VMware vSphere服务器虚拟化实验十五 vCenter vShield Manager
VMware vShield Manager是专为 VMware vCenter Server 集成而构建的安全虚拟设备套件,在vShield5 5.1时被重新命名为VMware vCloud Networking and Security并得到了增强。vShield 是保护虚拟化数据中心免遭攻击和误用的关键安全组件,可帮助您实现合规性强制要求目标,包含对保护虚拟机至关重要的虚拟设备和服务。可通过基于 Web 的用户界面、vSphere Client 插件、命令行界面 (CLI) 和 REST API 安装、配置和维护 vShield。vShield Manager 是 vShield 的集中式网络管理组件,可作为虚拟设备安装在 vCenter Server 环境中的任意ESX™ 主机上。vShield Manager 可在与安装 vShield 代理不同的 ESX 主机上运行。一个 vShield Manager 可管理一个 vCenter Server 环境和多个 vShield App、vShield Edge、vShield Endpoint和 vShield Data Security 实例。使用 vShield您可以为各种虚拟机部署构建安全区域。您可以根据特定应用程序、网络分段或自定义合规性因素隔离虚拟机。确定区域分配策略后,可以通过部署 vShield 在这些区域中强制实施访问规则。

以下是 vShield 组件包介绍:
A.vShield Manager: vShield Manager 是 vShield 的集中式网络管理组件,可作为虚拟设备安装在 vCenter Server 环境中的任意ESX™ 主机上。vShield Manager 可在与安装 vShield 代理不同的 ESX 主机上运行。使用 vShield Manager 用户界面或 vSphere Client 插件,管理员可以安装、配置和维护 vShield 组件。vShieldManager 用户界面利用 VMware Infrastructure SDK 显示 vSphere Client 清单面板的副本,并包含 Hosts &Clusters 和 Networks 视图。(注:不需要许可证,包含在vCenter上)

B.vShield App:vShield App 是基于管理程序的防火墙,可保护虚拟数据中心中的应用程序免遭基于网络的攻击。组织可查看和控制虚拟机之间的网络通信。您可以基于逻辑构造(如 VMware vCenter™ 容器和 vShield 安全组),而不仅是基于物理构造(如 IP 地址)来创建访问控制策略。此外,可变 IP 寻址会提供在多租户区域中使用同一 IP地址简化置备的功能。应当在群集内的每台 ESX 主机上安装 vShield App,这样 VMware vMotion 操作便可正常运行,且虚拟机在ESX 主机之间迁移时仍会受保护。默认情况下,使用 vMotion 无法移动 vShield App 虚拟设备。Flow Monitoring 功能会显示在应用程序协议级别的虚拟机之间的网络活动。您可以使用此信息审核网络流量、定义和细化防火墙策略以及识别对网络的威胁。(要许可证)

C.vShield Edge:vShield Edge 可提供网络边缘安全和网关服务,用于隔离端口组、vDS 端口组或 Cisco Nexus 1000V 端口组中的虚拟化网络或虚拟机。可以在数据中心级别安装 vShield Edge 并添加多达十个内部或上行链路接口。vShieldEdge 通过提供 DHCP、VPN、NAT 和负载平衡等常见网关服务将隔离的末端网络连接到共享(上行链路)网络。vShield Edge 通常部署在 DMZ、VPN 外联网和多租户云计算环境中,vShield Edge 在这些环境中为虚拟数据中心 (Virtual Datacenter, VDC) 提供外围安全保护。而且vShield Edge 支持将所有服务的 syslog 导出到远程服务器。(要许可证)

D.vShield Endpoint:vShield Endpoint 可将防病毒和防恶意软件代理处理任务转移到 VMware 合作伙伴提供的专用安全虚拟设备上。由于安全虚拟设备(与客户机虚拟机不同)不会脱机,因此可以不断地更新防病毒签名,从而为主机上的虚拟机提供持续保护。另外,还可以在新虚拟机(或处于脱机状态的现有虚拟机)联机时,立即使用最新防病毒签名保护这些虚拟机。vShield Endpoint 可作为虚拟化管理程序模块和来自第三方防病毒供应商(VMware 合作伙伴)的安全虚拟设备安装在 ESX 主机上。管理程序可从外部扫描客户机虚拟机,而无需从每个虚拟机中的代理进行扫描。这使vShield Endpoint 在优化内存使用情况的同时更为有效地避免出现资源瓶颈。(要许可证)

