2016年3月5日土曜日

NSX for vSphereを見てみよう(8) 忘れてはいけない分散ファイアウォール

NSX for vSphereのお話をすると、どうしても「L2延伸」に伴う、VXLANの話しがメインに感じてしまいますが、もう1つほど重要な機能があります。それは「分散ファイアーウォール」です。

分散ファイアーウォールは、簡単に言うと仮想マシンのNICの前にファイアーウォールが配置されるイメージとなります。

では、今までのファイアーウォールの配置(ネットワーク構成)イメージをおさらいしてみましょう。


こちらは一般的なネットワーク構成だと思います。
内側外側のファイアーウォールを1つで構成しているケースはあるかと思いますが、基本的には、VLANでセグメントを分けて、セグメント間を通信制御するというのが、今までのネットワーク設計でした。

この考え方で出てくるセキュリティの問題は、
  • より細かいセキュリティを構成しようとすると、VLANの数が増えてしまう
  • AppVLANとDB VLANの両方のネットワークに属するような仮想マシンが存在すると、兼務VLANの作成を行うか、VMへのNIC2枚挿しなど、別の手法を利用してネットワークを構成する必要がある
  • バックアップネットワークなどすべてのネットワークに通信する場合、全仮想マシンにNIC2枚挿しを行うことで、セキュリティが形骸化する
といった、問題が出てきます。

かといって、Windows Firewallやiptables/firewalldのようなOSレベルでのファイアーウォールの設定は、仮想マシン単位の設定となり一括管理ができず、現実的ではありません

この問題は、ネットワークを構成する際に「当たり前」として扱われてきた問題でした。

これを、NSX for vSphereの分散ファイアーウォールで解決することができます。


図を見ていただくとわかるのですが、VLANの数も減り、すっきるとしたネットワークになっているかと思います。ただ、セキュリティは、今までのネットワーク設計よりも強固になっています。

そのポイントは「仮想マシンのNIC単位でファイアーウォールを配置される」ことにあります。

この場合のメリットは、
  • 細かなセキュリティのためにVLANを増やす必要が無い
  • 同一セグメントの仮想マシンにおいても、通信制御が可能
  • ポリシーはNSX Managerで一括管理が可能
ということになります。まさに、 今までのネットワークでは、諦めていたセキュリティを手に入れることができます。

これがマイクロセグメンテーションの意味になります。


0 件のコメント:

コメントを投稿