VMware NSX-T 3.2.0 – Nem csak kozmetika

Egy hete már olvasni internet szerte az új verzióról, demózzák képességeit, de gondoltam én megvárom a kiadás napját, frissítek és megnézem ezeket inkább magam. Na ma reggel – 2021.12.17 – meg is jelent a letölthető csomagok között. A 3.1.3.1-ről frissítés hibátlanul, tökéletesen sikerült. Az NSX-T ATP Sandbox-ot kihagyom, mert számomra még nem világos, hogy az most on premises működik vagy éppen egy felhős sandbox-e.

A legtöbb új funkció a biztonság köré épült, tonnányi új dolog került bele. Néhány már produktív felhasználásra is elképzelhető, de van pár még tech preview állapotban is. Érdekesnek találom, hogy a minden funckióra külön appliance megszűnni látszik, mert úgy tűnik az újabb dolgokat erre az úgynevezett “NSX Application Platform” komponensre teszi rá. (gyártó így hivatkozik erre: NSX Application Platform is a modern microservices platform that hosts several NSX features that collect, ingest, and correlate network traffic data.”) Jelenleg az NSX Intelligence – eddig ez is appliance volt – az NSX NDR és az NSX Malware Prevention használja.

Frissítés után egyébként egy demó fogad, amiben megpróbálja felhívni a figyelmet az újdonságokra és azok helyére a menüben.

Újdonságok

  • az elosztott tűzfal – DFW – már sima mezei vDS-en is támogatott, azaz ha valaki csak ezen security funckió miatt szerentne NSX-et, akkor az overlay-t eddig sem kellett használni, viszont a VLAN backed szegmenseket, melyen a DFW funció elvárt volt, nem kell NSX-ből kezelni. Az is igaz, hogyha a hoszton több vDS van, akkor immáron mindegyiken használható az elosztott tűzfal. Ezzel nagy mértékben egyszerűsödik a security focused kiéptésű rendszerek kezelése, ugyanakkor erősen ki is bővül a használhatóság határa mind előbbi, mind az overlay-el karöltött esetekben.
  • aktív/aktív T0 statikus routing esetén is. Volt vala olyan NSX-T verzió amiben a T0 statikus vagy BGP routing-al volt használható. Aztán jött az OSPF lehetősége, viszont teljesen mindegy most pontosan melyikről beszélünk, de a statikusnak mindig volt egy igen erős megjötése, méghozzá hog csak aktív/standby tudott lenni a T0. Ha semmiféle stateful szolgáltatás se kellett, akkor is csak A/S-t támogatott. Ha pedig nincs szükség stateful szolgátatásra, akkor inkább legyen A/A. Na ezzez korábban mindenképpen BGP/OSPF kellett. A 3.2 ezt feloldja, mostantól statikus esetben is megvalósítható.
  • A pár hete általam is megemlített AVI Load Balancer is erősebb integrációra került az NSX-T lelki világába. Nem rendelkezik már ennyire különálló felülettel, ami a telepítését vagy éppen üzemeltetését jelenti. Ahogyan az NSX Ingelligence is, na körülbelül hasonlóan indítható a AVI Controller telepítése is.

Ki lehet tehát gurítani az NSX Manager-ből, de további beállítása a saját felületén lehetséges, mert ebben csak a konfiguráció áttekintése elérhető.

A release notes viszont ír egy érdekes note-ot:

Lehet én akarom ezt szó szerint értelmezni, de nagyon úgy jön le nekem, hogy itt bizony középtávon az ALB marad és az NSX LB eltűnik, de ki tudja…..