E.vShield Data Security:可通过 vShield Data Security 查看存储在组织的虚拟化环境和云环境中的敏感数据。根据 vShield Data Security报告的冲突,您可以确保敏感数据受到充分保护,并且能评估与周围环境中的法规是否相符。(要许可证)

vShield部署方案:
A.保护 DMZ:DMZ 是指混合信任区域。客户端从 Internet 进入以获取 Web 和电子邮件服务,DMZ 中的服务可能要求访问内部网络中的服务。可以将 DMZ 虚拟机置于一个端口组中,并使用 vShield Edge 对该端口组进行保护。vShield Edge 提供防火墙、NAT 和 VPN 以及负载平衡等访问服务来保护 DMZ 服务。要求访问内部服务的 DMZ 服务的一个常见示例是 Microsoft Exchange。Microsoft Outlook Web Access (OWA)通常驻留在 DMZ 群集中,而 Microsoft Exchange 后端位于内部群集中。在内部群集中,您可以创建相关防火墙规则,以仅允许来自 DMZ 的 Exchange 相关请求,标识特定的源到目标参数。在 DMZ 群集中,您可以创建相关规则,将对 DMZ 的外部访问仅限于使用 HTTP、FTP 或 SMTP 协议的特定目标。

B.隔离和保护内部网络:可以使用 vShield Edge 将内部网络与外部网络隔离。vShield Edge 提供外围防火墙保护和边界服务,以保护端口组中的虚拟机,并支持通过 DHCP、NAT 和 VPN 与外部网络通信。在安全的端口组内,可以在 VDS 所跨的每个 ESX 主机上安装一个 vShield App 实例,从而保护内部网络中虚拟机之间的通信。如果您利用 VLAN 标记对流量进行分段,可以使用 App Firewall 创建智能访问策略。借助 App Firewall(而不是物理防火墙),可以合并或混合共享 ESX 群集中的信任区域。这样,您会获得 DRS 和 HA 等功能的最佳利用率和整合效果,而不是拥有单独的分段群集。将整个 ESX 部署作为单个池来管理远没有单独管理多个池复杂。例如,可根据逻辑、组织或网络边界使用 VLAN 对虚拟机区域分段。vShield Manager 利用 Virtual InfrastructureSDK,其清单面板会在 Networks 视图下显示 VLAN 网络视图。您可以为每个 VLAN 网络构建访问规则来隔离虚拟机并丢弃传输到这些计算机的未标记流量

C.保护群集中的虚拟机:可以使用 vShield App 保护群集中的虚拟机。群集中的每台 ESX 主机上都安装了 vShield App。当通过 vMotion 或 DRS 在群集中的 ESX 主机之间移动虚拟机时,虚拟机仍受保护。每个 vApp 共享和维护所有传输状态。安装在群集中每个 ESX 主机上的 vShield App 实例

vShield 组件之间的通信:应将 vShield 组件的管理接口放置在公共网络(如 vSphere 管理网络)中。vShield Manager 必须可以连接到vCenter Server、ESXi 主机、vShield App 和 vShield Edge 实例、vShield Endpoint 模块和 vShield DataSecurity 虚拟机。vShield 组件可以通过路由连接及不同的 LAN 进行通信。VMware 建议您将 vShield Manager 安装在专用的管理群集(独立于 vShield Manager 管理的群集)上。每个 vShield Manager 将管理一个 vCenter Server 环境。如果 vCenter Server 或 vCenter Server 数据库虚拟机位于您要安装 vShield App 的 ESX 主机上,请在安装vShield App 之前将其迁移到其他主机上。确保打开以下端口:
1)来自、到达以及在 ESX 主机、vCenter Server 和 vShield Data Security 之间的端口 443/TCP
2)用于时间同步的 vShield Manager 和 vShield App 之间的 UDP123
3)用于使用 REST API 调用的从 REST 客户端到 vShield Manager 的 443/TCP
4)用于使用 vShield Manager 用户界面并启动与 vSphere SDK 的连接的 80/TCP 和 443/TCP 用于在 vShield Manager 和 vShield App 之间进行通信并排除 CLI 故障的 22/TCP

说明:
环境基于实验十四,本次实验只安装vShield Manager,不做保护部署规划,测试环境有限制

1、在VMware官网下载测试版vShield Manager 5.1的OVA模版

2、打开vSphere Client通过部署OVF功能,导入vShield Manager 5.1的OVA模版创建虚拟机,并根据向导设置好然后设置虚拟机的配置,否则测试环境可能无法启动,最后启动虚拟机

3、部署完vShield Manager虚拟机后,在vSphere Client中打开控制台登录(默认用户:admin,密码:default),在manager提示中输入enable,在Password中输入default启用设置模式,然后在设置模式输入setup开始设置过程,CLI setup 向导会引导您完成为 vShield Manager 的管理接口分配 IP 地址并标识默认网络网关的过程。管理接口的 IP 地址必须可供 vCenter Server、ESXi 主机、所有已安装的 vShield App、vShield Edge 和vShield Endpoint 实例以及用于系统管理的 Web 浏览器访问。配置完成别忘了重启虚拟机

4、完成了vShield Manager虚拟机的初始化后,通过Chrome浏览器使用IP地址https://214.214.51.71访问vShield Manager(IE浏览器支持不好),然后添加vCenter服务器等设置

5、重新打开vSphere Client,打开vShield的菜单观察变化