ここで疑問になることは、タグが付いた仮想マシンを隔離といいますが、タグは仮想マシンがウイルスに感染したタイミングでした付与されませんし、それとファイアーウォールのルールとどう関係するのかが、謎な話になるかと思います。
今回はこの謎を解きたいと思います。
さて、この謎を解く大事な鍵は「ダイナミックメンバーシップ」というキーワードです。
(一部では、動的メンバーシップと言われています)
今までのファイアーウォールのポリシーを組む際には
| 送信元IP | 宛先IP | アクション | 有効/無効 |
| 192.168.1.0/24 | 10.0.0.0/24 | Deny | 有効 |
といった、送信元と宛先でそれぞれIPアドレスを指定してそれに対してアクションを行うこととなります。これですと、仮想マシンにあらかじめタグが付与されている訳ではありませんので、送信元IPを特定することができません。
では、
| 送信元IP | 宛先IP | アクション | 有効/無効 |
| "AAA"とtagが付与 された仮想マシン | 10.0.0.0/24 | Deny | 有効 |
といったポリシーを書けば"AAA"というタグが付与された仮想マシンは、10.0.0.0/24へのネットワークには通信ができないというポリシーが書ければ成立しますね。
これが、NSX for vSphereで行うことができます。
この「"AAA"とtagが付与された仮想マシン」というのは、ウイルス感染している仮想マシンが0の時は、対象は0ですが、3台の仮想マシンがウイルス感染し"AAA"タグが付与されれば、この対象は3になります。つまり対象となるものが固定されたIPアドレスではなく、状況に応じた条件で指定することができるため、その時々で対象となる仮想マシン(=IPアドレス)が変わることから、「ダイナミック(動的)メンバーシップ(対象範囲)」という表現をしています。
具体的に画面を見てみましょう。
NSXには、Service Composerという「ダイナミックメンバーシップオブジェクト」を作成する機能があります。ここで作成したオブジェクトが従来IPアドレスに変わるファイアーウォールのオブジェクトとして取り扱うことが可能となります。
実際にオブジェクトを作成してみましょう。
作成は、ウィザード方式での作成となります。
1.まずは、オブジェクトの名前と説明(任意)を入力します。
2.ここで動的なメンバーシップ条件を指定します。
ここで、セキュリティタグを指定した場合、タグの内容を入れることで同じタグ名称が指定された仮想マシンが、このオブジェクトの対象となります。
セキュリティタグ以外にも、コンピューターOS名や、仮想マシン名などを指定できます。
たとえば、コンピューターOS名で「Windows XP」と入れておけば、XPの仮想マシンだけを一括りにオブジェクトとして指定することができます。これは、VMware Toolsから情報を拾ってきますので、あらかじめ仮想マシンに対して手動でOS情報の割り当てなどを行うことはありません。
3.指定した条件を割り当てる対象を選択できます。状況に応じて、クラスター単位はリソースプール単位、必要があれば仮想マシンを個別で対象に含めることも可能です。
4.条件を指定して場合、すべてに当てはまると困る場合、除外を指定することができます。除外も、このServiceComposerであらかじめダイナミックメンバーシップを作成しておきそれを割り当てることが可能です。(必要がなければなしでOKです)
5.サマリー表示です。これでオブジェクトの作成は完了です。
では、実際に分散ファイアーウォールに割り当ててみましょう。
6.分散ファイアーウォールの画面を開きます。
7.ルールを追加して、必要に応じて名称を入力します。
8.鉛筆マークを押し、オブジェクトを選択します。
9.オブジェクトを選択します。尚この画面からService Composerのダイナミックメンバーシップオブジェクトを作成することも可能です。
10.今回の例では宛先はIPアドレス指定ですので「IP」ボタンをクリックし、対象のIPアドレスオブジェクトを作成します。
11.あとは、アクションをDenyにして、設定情報反映します。
さて、イメージはわきましたでしょうか?
ファイアーウォールルールは、一般的なファイアーウォールと何も変わらないと思います。
ポイントは、Service Composerで作成した、IPに紐付かないオブジェクト対象である「ダイナミックメンバーシップ」を、ファイアーウォールのソースまたは、ターゲットのオブジェクトとして選択可能ということです。これが、NSX for vSphereの分散ファイアーウォールの最大の特徴です。
さて、こうなると自分でService Composerで作成したオブジェクトがどれだけ対象になっているかを見たいものですね。
確認方法は2つあります。
1つは分散ファイアーウォールのポリシーで作成したオブジェクトをクリックする方法です。
もう1つは、Service Composerの画面から対象数量と細かいオブジェクトを確認可能です。
これで、マイクロセグメンテーションの具体的な設定方法は、理解できたと思います。
今までのファイアーウォールの考え方をそのままに、ダイナミックメンバーシップ機能を追加することで大変柔軟性の高いファイアーウォールが実現できるのは、NSX for vSphereの凄いところだと思います。
0 件のコメント:
コメントを投稿