有时需要调整安全策略,识别和设计精细段区域和层可能会非常困难。
WMware的NSX虚拟网络技术可以帮助公司企业获得更高水平的网络安全,但怎样部署,取决于你用的是全新应用(新区建设),还是从现有基础设施中将应用迁进NSX(旧城改造)。
NSX的微分段功能,基本上就是对每个服务器设置虚拟防火墙,控制进出流量,限制黑客在网络内的游弋探索,让应用和数据保护工作更简单易行。它实现过去只有靠超级昂贵和复杂的硬件才能达到的安全水准。
从安全的角度,新区建设模式是很理想的,因为可以从一开始就融入安全基因,而且微分段设置也相对容易。安全团队可以从一开始就规划好所需数据中心的不同区和层,并为之分配IP地址。然后,他们可以创建定制安全策略,支持该分段架构精密匹配需求。一切都是那么干净有序。
然而,大多数公司将要面对的,可能还是旧城改造场景,把现有应用从实体迁移到虚拟环境。这种情况下,现有安全策略就需要做迁移和调整,但问题是,原始设计中就没有微分段,让在微分段环境中识别和设计各个区与层变得更加困难。
搞清哪个服务器应该在放在哪个区,定义必要的防火墙规则等工作可能会非常棘手,因为安全团队对应用组件之间的流量情况往往不够清楚。那么,你该怎样规划和管理遗留应用的NSX虚拟化环境迁移呢?
应用连接性:发现的过程
最关键的第一步,是发现和映射需迁移应用的连接流。你得知道现有流,才能够在迁往NSX时做出必要的改变。
这是一个不应该被低估的急难险重任务。规范的公司,以机器可读的形式保有对应用流量的最新准确记录,所以能够快速启动迁移过程。而大多数情况下,该发现步骤会结合上所有可用数据源:从CMDB或自产库中导入数据,计算机辅助发现,以及智能流量应用连接性发现。
应用搬家
一旦成功发现了所有流量,就可以开始迁移应用到NSX了。首先是识别出需要移动的服务器,对每个服务器你都得在新环境中定义出匹配服务器。
为做到这一点,你得弄一张映射表,确认每一台新服务器的新IP地址。这一阶段,你还应该发现和定义每一台服务器的工作负载,覆盖需要的存储空间、CPU、操作系统和数据库。下一步就是把现有应用安装到服务器上了。
这涉及到重配置每台已迁移服务器的连接流,可能连接这些迁移服务器的其他很多服务器和应用的连接流也要重配置。你的策略可能需要做些调整,也许还需要编写新的策略,让NSX和内部环境协调工作,不造成按新服务器IP地址开工的已发现流量模式产生中断。
另外,你还要确保VMware提供的安全控制和策略支持你的现有应用流。如果你没做这一步,仅仅依靠旧有过滤策略,与新服务器的通信可能会被阻止。流量必须要能进出新地址——所以必须确保你的策略支持这一点,无论是在NSX还是在内部环境。
于是,你网络安全设备的没一条过滤规则都得仔细检查一遍,找出服务器旧地址出现的所有地方,然后复制这些规则,将新服务器地址添加进去。
新过滤策略写好后,就需将它们部署到相关设备上。该过程包括配置防火墙、路由器和负载平衡器,让流量可以进出新服务器。
从测试到生产
这一阶段,你会用到可以深入测试的能用系统,以确保全部所需功能都已就位,每个功能都按计划执行。只有确信测试环境中的应用与最终生产环境相当,才可以走到下一步骤。
从测试到生产,基本上就是重命名的过程:服务器会有个公开名称,用户也需要一个网站来访问你的应用。迁到了NSX,你就得重配置官方访问点,让其指向你的NSX部署,而不是指向原有服务器。这一阶段,检查是否需要对过滤测试进行调整,也是非常重要的。
退役遗留版本
最后阶段,就是退役应用连接的遗留版本——但千万别在绝对就绪之前做这事儿。一定要确保你的新系统有时间成熟,是经过足够时间的测试而非常稳定的。为避免造成安全缺口,给黑客留下入口点,最佳实践要求退役所有来自旧有防火墙、路由器和负载平衡器的过滤规则。不过,在退役这些规则之前,不要忘了核实这些规则不再被NSX部署的其他应用所使用。
管理网络
一旦迁移过程完成,你就要开始管理和维护整个企业网络中的安全策略了。最有效的方法,是使用全面支持NSX防火墙和云安全控制,以及你现有传统内部防火墙资产的自动化解决方案。
值得指出的是,你的NSX部署也要符合现有网络的合规和审计要求,所以你需要一个能够提供物理和虚拟两种网络功能可见性的安全管理解决方案,这样,其合规状态才能够被集中监视和记录下来,供审计使用。
向NSX迁移,也是去除多年积攒下来的非必要安全策略的一个好机会,比如哪些重复的、冗余的、不必要的规则。良好的安全策略管理解决方案,将会自动标记冗余和其他风险,易于理顺策略。
总之,向NSX迁移应用,需要可重复的强过程以确保成功。没有万灵丹,一键迁移这种事想都不要想。自动化对该过程的成功至关重要,可以省去很多耗时且易出错的人工安全过程,比如连接的发现和映射、迁移、持续的维护。因此,你的团队可以充分利用NSX部署的好处,专注于最大化该服务带来的灵活性和网络安全的增强。