Tijdens mij presentaties van NSX bij klanten, zijn er twee vragen die ik heel veelvuldig krijg (en als ik ze niet krijg, dan stel ik de topics zelf ter discussie) over zaken waar NSX ruimte laat voor verbetering en dat zijn:

  • Laag 5-7 bescherming
  • Multi-user omgevingen

De bescherming die NSX standaard biedt, wordt binnen het OSI-model, uitgevoerd op laag 2-4.

Dit houdt in dat het mogelijk is microsegmentatie toe te passen op transportgegevens van een pakketje (bijvoorbeeld het mac-adres of ip-adres van een virtuele machine en het poort-nummer wat in het pakketje gebruikt wordt (dit noemen ze ook wel 5-tuple)). Op deze manier is al heel veel te bereiken. We kunnen daardoor datastromen toestaan waarvan we weten dat ze nodig zijn voor het functioneren van applicaties, maar als er kwaadwillenden gebruik proberen te maken van de toegestane regels (bijvoorbeeld door over een http-verbinding non-http pakketjes te sturen), kunnen ze toch nog datastromen tot stand brengen die ongewenst zijn.

Om dit probleem het hoofd te bieden, biedt NSX al langer de mogelijkheid om een partner-integratie toe te passen, bijvoorbeeld in de vorm van Fortinet FortiGate VMX (iets wat PQR in haar Experience Center kan demonstreren, als u interesse heeft) en uiteraard blijft dit een zeer goede methode om ook pakketjes te kunnen inspecteren.

Met versie 6.4 biedt VMware NSX daarnaast extra bescherming op de hogere lagen binnen het OSI-model, door toevoeging van de “application” context aan de bestaande micro-segmentatie functionaliteit. Hierdoor wordt het mogelijk om niet alleen meer op adres en poort-nummer te filteren, maar ook te bepalen wat er binnen de datastroom is toegestaan, maar ook wat niet. Zo kan in HTTPS-verkeer (poort 443) voortaan bepaald worden dat TLS 1.2 wél is toegestaan, maar TLS 1.0 niet.

Uiteraard blijft de additionele functionaliteit van een Next Generation FireWall (NGFW) recht overeind staan en PQR adviseert u daarin graag.

Multi-user microsegmentatie!

Een tweede toegevoegde functionaliteit in NSX 6.4 maakt me misschien wel nóg enthousiaster, want het is er één waar ik al heel lang op hoop. De mogelijkheid om niet alleen per virtuele machine te segmenteren, maar nog een stap verder te gaan en ook binnen een multi-user omgeving bescherming toe te passen per gebruiker. Zeg maar “nano-segmentatie”. In versie 6.3 en eerder was het al wel mogelijk om gebruik te maken van de Identity Firewall (IDFW). Hiermee kon per gebruiker bepaald worden welke regels moeten worden toegepast. Zo kunnen systemen van een applicatie enkel beschikbaar worden gemaakt aan de gebruikers die er ook daadwerkelijk gebruik van mogen maken. De voorwaarden om hier gebruik van te maken, waren dat er een één-op-één relatie moest bestaan tussen de virtuele machine en de gebruiker. In essentie betekende dat dus dat er gebruik gemaakt moest worden van een VDI-achtige oplossing, zoals VMware Horizon View of Citrix XenDesktop.

Met de introductie van VMware NSX for vSphere 6.4, komt de functionaliteit beschikbaar om ook op een multi-user omgeving (RDSH, Citrix XenApp) per gebruiker te bepalen welke datastromen zijn toegestaan. Dit wordt gedaan doordat NSX kennis neemt van de processen binnen een virtuele machine en aan welke gebruiker deze processen toebehoren. Door deze informatie kan NSX dus bepalen dat (bijvoorbeeld) proces 1022 van gebruiker rjo wél toegang mag hebben tot een bepaalde virtuele machine, terwijl proces 887 van gebruiker vbe (wat hetzelfde poortnummer gebruikt) dat níet mag.

Daarmee zet VMware wat mij betreft een hele grote stap in het optimaal beveiligen van gebruikers-omgevingen. En dat is in mijn opinie toch een onderdeel waar belangrijke focus gerechtvaardigd is. Het is tenslotte het makkelijkste doelwit voor kwaadwillenden! Let wel, deze laatste functionaliteit is enkel beschikbaar in de Enterprise variant van VMware NSX for vSphere.

Uiteraard zijn dit niet de enige nieuwe functies. Een andere wijziging waar lang en met smart op gewacht is: HTML5 ondersteuning!

Wilt u alle wijzigingen tot u nemen, dan verwijs ik u graag naar dit document.

Heeft u nadere vragen of wilt u eens met ons van gedachten wisselen over de vraag wat NSX voor uw organisatie kan betekenen, laat het me dan vooral weten. Stuur een mail naar ronald.de.jong@pqr.nl of neem contact met uw accountmanager op.

Ronald de Jong
Senior consultant

Geplaatst door

Ronald de Jong

Ronald de Jong (1970) is een gedreven en enthousiaste Senior Consultant bij PQR. Hij houdt zich daar vooral bezig met producten uit het VMware-portfolio op het gebied van infrastructuur, zoals vSphere, vSAN, NSX en Cloud Foundation. Hij is benoemd tot vExpert 2016-2020 en tot vExpert NSX 2017-2020. In 2019 heeft hij de 'VMware Partner Personality of the Year'-award mogen ontvangen voor zijn werk in de community. Ronald is spreker op Nederlandse en Belgische community-evenementen en medeorganisator van de vNSTechCon, een community technical conference op het gebied van Networking & Security.