想デスクトップ

社内システム

通常の通信

ウィルス等の拡大

ウィルス / マルウェア等

不正な通信

NSX によるマイクロセグメンテーション• 新しい VDI セキュリティ

– 仮想デスクトップごとにファイアウォールサービスを提供– ウィルススキャンと連動するセキュリティルール

• 新しいセキュリティの効果– VLAN に依存せず仮想デスクトップ間通信をファイアウォールでブロック– ウィルスが発見された仮想デスクトップには、隔離セキュリティルール

を自動適用• 例 : すべての通信を遮断

VMware VMware VMware

物理ネットワーク

社内システム

隔離ルールの自動適用

仮想デスクトップ単位の分散型ファイアウォール

7

ESXi

物理サーバ

仮想デスクトップ

仮想デスクトッ

プ

NSX vSwitchESXi

物理サーバ

仮想デスクトップ

仮想デスクトップ

セキュリティポリシー仮想デスクトップ

vCenter

NSX vSwitch

コンセプトは分かったけど実際どうなの？

NSX を初めて触って試してみました。

システム構成

vSphere ESXi 5.5 update 2

vSphere Distributed Switch

vSphere ESXi 5.5 update 2

vSphere Standard Switch

NSX Manager

Guest Introspection Service

Trend Micro Deep Security Service

vCenter Deep Security Manager

システム構築時の事件

NSX Manager から ESXi に VIB Module をプッシュインストールときにエラー発生

Guest Introspection Serviceデプロイ失敗

NSX のスペシャリストの力を借りて無理やり解決！！

他の用途で使いまわしている環境のため VIB の不整合が発生？？※ 検証環境はできるだけクリーンな環境を用意した方が良さそう。。。

ファイアウォールのルール定義

ここでルールを定義

NSX のメニュー

おなじみの Web Client

ルール定義を見てみる

ソース ターゲット サービス 許可 or ブロック

ソースとターゲットを指定して、特定サービス( 例えば DHCP とか ) の通信を許可 or ブロック

ソースとターゲットは細かい単位で指定可能

データセンター、クラスタ、リソースプール、仮想マシン、 vNIC 、 IP セット、セキュリティグループなどなど

セキュリティタグで適用ルールを動的に変更

セキュリティポリシー“通常用ポリシー”

セキュリティグループ“健全デスクトップ層”

ルール Aルール B・・・

セキュリティポリシー“隔離用ポリシー”

セキュリティグループ“隔離ゾーン”

ルール Xルール Y・・・

仮想デスクトップに付けるタグによってグループメンバーが動的に変更される

グループごとに異なるポリシー、異なるルールを適用できる

タグを変えると仮想デスクトップに適用されるルールが自動的に変わる

セキュリティタグを作るタグは仮想マシンの目印のようなもの設定は名前だけ

セキュリティグループを作る

特定のタグを含むオブジェクトをメンバーとして構成する

セキュリティポリシーを作る

ポリシー内でファイアウォールのルールを定義

例：ポリシーが適用されたグループ　→　任意のオブジェクト　「ブロック」

作ったポリシーはセキュリティグループに適用

アンチウイルス製品との連携

マルウェアを検出すると特定のタグを自動的に付与

19

最終的にこうなります

脆弱システムを修正するまで隔離

Softw

are-

Defi

ned

Dat

a Ce

nter

セキュリティ グループ = 隔離ゾーンメンバー = {Tag = ‘ANTI_VIRUS.VirusFound’, L2 Isolated Network}

セキュリティ グループ = 仮想Desktop 層

Service Composer

クラウドの運用管理

仮想ネットワーク

ポリシーの定義標準的なデスクトップ仮想マシン ポリシー アンチウイルス： スキャン

隔離仮想マシン ポリシー ファイアウォール： すべてブロック （セキュリティ ツールを除く） アンチウイルス： スキャンと修正

雑感

• 設定は簡単だが設計が難しい！！• ソース / ターゲットをどう設定するか？• セキュリティタグはどう分類するか？• VDI 環境は登場人物が多いので難しい。

(Connection Server/vCenter/AD などなど )

• 誰が設計 / 設定するの？という話になりそう• ネットワークエンジニア？• サーバエンジニア？• 役割分担どうする？

• でも使いこなせれば便利そう

ありがとうございました