今回の VMware Aria Operations for Networks ブログは、以前に書いたセキュリティのユースケースに関連する VMware NSX 分散ファイアウォールのための機能に絞って解説します。 ◆ 分散ファイアウォールのための Aria Operations for Networks NSX の分散ファイアウォール (DFW) はご存知の通り、ESXi ではハイパーバイザーカーネルで処理され、vNIC レベルでワークロードをステートフルに保護するマイクロセグメンテーションを実現する機能です。 水平方向の移動(ラテラルムーブメント)の脅威に対策強化したい場合に非常に有効な機能ですが、トラフィックを正確に把握できていない場合にはどうしても緩く設定しがちだったり、従来のファイアウォールでは実現が難しかったセグメント内のセキュリティ強化に、どんなファイアウォールルールが適切か悩まれる方もいます。 実際に流れている実トラフィックからルール、つまり許可リストを作成できれば、いいと思いませんか? そんな時に使えるのが Aria Operations for Networks (旧 vRealize Network Insight, vRNI) です。 下図はオンプレに展開する場合のアーキテクチャです。データソースとしての VMware vSphere の分散スイッチから IPFIX を使ってネットワークトラフィック情報を収集し、分析します。さらに VMware vCenter から取得した仮想マシンやタグ、その他のインベントリ情報をリンクし、推奨のファイアウォールルールを提示します。 NSX が導入済みの環境では、タグ、セグメント、セキュリティグループ等の情報もリンクします。 Aria Operations for Networks で収集・分析されると、セキュリティ計画のマイクロセグメント セクションでドーナツチャートのような可視化が表示されます。それぞれのグループはグループ化の基準で選択したもの、グループ間のラインはフローを表しており、どこからどこにどのようなフローが流れているのか確認できます。 グループ化の基準を変更すると、同じデータでも見え方が異なります。例えば、VLAN/VXLAN/オーバーレイ、アプリケーション、セキュリティグループで表示が違うことがわかるかと思います。 実はこの表示の情報から、NSX … 続き
The post Aria Operations for Networks で快適な NSX Security 運用 appeared first on VMware Japan Blog.