среда, 3 ноября 2010 г.

Различия VMware vShield Zones и vShield App 4.1 update 1

Если попытаться коротко описать vShield App, то это ни что иное, как более продвинутая (и более дорогая) версия vShield Zones.

Основное назначение vShield Zones и vShield App заключается в возможности создавать правила, которые фильтруют IPv4 пакеты (IPv6 не фильтруется) от виртуальных машин и к виртуальным машинам, подпадающие под определенные правила (совпадение адреса отправителя, адреса получателя, порта и используемого протокола). Какие функции становятся доступными при переходе на vShield App? Давайте посмотрим.

Лицензия на право использования vShield Zones входит в редакции vSphere Advanced, Enterprise или Enterprise Plus; vShield App лицензируется отдельно по количеству защищаемых виртуальных машин.

Обновление с vShield Zones до vShield App производится путем добавления соответствующей лицензии в vCenter Server и не требует установки дополнительных компонентов.

По сравнению с предыдущими версиями vShield Zones, процедура установки в 4.1 существенно упростилась. Больше не требуется загружать и добавлять в vCenter отдельную виртуальную оснастку (appliance) vShield Zones. Вся процедура установки и настройки выполняется из консоли виртуальной машины vShield Manager, которая содержит в себе необходимые компоненты.


Кроме того, больше нет разделения групп портов и виртуальных коммутаторов на незащищенные (Unprotected), подключенные к физическим сетевым адаптерам, и защищенные (Protected), подключенные к виртуальным машинам. После установки агента vShield Zones на сервер ESX правила фильтрации начинают действовать на все виртуальные машины независимо от их расположения.

Правила фильтрации задаются на уровне датацентров (для них можно создавать два типа правил: с высоким и с низким приоритетом), кластеров или групп портов. Вдобавок существует набор правил по умолчанию, которые невозможно изменить или удалить, а можно лишь разрешить или запретить трафик, который подпадает под их действие.

Пакеты анализируются vShield Zones/App в соответствии с существующей таблицей и при нахождении первого подходящего правила отбрасываются или доходят до получателя. Порядок просмотра правил следующий:
  • правила для датацентра с высоким приоритетом;
  • правила для кластера;
  • правила для группы портов;
  • правила для датацентра с низким приоритетом;
  • правила по умолчанию.
Для vShield Zones при редактировании правила администратор может задавать в качестве адреса отправителя и получателя только определенный IP адрес или подсеть.

В vShield App возможности по созданию правил расширены - в качестве источника или назначения трафика можно указывать виртуальные машины, расположенные в определенном датацентре, кластере, группе портов, VLAN'е; либо, наоборот, все виртуальные машины, которые НЕ находятся внутри датацентра, кластера, группы портов.

Администратор также может создавать свои собственные группы безопасности (Security Groups) и включать в них выбранные виртуальные сетевые адаптеры.

Использование групп безопасности может быть полезно, например, когда требуется блокировать трафик от одной виртуальной машины к другой независимо от их текущих сетевых настроек, места расположения или подключения к виртуальному коммутатору.

Средство просмотра графиков и отчетов по типу трафика (VM Flow) было переименовано в Flow Monitoring и перекочевало из vShield Zones в vShield App, что крайне огорчает, т.к. никаких других нововведений замечено не было.

Администратор все также может добавить описание для протоколов (Port Mapping), неизвестных vShield App, для более наглядного их отображения в отчетах и при создании правил.

Наконец, начиная с версии 4.1 Update 1, в vShield App появилась функция SpoofGuard, которая позволяет избежать подмены IP адресов в виртуальных машинах. При включении SpoofGuard
для каждой виртуальной сетевой карты ставится в соответствие один определенный IP адрес (администратор может подтвердить корректность IP адреса вручную или автоматически при первом назначении), в случае изменения IP адреса система заблокирует отправку и прием пакетов на данную сетевую карту до тех пор, пока администратор не подтвердит корректность новых настроек в vShield App.
Share:

1 комментарий: