分散ファイアーウォールは、簡単に言うと仮想マシンのNICの前にファイアーウォールが配置されるイメージとなります。
では、今までのファイアーウォールの配置(ネットワーク構成)イメージをおさらいしてみましょう。
こちらは一般的なネットワーク構成だと思います。
内側外側のファイアーウォールを1つで構成しているケースはあるかと思いますが、基本的には、VLANでセグメントを分けて、セグメント間を通信制御するというのが、今までのネットワーク設計でした。
この考え方で出てくるセキュリティの問題は、
- より細かいセキュリティを構成しようとすると、VLANの数が増えてしまう
- AppVLANとDB VLANの両方のネットワークに属するような仮想マシンが存在すると、兼務VLANの作成を行うか、VMへのNIC2枚挿しなど、別の手法を利用してネットワークを構成する必要がある
- バックアップネットワークなどすべてのネットワークに通信する場合、全仮想マシンにNIC2枚挿しを行うことで、セキュリティが形骸化する
かといって、Windows Firewallやiptables/firewalldのようなOSレベルでのファイアーウォールの設定は、仮想マシン単位の設定となり一括管理ができず、現実的ではありません。
この問題は、ネットワークを構成する際に「当たり前」として扱われてきた問題でした。
これを、NSX for vSphereの分散ファイアーウォールで解決することができます。
図を見ていただくとわかるのですが、VLANの数も減り、すっきるとしたネットワークになっているかと思います。ただ、セキュリティは、今までのネットワーク設計よりも強固になっています。
そのポイントは「仮想マシンのNIC単位でファイアーウォールを配置される」ことにあります。
この場合のメリットは、
- 細かなセキュリティのためにVLANを増やす必要が無い
- 同一セグメントの仮想マシンにおいても、通信制御が可能
- ポリシーはNSX Managerで一括管理が可能
これがマイクロセグメンテーションの意味になります。
0 件のコメント:
コメントを投稿