LTN Blog 〜 Lenovo Technology Network 〜

レノボのソリューション・サーバー製品に関する技術情報、お役立ち情報をお届けします

マイクロセグメンテーション(FLOW)の詳細について~AOS5.6機能紹介~

 

皆さん、こんにちは レノボ・エンタープライズ・ソリューションズ 小宮です。

本日はAOS5.6の機能の一つであります、マイクロセグメンテーションの機能をご紹介します。

5月9日の.NEXT2018で正式にマイクロセグメンテーションFLOWという名称でアナウンスがありましたので、合わせてお伝えいたします。 

 

まず、いきなりマイクロセグメンテーションの話をする前に、マイクロセグメンテーションとは何か?というお話します。

 

1.マイクロセグメンテーションとは?

いきなりマイクロセグメンテーションのお話をしてもわからない人がいらっしゃると思いますので、まずはウイルスなどの感染についてどのように対応するのかを考えて見ましょう。

f:id:t_komiya:20180503170921p:plain

たとえば、物理PCなどは感染してしまった場合は、物理結線を外す事で隔離することが出来ますが、仮想マシンについてはどうでしょうか?実際に仮想マシンでウイルスが感染しているホストがあったとして、ホストに結線されているケーブルを抜いたところで、他のホストの仮想マシンへの感染は防げますが、自ホストの仮想マシンの感染は防ぐことが出来ません。それではまったく意味ができないので、それを仮想マシンの保護にまで広げたのが、マイクロセグメンテーションになります。

f:id:t_komiya:20180503171533p:plain

こちらのように感染して仮想マシンをネットワークのファイアウォールにより仮想マシンの通信を遮断できるようにするのがマイクロセグメンテーションになります。仮想の世界では物理的なところが対応できないところをソフトウェアの機能でセキュリティを高めていく必要があります。

 

2. フローについて

AOS5.6になってから、マイクロセグメンテーション機能はフローと呼ばれることになります。また、このフローについては専用のライセンス体系になります。(現時点では未発表)今回はフローについて少しお話したいと思います。

フローネットワークはNutanix AHVとPrismに緊密に統合されたソフトウェア定義のネットワークソリューションのオプションです。 FlowはAHV上で動作する仮想マシンのための可視化、自動化、およびセキュリティを提供します。マイクロセグメンテーションはポリシー管理を簡素化するフローネットワークのコンポーネントです。複数のPrism Centralのカテゴリ(論理グループ)を利用することで、管理者に仮想マシントラフィックのセキュリティを確保するためのアプリケーションセントリックのポリシー管理ツールを提供する強力な分散型ファイアウォールを作成できます。

 

こちらの前提条件を以下に記載します。

Prism Central:必須容量+32G PC RAM

AOSバージョン:5.6以上

ライセンス:Starter以上 +ノード毎のFLOWライセンス

ハイパーバイザー:AHVのみ

ハードウェアプラットフォーム:すべて

 

3. どんなメリットがあるのか?

ノース/サウスの境界ファイアウォールしかない場合

  通常はファイアウォールチームはIP、サブネット、ポートを利用します

  複雑なポリシー定義とメンテナンスが必要です。

  • イースト/ウエストファイアウォールは内部の仮想マシンから仮想マシンの脅威の保護を提供している場合

  とても高額なソリューションになり、管理も難しいです。

フローは使いやすいセキュリティポリシーに基づいてイースト/ウエストのファイアウォールを管理するのが簡単

  • アプリケーションの言語による明確なポリシー
  • 内部の脅威からの仮想マシン保護

 

4.構成について

f:id:t_komiya:20180503173813p:plain

ハイパーバイザーに組み込まれているので、特にインストールする必要がありません。Prism Central内でカテゴリを使用して管理します。セキュリティポリシーはカテゴリにマップして利用します。仮想マシンのvNICレベルで論理的に適用されるルールを作成して利用します。

非常にシンプルな方法でセットアップが可能になります。

 

5. 分離による環境のゾーニングf:id:t_komiya:20180503174351p:plain

環境ゾーニングでは、互いに分離されたカテゴリを作成することができます。この例では、開発用仮想マシンはどの本番用仮想マシンとも通信できません。 仮想マシンのカテゴリを更新するだけで、開発から本番に仮想マシンを移動するのは簡単です。開発から本番はここでは唯一の制限されたトラフィックであることに注意することが重要です。この例では、開発はステージングやテストなどの他のカテゴリと通信することができます。それはブラックリストが存在する開発と本番ネットワークです。

そこで1台の仮想マシンを開発から本番環境に昇格させたい場合はどうするのか、見てみましょう。

f:id:t_komiya:20180503174523p:plain

インフラ環境間でワークロードを移動することは、単に開発 から本番へのカテゴリを変換することです。非常に簡単な手順でワークロードを移動させることが可能です。f:id:t_komiya:20180503175100p:plain

