vShield Zones review
vShield Zones - одновременно firewall и sniffer для виртуальной инфраструктуры от VMware. Перехват траффика для защищаемых ВМ происходит совершенно прозрачно. Возможна работа как с virtual Standart Switch, так и vNetwork Distributed Switch.
ПО состоит из vShield'ов - небольших вм-роутеров, расположенных на каждом хосте и vShield Manager - virtual appliance для централизованного управления ими.
Install & Configure
Все защищаемые машины переносятся в новый vSS/vDS, не имеющий физических аплинков. (в Admin Guid'е для vDS, но не для vSS(!), зачем-то предлагается наоборот, создать новый свитч и перенести туда аплинки) Я решил унифицировать настройку, так что сеть получается примерно такая:
Для сети, построенной на vSS процесс добавления нового хоста автоматизирован: создаём vShield template и по команде администратора Shield Manager сам клонирует на ноду новый экземпляр vShield, а также подключает его к себе, применяя настройки и правила файервола. Для vDS тоже самое делается пока вручную: Settings & Reports->Configuration->Manual Install. Кстати, тамже можно добавить эту web-морду управления, как plug-in в сферовский клиент.
FireWall
Правила создаются на уровень Датацентра (High и Low) и на уровне кластера (приоритет - между High и Low). Ниже всего расположены Default Rules, с помощью которых предлагают реализовывать базовую стратегию: deny all/allow all.
Правила устанавливаются для Layer 4 или Layer 2/3 (последние только для датацентра). Можно указывать Источник, Получателя, протокол, порт (один, диапазон: 1000:1100, или именованную группу). Перед каждым применением правил делается снимок настроек, для удобного отката к предыдущему состоянию.
Для одного vShield Manager заявлено обслуживание по миллиону сессий L4 и L2/3.
Traffic Analysis
По-умолчанию для каждой вм информация по трафику отображается за последние 7 дней.
Её так же можно вывести ввиде таблицы, и проанализировав, найти зловреда, который пытался доступиться к брокеру View извне :) Там же в один клик создаётся правило по выбранному критерию.
Others cool things
Бекап настроек менеджера производится ввиде .txt файла. Соответственно восстановление происходит копированием его содержимого в специальное поле консоли.
vShiel можно настроить на постоянное обнаружение новых защищаемых машин (Continious) или по рассписанию (Periodic).
Возможно управление через собственную CLI.
Комментариев нет