More Related Content
Similar to VMware NSX で作る VDI 環境のファイアウォール (20)
VMware NSX で作る VDI 環境のファイアウォール
- 2. 自己紹介(三田泰正)
• 2006-2013 某HWベンダーでサーバ製品のプリセールスSE
主に仮想化分野を担当。2012年にvExpert認定。
• 2013/11- VMware でEUC 製品の担当SE
主にVDI ソリューションを担当
• 普段の業務:案件のプリセールスサポート、新製品の機能検証
やスキルトランスファー。最近はVMware View やVirtual SAN
関連が多いです。
• vExpert 2012/2013/2014
• Twitter : @ymita
- 3. 本日NSX 6.1 がリリースされました
• https://www.vmware.com/support/nsx/doc/releas
enotes_nsx_vsphere_61.html
ファイアウォール機能も少し強化されたようです。
- 4. 一般的なファイアウォール構成
4
インターネット
①
①境界型セキュリティの限界
• 侵入防止型セキュリティ
• 突破されたときの拡大防止は中でなんとか
ファイアウォール
する
② 物理ネットワークの限界
• vlanによる部門毎のセグメ
ント
• セグメント内でのアクセス
制御では、スイッチのポー
ト毎に設定が必要
②
セキュリティゾーン内で感染が拡大する
- 5. VDI 環境のファイアウォール
• 現状のセキュリティ
– 部門ごとのvlanで部門間のセキュリティは担保
– 部門内の仮想デスクトップ間通信は可能
– ネットワークとは切り離せない仮想デスクトップ環境
• 現状のVDIセキュリティにおけるリスク
経理部仮想デスクトップ
営業部仮想デスクトップ
設計部仮想デスクトップ
通常の通信
ウィルス等の拡大
不正な通信
ウィルス/マルウェア等
– 部内でのウィルス拡散
– 悪意を持った内部犯行者は他のデスクトップへのアクセスが可能
– ウィルスが発見された仮想デスクトップもネットワークへ継続接続
物理ネットワーク
社内システム
VMware VMware VMware
- 6. NSXによるマイクロセグメンテーション
• 新しいVDIセキュリティ
– 仮想デスクトップごとにファイアウォールサービスを提供
– ウィルススキャンと連動するセキュリティルール
• 新しいセキュリティの効果
– VLANに依存せず仮想デスクトップ間通信をファイアウォールでブロック
– ウィルスが発見された仮想デスクトップには、隔離セキュリティルールを
自動適用
• 例: すべての通信を遮断
隔離ルールの自動適用
物理ネットワーク
社内システム
VMware VMware VMware
- 9. システム構成
Guest Introspection Service
vSphere Distributed Switch
vSphere ESXi 5.5 update 2
vCenter Deep Security Manager
vSphere Standard Switch
vSphere ESXi 5.5 update 2
NSX Manager
Trend Micro
Deep Security Service
- 10. システム構築時の事件
NSX Manager からESXi にVIB Module を
プッシュインストールときにエラー発生
Guest Introspection Service
デプロイ失敗
NSX のスペシャリストの力を借りて無理やり解決!!
他の用途で使いまわしている環境のためVIB の不整合が発生??
※検証環境はできるだけクリーンな環境を用意した方が良さそう。。。
- 14. セキュリティタグで適用ルールを動的に変更
セキュリティグループ
“健全デスクトップ層”
セキュリティポリシー
“通常用ポリシー”
ルールA
ルールB
・・・
セキュリティグループ
“隔離ゾーン”
セキュリティポリシー
“隔離用ポリシー”
ルールX
ルールY
・・・
仮想デスクトップに付ける
タグによってグループメン
バーが動的に変更される
グループごとに異なるポリ
シー、異なるルールを適用
できる
タグを変えると仮想デスクトップに適用されるルールが
自動的に変わる
- 19. 最終的にこうなります
19
脆弱システムを修正するまで隔離
セキュリティグループ= 隔離ゾーン
メンバー= {Tag = ‘ANTI_VIRUS.VirusFound’, L2 Isolated Network}
セキュリティグループ= 仮想Desktop 層
ポリシーの定義
標準的なデスクトップ
仮想マシンポリシー
アンチウイルス: スキャン
隔離仮想マシンポリシー
ファイアウォール: すべてブロック
(セキュリティツールを除く)
アンチウイルス: スキャンと修正
- 20. 雑感
• 設定は簡単だが設計が難しい!!
• ソース/ターゲットをどう設定するか?
• セキュリティタグはどう分類するか?
• VDI 環境は登場人物が多いので難しい。
(Connection Server/vCenter/ADなどなど)
• 誰が設計/設定するの?という話になりそう
• ネットワークエンジニア?
• サーバエンジニア?
• 役割分担どうする?
• でも使いこなせれば便利そう
Editor's Notes
- プリントアウト時は、こちらをHideし、P35をUnhideして下さい