ここでは、分離ポリシーを作成して、前のスライドに示した環境分離を作成します。 開発とステージングの間にはブラックリストがあり、開発とテストの間にはブラックリストがあります。分離された一意の環境のペアごとに分離ポリシーが必要です。分離が必要な環境が多い場合は、アプリケーションポリシーを調べると便利です。

6. アプリケーション分離(リングフェンシング)

f:id:t_komiya:20180503181152p:plain

アプリケーションポリシーは仮想マシンの特定のグループにリングフェンスを配置し、そのリングフェンスにいくつかの例外を指定することができます。この例では、いくつかのアプリケーションを作成し、それを使用して互いに通信することはできません。その後、許可された送信元と送信先をアプリケーションポリシーに追加してトラフィックを許可します。

 

f:id:t_komiya:20180503181425p:plain

ここではアプリケーションポリシーはAppType:Exchangeに対して構成されています。内部AppType:Exchangeには、AppTier:Exchange_MailboxとAppTier:Exchange_Edge_Transportという2つの層があります。このポリシーの中心にあるアプリケーションは、AppTypeとAppTierのカテゴリを使用して指定する必要があることに注意することが重要です。アプリケーションポリシーの中心には、他のカテゴリタイプは使用できません。

ポリシーの左側に許可ソースが表示されます。この場合、Site:Branch-001は、特定のポート上のアプリケーション内の特定の層と通信することができます。送信側では、トラフィックが外部からすべての送信元に届くようにします。これを「ホワイトリストのみ」に簡単に切り替えることもできます。

ポリシーの中心は、階層内および階層間の通信を制御します。ここでは、Exchange_Mailbox 仮想マシンは他のExchange_Mailbox 仮想マシンと通信できますが、これはWebサーバー層のようなものでは簡単に許可されません。また、異なる階層間の通信を制御することもできます。

 

7. VDI分離と隔離

f:id:t_komiya:20180503181715p:plain

隔離ポリシーは完全な仮想マシンの分離(ネットワークなし)または管理上定義された一連のアプリケーションが隔離された仮想マシンと通信できる「フォレンジック(監査)」にすることができます

隔離はAPIを使用して手動またはプログラムで行うことができます

インバウンドフォレンジックの例には、リモートアクセス用のSSH / RDP、パッチツール、または分析やウイルスの駆除にITが使用するその他のツールがあります

 

f:id:t_komiya:20180503182109p:plain

フォレンジック検疫ポリシーは、2つの許可された宛先を指定します。 仮想マシンを隔離してフォレンジックを選択すると、その仮想マシンは右側の青色でこれらの宛先にトラフィックを送信できます。それは調査チームに役立つことがあります。左側にソースを追加して、隔離されたマシンにSSHまたはRDPを許可することができます。

右側には作業中のフロー監視が表示されています。 Strictで隔離された仮想マシンは送信先に到達できませんが、隔離された仮想マシンが特定のIPおよびポートに到達しようとしていることが検出されました。トラフィックは赤で示すようにブロックされました。

 

ここで、各ポリシーの評価の順序についてはお話したいと思います。

8. ポリシー評価の順序f:id:t_komiya:20180503182258p:plain

セキュリティポリシーは示された順序で評価されます。これにより、管理者はアプリケーション、隔離、分離などのポリシーを重複させることができます。たとえば、管理者はアプリケーションポリシーを作成して、アプリケーション間の特定のトラフィックを許可できます。アプリポリシーと分離ポリシーを組み合わせることで、アプリポリシーのルールに関係なく、特定の分離ルールが常に適用されます。最後に、隔離ポリシーはブロックとして機能し、基本となる分離ポリシーやアプリポリシーに関係なく、トラフィックは問題のある仮想マシンにとって最高の優先度として隔離されます。

 

9. アプリケーション中心のポリシー

f:id:t_komiya:20180503182521p:plain

ユーザー(セキュリティー管理者またはアプリケーション所有者)は、アプリケーションまたはアプリケーション層の通信のためのハイレベルのポリシーを設計するだけで済みます。フローおよび仮想化レイヤーは、各仮想マシンの現在のユニークなネットワーク識別子を常に認識しています。このナレッジは高いレベルに基づくライブポリシーを作成するために使用されます

仮想マシンを変更(新しいプロビジョニング、新しいIP、移行)すると、ポリシーはユーザーの介入なしに自動的に更新されます。

Prism Centralは管理レイヤとして機能します。ポリシーはPrism Elementクラスタ内のCVMにプッシュされます。 Prism ElementのCVMは、必要な場合に、AHVホストのOVSフローテーブルにルールを追加します。この設計により、スケーラブルで弾力的なルールの配置が可能になります。

  

10. 注意事項

VMwareのNSXと比較される方もいらっしゃると思いますので、補足しておきます。

現状はマイクロセグメンテーション機能のみです。そのため、NSXでよく耳にするオーバーレイ(L2延伸)の機能はありません。

SDN機能についても今後の予定となっております。

 

AHV導入時に検討してみてはいかがでしょうか?

宜しくお願い致します。