NSX 服务插入框架允许将安全服务作为附加模块插入到 NSX 中。NSX 提供了用于定义、注册和部署附加安全服务的接口。服务插入允许向 NSX 添加网络和端点安全服务。
NSX 网络侦测(以前称为 NetX)使用服务插入来安装和配置第三方网络安全服务。请参阅“网络侦测”部分。
NSX 端点保护和 NSX 分布式恶意软件防护结合使用服务插入和客户机侦测框架来实现端点安全性。
服务插入
- 定义可以提供的安全服务的性质,例如,网络、端点、恶意软件防护。
- 允许对安全服务提供的安全级别进行分类。例如,基本、普通、全面或白银级、黄金级、白金级等。这是由提供商定义的。
- 允许定义 OVF 规范,其中包含图中所示的合作伙伴 SVM 的多个规格。
服务插入框架使用 vCenter 的 ESXi Agent Manager (EAM) API 部署提供商给定的安全服务 OVF。OVF 将部署到指定为部署目标的 vSphere 计算集群。OVF 的一个实例被部署在目标集群中的每个主机上。这称为服务实例。在主机上部署的虚拟机是服务虚拟机。
服务虚拟机特性
- 在启动任何工作负载虚拟机之前先启动服务虚拟机。
- 无法关闭。
- 如果关闭,则重新启动 。
- 固定到此主机,因此无法迁移到任何其他主机。
使用服务插入框架插入服务的安全服务提供商需要在提供的 OVF 中定义其网络要求。如果解决方案需要外部网络连接,则需要 OVF 来指定其他网络,并且需要管理员在服务部署期间配置此网络。
服务插入框架依赖于 NSX Manager 和 vCenter 来帮助部署安全服务。NSX 服务插入 API 是公共 API,开发安全解决方案的合作伙伴需要遵循此 API 的规范。
关于服务插入的主要概念
服务定义:合作伙伴使用以下属性定义服务:名称、说明、支持的规格、包含网络接口的部署属性以及 SVM 要使用的设备 OVF 软件包位置。
服务配置文件和供应商模板:合作伙伴注册供应商模板,以公开策略的保护级别。例如,保护级别可以分类为黄金级、白银级或白金级。可以从供应商模板创建服务配置文件,这使得 NSX 管理员可以根据自己的偏好来命名供应商模板。对于除客户机侦测以外的服务,可以使用属性进行进一步自定义服务配置文件。然后,可以在端点保护策略规则中使用服务配置文件为 NSX 中定义的虚拟机组配置保护。作为管理员,您可以根据虚拟机名称、标记或标识符创建组。可以选择从单个供应商模板创建多个服务配置文件。
客户机侦测
以端点为中心或需要端点文件、网络、进程等方面情报的安全服务。除了服务插入外,活动还应使用客户机侦测框架。
客户机侦测框架提供了必要的接口,安全解决方案(使用服务插入部署)可以使用这些接口从端点中收集安全上下文。客户机侦测提供了丰富的上下文 API,可根据客户机虚拟机上的 IO 活动提供各种类型的事件。这些事件包括但不限于文件、网络、进程、注册表、系统事件。API 允许在事件上下文中收集其他相关信息。API 还允许通过各种方法按需收集信息。提供了一些接口,用于对端点执行修复操作,例如拒绝对某个文件的访问,或删除发现的恶意文件。
客户机侦测框架需要使用在客户机虚拟机上部署的客户机侦测瘦代理。客户机侦测瘦代理可用于 Windows 和 Linux 操作系统。在 Windows 上,它们随 VMTools 一起打包和交付。Linux Thin Agent 是作为操作系统特定软件包 (OSP) 的一部分提供的。这些软件包托管在 VMware 软件包门户上。
根据 NDA,安全服务提供商可以使用客户机侦测 API。安全服务提供商必须遵循 API 要求,并通过 Vmware 对其服务进行认证。然后,安全提供商提供的 Vmware 认证安全解决方案可作为附加安全服务与 NSX 一起使用。
- 用于将客户机瘦代理收集的事件和信息中继到使用客户机侦测库的安全解决方案的组件被称为上下文 MUX。
- 此组件还会根据受保护虚拟机的策略规则将安全配置文件中继到其保护的安全解决方案。例如,如果客户选择了基本保护配置文件并应用于虚拟机。上下文 MUX 会将此虚拟机 ID 和相应的配置文件信息传播到安全解决方案。
- 客户机侦测框架中的另一个组件在每个主机上作为 OpsAgent 的一部分运行。通过此组件来使用 NSX 定义的安全配置,此配置由基于配置文件、规则和组的策略组成。它使用安全配置,并提供给上下文 MUX。上下文 MUX 使用该信息确定应将哪些客户机虚拟机映射到哪些安全服务以加以保护。
关于客户机侦测的主要概念
文件侦测驱动程序:安装在客户机虚拟机上,可拦截客户机虚拟机上的文件和进程活动。
网络侦测驱动程序:安装在客户机虚拟机上,可拦截客户机虚拟机上的网络流量和用户活动。
