Über einen Wizard im vCenter beginnen Sie nun mit der Konfiguration der NSX-Firewallregeln. Das Setup ist in drei Schritte unterteilt:

1. Anlegen von Security-Gruppen
2. Definieren der Kommunikationen beziehungsweise Regelwerke
3. Prüfen und Konfigurieren

Als Erstes erstellen Sie die Infrastruktur-Security-Gruppen. Sie legen dabei eine oder mehrere Gruppen für Infrastrukturdienste wie DNS, AD, DHCP oder NTP an.

Dabei besteht die Möglichkeit, über verschiedene Kriterien virtuelle Maschinen in die Security-Gruppe aufzunehmen. Im Wizard wird automatisiert für die Security-Gruppe ein Tag erzeugt. Durch das Anhaken weisen Sie den Tag der jeweiligen virtuellen Maschine zu. Alternativ können Sie über IP-Adressen oder Portgruppen Systeme in Gruppen zuordnen. Außerhalb des Wizards besteht die Möglichkeit, mit dynamischen oder statischen Elementen zu arbeiten. Die dynamische Gruppeneinbindung für VMs kann auf Tags, Rechnernamen, Betriebssystemnamen oder Computernamen basieren. Statische Kriterien für Gruppen gelten für VMs, VIFs, Segmente, Segment-Ports, IP-Sets, MAC-Sets, AD-Benutzergruppen, physische Server und verschachtelte Gruppen.

Anschließend definieren Sie die sogenannten "Environment Groups". Dies sind Security-Gruppen, die verschiedene Bereiche wie beispielsweise Produktion, Test und Entwicklung abgrenzen. Auch hier weisen Sie bestimmte Workloads der jeweiligen Sicherheitsgruppen zu. Zuletzt legen Sie die "Application Groups" an. Hier legen Sie Security-Gruppen für dedizierte Applikationen fest, die in Ihrem Unternehmen im Einsatz sind.

Kommunikationen definieren

Nun beginnen Sie mit dem Erstellen der Firewallregeln. Dieser Konfigurationsabschnitt unterteilt sich in drei Schritte, wie in Bild 4 dargestellt:

1. Zugriff auf die Infrastrukturdienste
2. Festlegen der Kommunikationsbeziehungen zwischen den verschiedenen Umgebungen
3. Definieren der Aktion am Ende des Firewallregelsatzes

Zuerst richten Sie den Zugriff auf die Infrastrukturdienste ein. Als Quellangabe kommt hierbei generell "any" zum Einsatz, da alle Komponenten Zugriff auf DNS, AD, DHCP und NTP benötigen. Als Zielangabe definieren Sie die Infrastrukturgruppen, die Sie zuvor festgelegt haben. Es bleibt Ihnen freigestellt, ob Sie dedizierte Gruppen beispielsweise für DNS nutzen oder eine Gruppe für alle Infrastrukturdienste. Alternativ können Sie auch mit "Child"-Gruppen arbeiten, so etwa eine "Infra"-Gruppe festlegen und darin eine Gruppe für DNS, eine für AD, eine für NTP und eine für DHCP definieren.

Im nächsten Schritt legen Sie die Kommunikation zwischen verschiedenen Umgebungen fest. Sie können etwa definieren, dass die Produktionsumgebung nicht mit der Testumgebung sprechen darf. Anschließend müssen Sie die "Default"-Regel konfigurieren, die am Ende des Firewallregelsatzes greifen soll. Diese setzen Sie zum Beispiel auf "deny all" und verbieten damit alles, was nicht explizit erlaubt ist. Wir empfehlen hierzu, die "Default"-Regel zunächst auf "permit all" zu konfigurieren und das Logging für die Regel zu aktivieren. So lässt sich in den Logs verifizieren, ob Kommunikationen in der "Default"-Regel auftauchen, die eigentlich erlaubt sein sollten. Wenn nur noch ungewollte Zugriffe in dieser Regel auflaufen, können Sie die Methode auf Blockieren umstellen.