Bizonsággal kapcsolatos újdonságok

Gateway IDS/IPS

Az IDS/IPS képességei tovább bővültek. Eddig az IDS/IPS az a distributed szinten valósult meg. Most a tech preview-ba bekerült ennek értelmezése a gateway-en is (T1). Az által használt szignatúrák is erősen bővültek, eddig sem volt kevés ami benne volt és igen gyakran frissült az adatbázisa. Azonban eddig az volt a legnagyobb hiányossága, hogy csak az ismert támagásokat tudta detektálni/elhárítani. A 3.2-től kezdve már van benne “behaviour-based” védelem is, szóval elég jó esélyekkel indul a zero-day támadások ellen.

Identity firewall – Gateway

Identity based tűzfalazási képessége eddig is volt az NSX-nek, de az a DFW rétegben valósult meg. Na egészen eddig, mostantól már T1/T0-n is lehet ilyen szabályokat létrehozni. Ehhez nyilván kell Active Directory, de ezúttal az is az előnyére lépett előre, már meg lehet adni specifikus OU-t, ahonnan az objektumokat szinkronizálja, nem a teljes domain-nal teszi ugyanezt.

Malware detection/prevention

Ezek mellé megérkezett a Malware Prevention is. Fentebb említettem, hogy ehhez kell egy az NSX Application Platform is.

Lényeges hogy ez szintén két helyen tud megvalósulni:

  • a Gateway tűzfalon – itt csak detektálni képes. Sokféle kategóriát támogat mind helyi, mind felhős vizsgálattal. Ehhez kell az NSX Application platform.
  • a DFW-n – detektálni és megelőzni is tud, de csak WIndows VM-ek esetén. Ehhez pedig a Service VM alapú Guest Interaction kell.

Az ismert kártékony kódokkal kapcsolatban már ismert hash alapú vizsgálatot tud végrehajtani, illetve az ismeretlen fájlok kapcsán helyi és felhős analízisre is képes.

Az IDS/IPS képességhez nem volt szükség internetkapcsolatra – kézzel is lehetett betöltögetni időről időre a szignatúrákat – viszont a “Malware prevention” megköveteli a folyamatos kapcsolatot az internettel – tud használni proxy-t. Erre azért is van szükség, mert ha beállítjuk, akkor elküldi az általunk vizsgálni kívánt formátumú fájlokat a felhőbe és ott tesztelődnek.

A követelmények teljesen világosak. Licenszek kellenek, Edge VM-ek IDS/IPS esetén legalább Large, Malware Prevention esetén Extra Large méretben.

TLS Inspection – tech preview

A T1-eken lehet engedélyezni és kétféle policy-t lehetséges. External és Internal Decryption, de egyszerre csak az egyik.

Gateway URL filtering

A T1 gateway-eken korlátozható policy-k segítségével, hogy honnan pontosan milyen URL-ek irányába engedélyezzük/tiltjuk a kommunikációt. Előre definiált kategóriák is vannak, melyek természetesen gyakran frissülnek.

Hibakeresési lehetőségek

Egyszerűbbé vált a traceflow és a packet capture legalább az overlay-ben kommunikáló VM-ek között.

Sőt a traceflow végre VLAN backed szegmensekkel is hasznáható, bár ez a GUI-n nem elérhető csak API-ból.

Bonus!

Gondolom senki sincs, aki ilyenre vetemedve, de a honor based licensing-nek vége. Ha olyan funkciót használ valaki, amire nincs licensze és frissít, akkor read-only lesz annak a résznek a vége.

Összefoglaló

Licenszelési szempontból is van némi változás, a sok képesség újabb tételeket szült a licenszek fajtája körül. Érdemes tájékozódni, hogy például az ATP funckiókat mihez és milyen formában lehet megvásárolni. Link: (https://docs.vmware.com/en/VMware-NSX-T-Data-Center/3.2/administration/GUID-8C23836B-52A6-4014-A4E0-DC5A4C2787EF.html#GUID-8C23836B-52A6-4014-A4E0-DC5A4C2787EF)

Release notes: https://docs.vmware.com/en/VMware-NSX-T-Data-Center/3.2/rn/vmware-nsxt-data-center-32-release-notes/index.html