Interop Tokyo 2014 NSXとPalo Alto Networksの連携ご紹介

こんにちは、VMwareの屋良です。 先日開催されたInterop Tokyo 2014にて、弊社ブースに足を運んでいただきありがとうございました。 ブース内のNSXコーナー及びミニシアターなどを通して、NSXをご紹介しておりましたが、NSXエコシステムパートナーである、Palo Alto Networks(PAN)ブースでもNSXの展示を行っていただきました。 本日は、NSXとPANの連携について、改めてご紹介します。 NSX 分散Firewallの特長とエコシステムパートナー連携 NSXでは、機能の1つとして、以下の様な特長を持つ、分散Firewallを提供しています。 kernel組み込みによる高い処理性能 ハイパーバイザー単位で分散処理可能なスケールアウト型アーキテクチャ VM,vNIC,クラスタといった、オブジェクト単位でのポリシー定義 しかし、現在では、アプリケーションの振る舞いをチェックして制御を行う、といった、より高度なFirewallが求められることも多くなってきています。 そういった、NSXだけで実現できない点に対して、NSXのエコシステムパートナーと呼ばれるパートナー企業がNSXと連携する機能を提供しています。この仕組みを利用することで、以下のようなPANの優れた機能がNSXと一緒に動作することになります。 アプリケーション等の細やかなトラフィック可視化 IP,Port番号に依存しない、アプリ、ユーザの識別及びポリシー制御 情報漏洩、マルウェアといった未知の脅威からの防御 NSX-PAN構成/動作イメージ NSXとPAN連携は、大きく以下のコンポーネントによって構成されています。 NSX:vCenter及び、NSX Manager PAN:Panorama(管理コンポーネント)及び、VM-series FW 実際のトラフィックの流れは次のようになります。 PANにリダイレクトすべきトラフィックか(NSX側に設定)、チェック 対象トラフィックはFirewall処理を行うVM-series FWにリダイレクト その際、通常のネットワークではなく、ハイパーバイザ内の通信パス(VMCI/VM Communication Interface)を利用して行われるため、効率的かつ、Guest VMに対して透過的に行われる(vMotionした際も、もちろん追従可能) NSX-PAN連携の特長 より高度なFirewall機能をシステムに取り込める点は、もちろんですが、それ以外にも、以下のような特長があります。 NSX-PAN間でのオブジェクト情報連携:NSXの管理コンポーネントであるNSX ManagerとPANの管理コンポーネントであるPanorama間でオブジェクト情報を連携することで、動的なポリシー制御が可能 これにより、「Webサーバのグループと、Appサーバのグループ間のみ通信を許可する」といったシンプルな定義となるので、ポリシー数が減るだけでなく、ぱっと見ただけで内容が分かるようになります。そのため、ACLのように、1つ1つのポリシーを読み解くという手間を減らすことが可能です。 PAN VM-serices FW自動展開:Firewall処理を行うPANのコンポーネントであるVM-series FWをホストの増設に合わせて自動展開 NSXは、仮想基盤のリソース追加と同じタイミングで利用できるようになりますが、同様に、VM-series FWもそれに合わせて、自動展開されるため、リソース追加時のVM-series FWセットアップの手間を削減することが可能です。 利用シーン NSX-PAN連携により、次のような利用シーンが考えられます。 VDI環境のセキュリティ強化:各ユーザデスクトップからのアクセスをチェックし、マルウェアや不正サイトへのアクセスを検知/制御 不正アクセスの被害拡散防止:従来のセグメント間だけでなく、同一セグメント内にあるVM同士の通信についてもチェック/制御することで、仮に侵入されても被害の拡散を防止 下記は、利用シーンの1つである、Webアプリケーションへの適用例となります。「特定キーワードを含むWebサイトへのアクセスをブロック」かつ「各Tier間のアクセスを制限」した例となります。Interop会場においても、オンラインデモを実施していましたので、御覧頂いた方もいらっしゃるのではないでしょうか。 今回は、PANにフォーカスした、連携ご紹介でしたが、エコシステムパートナーは今後も広がっていきますので 、ご期待ください!



from VMware Blogs http://bit.ly/1qQI1rf