Vmware NSX Service Composer

We wcześniejszym wpisie zrobiłem wprowadzenie do mikrosegmentacji. Dziś natomiast skupię się na service composer (temat ten będzie rozwinięciem poprzedniego wpisu).
Zapraszam.

Co to jest Service Composer?

Service Composer jest to narzędzie, które dostajemy w NSX’ie, pozwalające na automatyczne przypisywanie zdefiniowanych przez nas polityk fw do grup maszyn. Grupy te tworzymy na podstawie jakiegoś wzorca. Można powiedzieć, że jest to automat pozwalający nam uprościć pracę przy politykach firewall w NSX’ie.

Trochę praktyki

Pracę nad service composer możemy podzielić na następujące etapy:

  • utworzenie security tag
  • Security Groups
  • Security Polices
  • przypisanie security polices do security groups
  • przypisanie security tag do wirtualnej maszyny
  • weryfikacja

Schemat poglądowy architektury, na jakiej będziemy pracować:

Security tag

Jednym z głównych kroków jest utworzenie security tagów, które będziemy przypisywać do wirtualnej maszyny. Na tej podstawie będzie definiowana polityka FW.

Po zalogowaniu się do naszego vcenter przechodzimy do Networking & Secuirty, a następnie do NSX Managers –> nasz NSX Manager –> Manage –> Security Tags

gdzie klikamy na zaznaczoną ikonę w celu dodania security tag.  Definiujemy go w nowym oknie:

Powyższy krok powtarzamy dla każdego nowego security tagu.

Security Groups

Kolejnym krokiem będzie zdefiniowanie Security groups – w tym miejscu będziemy tworzyć automat, który na podstawie wskazanych elementów będzie tworzył grupę.

Przechodzimy do Networking & Secuirty –> Service Composer –> Secuirity Groups, klikamy na zaznaczoną poniżej ikonę.

W nowym oknie otworzy nam się kreator – tworzenie security group; w pierwszym kroku nadajemy nazwę grupy:

W kolejnym kroku wybieramy opcję, która ma za zadanie dynamicznie przypisać do grupy. Mamy do wyboru:

  • Computer OS Name
  • Computer Name
  • VM Name
  • Security TAG
  • Entity

Nasza polityka będzie wyglądała jak poniżej:

W kolejnym kroku możemy ręcznie przypisać jakieś elementy vCenter

Następnie możemy wykluczyć przynależność do grupy jakiegoś elementu

W ostatnim oknie kreatora dostajemy podsumowanie

Security Polices

W tym kroku zdefiniujemy zestawy polityk firewall, które będziemy przypisywać do Security groups

przechodzimy tak jak wcześniej, ale tym razem do zakładki Security Policies.

klikamy na zaznaczoną poniżej ikonę i przechodzimy do kreatora

w pierwszym kroku nazywamy naszą Security Policy

w kroku 2 pomijamy, ponieważ nie mamy integracji np. z antywirusem.

krok trzeci będzie nas najbardziej interesował, bo tu będziemy tworzyć nasze polityki firewall. Klikamy zielony plusik i dodajemy reguły.

W naszym przypadku będą to 2 reguły:

  1. pozwalająca na dostęp po SSH z wykluczeniem maszyn należących do security groupy –
  2. blokująca ruch w Security Groupie

Po utworzeniu reguł przechodzimy dalej; w tym miejscu możemy utworzyć reguły dla ruchu, który chcemy poddać do dalszej inspekcji w innych rozwiązaniach np. jak mamy integrację z PaloAlto. My natomiast krok ten pomijamy, gdyż nie posiadamy integracji.

W kolejnym kroku mamy podsumowanie i na tym kończymy pracę z kreatorem.

Przypisanie security polices do securit groups

W tym miejscu przypniemy utworzoną politykę do grupy przez zaznaczenie naszej security polices, a następnie przez kliknięcie na zaznaczoną ikonę

w nowym oknie wybieramy naszą Secuirty groups i klikamy ok

w tej chwili mamy utworzone polityki przypięte do grupy, która jest dynamiczna. Każda maszyna z przypisanym secuirty tagiem „Web_SRV_app01” dostanie zdefiniowany zestaw reguł firewall.

Przypisanie secuity tag do wirtualnej maszyny

W tym kroku przypiszemy secuirty tag do dwóch wirtualnych maszyn. Poniżej prezentuję najszybszy sposób przypisania tagów do wirtualnych maszyn. Istnieje też drugi sposób, ale bardzo wolny polegający na wejściu do każdej wirtualnej maszyny i przypisaniu tam security tag.

Przechodzimy do Networking & Secuirty, następnie NSX Managers –> nasz NSX Manager –> Manage –> Security Tags

Wybieramy nasz tag i klikamy na zaznaczoną ikonę

w nowym oknie wyszukujemy nasze wirtualne maszyny

po kliknięciu ok rozpocznie się proces przypisywania polityk do tych wirtualnych maszyn.

Weryfikacja

z pomocą przychodzi nam zakładka Canvans w Service Composer, gdzie widzimy ilość wirtualnych maszyn przypisanych do security groups.

W oknie reguł Firewall doszła nam nowa grupa reguł, które zdefiniowaliśmy w Security Polices

Testujemy SSH

 

PING

 

Syslog

wyszukujemy wszystkie hinty, które należą do reguły 1007 i 1008 używając filtru jak poniżej:

Jaki widać powyżej reguły działają zgodnie z założeniem.