Zum Inhalt springen
en
Banner; Ein Laptop vor grünem Hintergrund  | SPIRIT/21
Von Muhamed Ahmovic am 16.05.2023 IT Security

NSX Intelligence

Was ist NSX Intelligence?

Bei NSX Intelligence handelt es sich um einen Analyse-Engine, der untersucht, welche Art von Datenverkehr über NSX läuft und Empfehlungen für die zu implementierenden Firewall-Regeln abgibt.

Im Wesentlichen betrachtet es den Datenverkehr und kann auf der Grundlage des festgestellten Datenverkehrs eine Reihe von empfohlenen Firewall-Regeln erstellen. Es ist in der Lage, verdächtigen Datenverkehr zu beobachten und diesen Datenverkehr mit einer bekannten Basislinie in der Anwendungsplattform sowie mit einer Reihe von Sensoren, den so genannten “Detectors”, zu vergleichen. Diese basieren auf dem MITRE ATT&CK Framework, um eine intelligente Analyse des Datenverkehrs zu ermöglichen.

NSX Intelligence sammelt Netzwerkverkehrsdaten auf allen Einzel- und Cluster-Hosts in der NSX-Umgebung und erstellt eine detaillierte Visualisierung. Das ermöglicht ein umfassendes Verständnis der Kommunikation zwischen den Workloads und Anwendungen. Als Analyse- und Netzwerk-Traffic-Monitor kann die Intelligence Application Platform also ein Basis-Traffic-Verhalten für alle NSX Data Center-Workloads erstellen.

NSX Intelligence entschärft die Herausforderungen bei der Richtlinienerkennung. Dies geschieht durch die Kombination der folgenden Schlüsselschritte:

  1. Analyse der laufenden Anwendungen und der damit verbundenen Kommunikationsflüsse
  2. Die Erstellung einer umfassenden “Apps & Flows” Karte
  3. Generierung von Empfehlungen für Sicherheitsrichtlinien
  4. 1-Klick-Push von Richtlinien auf verteilte service-definierte Firewall-Knoten
  5. Eine farbkodierte, visuelle Anzeige der tatsächlichen Einhaltung der Mikrosegmentierung.

Voraussetzungen für die NSX Intelligence Installation

Die NSX Application Platform (NAPP), die auf dem Kubernetes läuft, ist eine Grundlage (ab NSX v3.2.0.1) für die folgende NSX Features:

  • Intelligence
  • Network Detection and Response
  • Malware Prevention
  • Metrics

NAPP Systemanforderungen pro NSX Umgebung

  • Supervisor Control Plane: Supervisor Control VMs Size 3 Knoten: 12 vCPU, 48 GB RAM, 96 GB Storage
  • TKG: 1 Control Node und 3 Worker Nodes
  • Control Node: 4 vCPU, 16 GB RAM, 1 TB Storage, 64 GB Ephemeral Storage (etcd)
  • Pro Worker Node: 16 vCPU, 64 GB RAM, 1 TB Storage, 64 GB Ephemeral Storage (containerd)
  • Insgesamt (Supervisor Control Plane VMs und NAPP TKGs): 64 vCPU, 256 GB RAM, 4,4 TB Storage

In einer TKG Umgebung können, aber müssen nicht, alle 4 NSX Features (Intelligence, Network Detection and Response, Malware Protection und Metrics) aktiviert werden. Für NSX Intelligence sind diese System Anforderungen zu erfüllen.

NAPP und Intelligence Skalierung

Komponenten und ihre Maximalgrößen:

  • NAPP K8s Knoten: 8
  • ESXi Hosts: 250
  • VMs: 5.000
  • VMs pro Empfehlung (Microsegmentierung): 100
  • VM Mitglieder in NSX-Gruppe: 100
  • Flows per 5-Min. Interwall: 3 Knoten 500.000 bzw. 8 Knoten 1.000.000
  • Aufbewahrungsfrist: 3 Monate

NAPP Infrastrukturanforderungen

Um NAPP installieren zu können, müssen folgende Anforderungen erfüllt werden:

  • NSX Data Center ab v3.2.0.1
  • Einer dieser Lastverteiler: NSX Embeded LB, HAProxy Appliance oder ALB
  • vSphere v7.0U3c
  • TKG – vSphere with Tanzu (v1.17.17 bis v1.21.6 – Es wird empfohlen v1.20.7 oder neuer zu verwenden - wegen wichtiger Korrekturen und Erweiterungen)
  • Zugriff zur Docker-Registry (Public/VMware oder Private)
  • Zugriff zum Helm-Repository (Public/VMware oder Private)
  • *Ab NSX v3.2.0.1 kann Intelligence ausschließlich auf NAPP installiert werden. Bis NSX v3.2.0.1 konnte Intelligence mit OVA ausgerollt werden.

NAPP Deployment Optionen

Nachdem die Infrastrukturanforderungen erfüllt sind, stehen uns folgende Deployment Optionen zur Verfügung:

  • vSphere with Tanzu und NSX Embeded LB
  • vSphere with Tanzu und VDS - HAProxy Appliance als LB
  • vSphere with Tanzu und NSX mit ALB - ALB Essentials Edition reicht – L4 LB
  • Upstream K8s oder Tanzu Community Edition (von VMware nicht offiziell unterstützt)
    Bei den Optionen 2 und 3 kann NAPP mit „NAPP-Automation-Appliance“ installiert werden.

Architektur-Übersicht für verschiedene NSX Intelligence Szenarien

Eine Grafik, die die Architektur des NSX-Managers mit Internetzuganga zeigt.
Eine Grafik, die die Architektur des NSX-Managers mit Internetzugang in VCF zeigt

Muhamed Ahmovic

Technischer Presales

Muhamed ist verantwortlich für die Konzeption, Planung und Umsetzung von IT-Lösungen mit dem Schwerpunkt auf VMware, Storages und Microsoft. Falls Sie Fragen zu Verschlüsselungstechnologien haben, sind Sie bei ihm an der richtigen Stelle.

Muhamed Ahmovic