Als letzten Punkt überprüfen Sie die Konfigurationen aus dem Wizard nochmals und implementieren sie über den Button "Publish". Anschließend werden Sie über das vCenter-Plug-in direkt auf die NSX-Manager-GUI umgeleitet. Hier können Sie Ihre Security-Gruppen, Tags, Gruppenmitgliedschaften und Firewallregeln nochmal anschauen und bei Bedarf anpassen. Sie haben nun innerhalb kurzer Zeit in einer bestehenden Umgebung mit kleinem Aufwand eine Softwarefirewall implementiert. Im Anschluss lassen sich über den NSX-Manager weitere Firewallregeln definieren.

Weitere Sicherheitsfunktionen

Als zusätzliche Sicherheitsfunktionen am Hypervisor können Sie nun die Features IDPS (Intrusion Detection Prevention System) und Malware-Prevention aktivieren. Für das IDPS-Feature ist keine zusätzliche Management-Plane-Konfiguration notwendig. Die zentrale Komponente ist der NSX-Manager, während ESXi durch die initiale Distributed-Firewall-Implementation bereits für IDPS vorbereitet ist.

Für den Malwareschutz müssen Sie eine sogenannte "NSX Application Plattform" konfigurieren. NAPP benötigt für eine initiale Implementierung eine Kubernetes-Infrastruktur als Basisplattform. Kubernetes lässt sich über TANZU am Hypervisor bereitstellen oder als Vanilla-Kubernetes. Über die NAPP-Plattform werden weitere Funktionen wie NSX Intelligence, Network Traffic Analysis, Metrics und Network Detection and Response zur Verfügung gestellt. Letztendlich bietet VMware mit Carbon Black EDR (Endpoint Detection and Response) noch eine Sicherheitslösung für Endpunkte an.

Die übliche Bezeichnung lautet XDR (Extended Detection and Response), wenn Informationen vom Netzwerk und dem Endpunkt als Quelldaten für eine Sicherheitsplattform zur Verfügung gestellt werden. Nicht zuletzt besteht die Möglichkeit, eine Perimeter-Firewall für den Schutz der Nord/Süd-Kommunikation zu konfigurieren. Die NSX-NGFW (Next-Generation Firewall) bildet Features wie TLS-Inspection, URL-Filterung, IDPS (Intrusion Detection Prevention System) und Malwareschutz ab.

Im Bereich Containerschutz nutzt VMware das NSX-Container-Plug-in (NCP) und Antrea als Container Network Interface (CNI). NCP ist spezifisch für NSX; eine NSX-Konfiguration ist zwingend notwendig. Antrea ist ein Open-Source-CNI und wurde von VMware für die Community bereitgestellt. Eine Integration von NSX und Antrea steht ebenfalls zur Verfügung. Da die Container-Technologie sehr dynamisch ist und Skalierung, Löschen und Neuprovisionierung an der Tagesordnung sind, existieren hier nicht nur Anforderungen an die Sicherheit. Es müssen verschiedene Netze, Loadbalancing für interne und externe Kommunikation und NAT für den ausgehenden Verkehr zur Verfügung stehen. VMware bietet über Tanzu die Möglichkeit, eine Kubernetes-Umgebung direkt am Hypervisor abzubilden. NSX sorgt hierbei für die notwendige Netzwerk- und Sicherheitsstruktur.

Fazit

NSX bietet eine einfache Möglichkeit, Mikrosegmentierung ohne Ausfallzeit in bestehenden Umgebungen zu implementieren. Die Konfiguration im ESXi-Umfeld erfolgt ohne Agenten. Zudem können Bare-Metal-Server geschützt werden. Container lassen sich über VMware-CNIs, NCP oder Antrea ebenfalls absichern. (dr/ln)

Im ersten Teil unseres Workshops beleuchteten wir, wie sich mit Software-defined Networking und Mikrosegmentierung der Grundstein für ein Zero-Trust-Modell legen lässt und wie Sie Workloads in vSphere ohne Ausfallzeit absichern. Im zweiten Teil haben wir Sie durch die Installation des NSX-Managers geführt, die Voraussetzungen in vSphere erläutert und gezeigt, wie Sie die Distributed Firewall betriebsbereit machen.

Über den Autor: Jörg Rösch arbeitet als Lead Solution Engineer Network & Security bei VMware. Er ist seit mehr als 20 Jahren im Netzwerk- und Sicherheitsbereich aktiv und verfügt über detaillierte Kenntnisse in den Bereichen Konzeptionierung, Architektur, Betrieb, Planung und Implementierung.