vShield Zones review

vShield Zones - одновременно firewall и sniffer для виртуальной инфраструктуры от VMware. Перехват траффика для защищаемых ВМ происходит совершенно прозрачно. Возможна работа как с virtual Standart Switch, так и vNetwork Distributed Switch.

ПО состоит из vShield'ов - небольших вм-роутеров, расположенных на каждом хосте и vShield Manager - virtual appliance для централизованного управления ими.

Install & Configure

Все защищаемые машины переносятся в новый vSS/vDS, не имеющий физических аплинков. (в Admin Guid'е для vDS, но не для vSS(!), зачем-то предлагается наоборот, создать новый свитч и перенести туда аплинки) Я решил унифицировать настройку, так что сеть получается примерно такая:

Для сети, построенной на vSS процесс добавления нового хоста автоматизирован: создаём vShield template и по команде администратора Shield Manager сам клонирует на ноду новый экземпляр vShield, а также подключает его к себе, применяя настройки и правила файервола. Для vDS тоже самое делается пока вручную: Settings & Reports->Configuration->Manual Install. Кстати, тамже можно добавить эту web-морду управления, как plug-in в сферовский клиент.

FireWall

Правила создаются на уровень Датацентра (High и Low) и на уровне кластера (приоритет - между High и Low). Ниже всего расположены Default Rules, с помощью которых предлагают реализовывать базовую стратегию: deny all/allow all.

Правила устанавливаются для Layer 4 или Layer 2/3 (последние только для датацентра). Можно указывать Источник, Получателя, протокол, порт (один, диапазон: 1000:1100, или именованную группу). Перед каждым применением правил делается снимок настроек, для удобного отката к предыдущему состоянию.

Для одного vShield Manager заявлено обслуживание по миллиону сессий L4 и L2/3.

Traffic Analysis

По-умолчанию для каждой вм информация по трафику отображается за последние 7 дней.

Её так же можно вывести ввиде таблицы, и проанализировав, найти зловреда, который пытался доступиться к брокеру View извне :) Там же в один клик создаётся правило по выбранному критерию.

Others cool things

Бекап настроек менеджера производится ввиде .txt файла. Соответственно восстановление происходит копированием его содержимого в специальное поле консоли.

vShiel можно настроить на постоянное обнаружение новых защищаемых машин (Continious) или по рассписанию (Periodic).

Возможно управление через собственную CLI.