NSX 服務插入架構允許將安全性服務當成附加元件插入 NSX 中。NSX 提供了用於定義、登錄和部署附加元件安全性服務的介面。服務插入允許將網路和端點安全性服務新增至 NSX

NSX 服務插入和 Guest Introspection

NSX 網路自我檢查 (以前稱為 NetX) 會使用服務插入來安裝和設定第三方網路安全性服務。請參閱〈網路自我檢查〉一節。

NSX 端點保護和 NSX 分散式惡意程式碼防護使用服務插入和 Guest Introspection 架構的組合來提供端點安全性。

服務插入

此架構提供了一些介面,可供安全性解決方案執行以下操作:
  1. 定義其可提供的安全性服務的性質,例如,網路、端點、惡意程式碼防護。
  2. 允許對安全性服務提供的安全性層級進行分類。例如,基本、一般、全面或銀級、金級、白金級等。這是由提供者定義的。
  3. 允許定義 OVF 規格,其中包含圖中說明的多個合作夥伴 SVM 機器尺寸。

服務插入架構使用 vCenter 的 ESXi Agent Manager (EAM) API 來部署提供者指定的安全性服務 OVF。OVF 將部署到指定為部署目標的 vSphere 計算叢集。OVF 的一個執行個體將部署在目標叢集中的每台主機上。這稱為服務執行個體。在主機上部署的虛擬機器是服務虛擬機器。

服務虛擬機器特性

服務虛擬機器生命週期由 EAM 管理。
  1. 在啟動任何工作負載虛擬機器前會先啟動服務虛擬機器。
  2. 無法關閉。
  3. 如果關閉,則重新啟動。
  4. 已釘選到主機,因此無法移轉至任何其他主機。

使用服務插入架構插入服務的安全性服務提供者需要在提供的 OVF 中定義其網路需求。如果解決方案需要外部網路連線,則需要 OVF 來指定其他網路,且管理員需要在服務部署期間設定此網路。

服務插入架構依賴 NSX Manager 和 vCenter 來協助部署安全性服務。NSX 服務插入 API 是公用 API,開發安全性解決方案的合作夥伴需要遵守此 API。

關於服務性插入的主要概念

  • 服務定義:合作夥伴會使用下列屬性來定義服務:名稱、說明、支援的構成要素、包含網路介面的部署屬性,以及 SVM 所要使用的應用裝置 OVF 套件位置。

  • 服務設定檔和廠商範本:合作夥伴會登錄公開原則之保護層級的廠商範本。例如,保護層級可以是「金級」、「銀級」或「白金級」。服務設定檔可從廠商範本建立,這可讓 NSX 管理員根據其喜好設定為廠商範本命名。對於 Guest Introspection 以外的服務,服務設定檔允許使用屬性進行進一步的自訂。然後,服務設定檔可在端點保護原則規則中用來為 NSX 中定義的虛擬機器群組設定保護。身為管理員,您可以根據虛擬機器名稱、標籤或識別碼來建立群組。您可以選擇性地從單一廠商範本建立多個服務設定檔。

Guest Introspection

以端點為中心或需要端點檔案、網路、程序等方面活動情報的安全性服務。除了服務性插入之外,活動還應使用 Guest Introspection 架構。

Guest Introspection 架構提供了必要的介面,可供安全性解決方案 (使用服務插入部署) 取用,以從端點內收集安全性內容。Guest Introspection 提供了豐富的內容 API,可根據客體虛擬機器上的 IO 活動提供各種類型的事件。這些事件包括但不限於檔案、網路、程序、登錄、系統事件。API 允許在事件內容中收集其他相關資訊。API 還允許透過各種方法隨選收集資訊。提供了一些介面可以對端點進行修復動作,例如,拒絕對檔案的存取或刪除認定為惡意的檔案。

Guest Introspection 架構需要使用在客體虛擬機器上部署的 Guest Introspection 精簡型代理程式。Guest Introspection 精簡型代理程式可用於 Windows 和 Linux 作業系統。在 Windows 上,它們與 VMTools 一起封裝和交付。Linux 精簡型代理程式可作為作業系統特定套件 (Osp) 的一部分。這些套件由 VMware 套件入口網站主控。

Guest Introspection API 可以根據 NDA 提供給安全性服務提供者使用。安全性服務提供者必須遵循 API 需求,並透過 VMware 對其服務進行認證。然後,安全性提供者提供的 VMware 認證安全性解決方案可當成附加元件安全性服務與 NSX 一起使用。

Guest Introspection 架構會使用在 ESX 主機上部署的元件執行以下操作。
  1. 將客體精簡型代理程式收集的事件和資訊轉送至取用 Guest Introspection 程式庫的安全性解決方案的元件稱為內容 MUX。
  2. 此元件還會根據受保護虛擬機器的原則規則將安全性設定檔轉送至其保護的安全性解決方案。例如,如果客戶選取了基本保護設定檔並套用於虛擬機器。內容 MUX 會將此虛擬機器識別碼和對應的設定檔資訊傳播到安全性解決方案。
  3. Guest Introspection 架構中的另一個元件在每台主機上當成 OpsAgent 的一部分執行。此元件可用來取用包含以設定檔、規則和群組為依據的原則的 NSX 定義的安全性組態。其取用安全性組態,並提供給內容 MUX。內容 MUX 會使用該資訊以決定應將哪些客體虛擬機器對應至哪些安全性服務以提供保護。

Guest Introspection 的主要概念

  • 檔案自我檢查驅動程式:安裝在客體虛擬機器上,用來攔截客體虛擬機器上的檔案和程序活動。

  • 網路自我檢查驅動程式:安裝在客體虛擬機器上,用來攔截客體虛擬機器上的網路流量和使用者活動。