株式会社ネットワールドのエンジニアがお届けする技術情報ブログです。
各製品のエキスパートたちが旬なトピックをご紹介します。

トップ > Nutanix > 【Nutanix初心者と学ぶ】Flow Network Security(マイクロセグメンテーション)

【Nutanix初心者と学ぶ】Flow Network Security(マイクロセグメンテーション)

Nutanix

こんにちは!

ネットワールド Nutanix担当の野村です。

今回はFlow Network Security(FNS)のマイクロセグメンテーション機能をご紹介します。

Flow Network Securityとは…

・Nutanixプラットフォームに組み込まれたソフトウェア定義のネットワークセキュリティ機能

・Nutanix基盤上の仮想マシン通信に対して、ステートフルなファイアウォール機能を提供し、同一ネットワーク上の仮想マシン間にもファイアウォールによる通信制御が可能(マイクロセグメンテーション)

・物理ネットワークに依存せず仮想マシン間トラフィックの通信制御をするため、構成の変更が容易

・仮想マシンの管理はカテゴリ単位でPrism Centralから統合管理可能

(カテゴリと呼ばれるグループなるものを作成し、任意のVMをカテゴリの中にいれる)

 

公式ドキュメントはこちら

https://portal.nutanix.com/page/documents/details?targetId=Nutanix-Flow-Guide-v6_5:Nutanix-Flow-Guide-v6_5

実践

それでは実際に手を動かしながら学んでいきます。

Flow Network Security はPrism Central(PC)から設定・操作を行います。

マイクロセグメンテーション機能の有効化

PCにログイン、[Prism Central 設定]から[マイクロセグメンテーション]を有効化します。

(デフォルトでは無効化さています)

 

有効化すると以下のような表記になります。

 

カテゴリの作成

マイクロセグメンテーションの対象となる仮想マシンのグループであるカテゴリを作成していきます。

 

使用するカテゴリ

○AppType:同じアプリケーションに属する 仮想マシン のグループを定義します。

○AppTier:アプリケーション内で同じ機能を提供する一連のエンティティを定義します。

カテゴリについて↓

https://portal.nutanix.com/page/documents/solutions/details?targetId=TN-2094-Flow:categories.html

 

PCのダッシュボード内にて[管理]→[Categories]から使用するカテゴリを選択します。

(今回は、AppType、AppTierを用います。)

[更新]→[Add More Values]を押下し作成するカテゴリ名を入力し保存します。

作成後の画面です。ちなみにまだこのカテゴリに属するエンティティは存在しないので[No associated entities]の表記になっていますね。

 

仮想マシンとカテゴリの紐づけ

[仮想インフラ]→[VMs]からカテゴリを紐づけたい仮想マシンを右クリックし紐づけを行います。

 

セキュリティポリシーの作成

[Network & Security]の[security Policy]よりセキュリティポリシーを作成します。

今回は以下のように設定してみました。

全ての環境からAppType:BBへの全通信を許可

(自端末からの操作を可能にするため)

AppType:BBからAppTier:1への通信許可はなし

AppType:BBからAppTier:2への通信は3389ポートのみ許可

(通信制御可否の確認のため)

 

ポリシーモードはEnforceモードを選択します。
Monitorモードは実際にはポリシーを適用せずに通信の状況確認するモードです。

実運用ではMonitorモードEnforceモードの流れが推奨されます。

~~~~~~~~~~~~~~~~~~~~~~~~~~

余談

上記、画像のエラー文についてですが、

ネットワークサブネットには3種類あり、オーバーレイサブネット、VLANとしてVLAN BasicサブネットとVLANサブネットがあります。

 

ポリシー作成時点で対象の仮想マシンはVLAN Basicサブネットに属していたため

このままではポリシーが適用されないよというエラーですね。

https://portal.nutanix.com/page/documents/details?targetId=Nutanix-Flow-Network-Security-Guide-v5_1_0:fns-security-policy-vlan-create-pc-t.html

 

今回はVLANサブネットを新規作成し、そちらに仮想マシンを移行することで対応しました。

~~~~~~~~~~~~~~~~~~~~~~~~~~

動作確認

AppType:BBの仮想マシンから、各仮想マシンの3389のポートへRDP接続を試みました。

※10.10.60.65(AppTier:1の仮想マシン)、10.10.60.67(AppTier:2の仮想マシン)

10.10.60.68(AppType:BBの仮想マシン)

 

問題なく制御できていますね‼

 

ちなみに、Show Discovered Trafficを有効化するとポリシー側からも通信の履歴が簡易的に確認できるようになります。

(Monitorモードでは実際のポリシーを適用せずに、ポリシーを適用した想定でのShow Discovered Trafficを確認することができます。

 

以上でマイクロセグメンテーションの設定は終了です。

-----------------------

↓↓↓過去の記事はこちら↓↓↓