NSX は、仮想化されたネットワーク環境にセキュリティを実装できます。
そして、その NSX 自体のセキュリティについてのガイドもあります。
vSphere は、バージョンごとに
セキュリティ強化のためのガイドが公開されています。
VMware Security Hardening Guides
http://www.vmware.com/jp/security/hardening-guides
これの NSX for vSphere(NSX-V)むけのガイドが
コミュニティに公開されています。(Excel シートです)
NSX-v 6.1 - Security Hardening Guide (Community version 1.2)
https://communities.vmware.com/docs/DOC-28142
たとえば「分散 FW は~というように設定すべき」とかではなく、
NSX 自体のインストールや、NSX を構成する仮想アプライアンス(NSX Edge など)の
セキュリティ対策設定について記載されています。
そして、結構、頻繁に更新されています。
このガイドでは、実装項目ごとに、
やるべき内容を要約したような一意の「ID」が振られています。
※IDは数字ではなく、文字列で管理されています。
上記のガイドから、コンポーネントごとに「ID」を抜き出してみました。
どのようなことが記載されているのか、ある程度わかると思います。
| シート | コンポーネント | サブコンポーネント | ガイドのID |
|---|---|---|---|
| Management Plane | NSX Manager | Backup and Restore | backup-excludes |
| backup-user-password | |||
| secure-backup-dir | |||
| secure-sftp-server | |||
| use-sftp | |||
| Certificates | ensure-valid-certificates | ||
| Communication | disable-ssh-manager | ||
| restrict-nsx-access | |||
| General | enable-ntp | ||
| Installation | keep-nsx-patched | ||
| verify-install-media | |||
| Logging | enable-remote-syslog | ||
| secure-syslog-server | |||
| Network | disable-ipv6 | ||
| disable-ipv6-dns | |||
| secure-dns-server | |||
| Ports | block-unused-ports | ||
| REST APIs | monitor-api-use | ||
| Unsupported Software | no-unsupported-software | ||
| User Administration | limit-user-role | ||
| limit-user-scope | |||
| Web UI | password-complexity-webui | ||
| VMware vSphere | All | harden-vsphere-environment | |
| NSX Manager VA | restrict-nsx-va-access | ||
| Control Plane | NSX Controller | Communication | disable-ssh-controller |
| isolate-controller-network | |||
| secure-controller-network | |||
| Ports | block-unused-ports | ||
| VMware vSphere | NSX Controller VA | restrict-nsx-va-access | |
| Data Plane | Hypervisor | - | no-non-hypervisors |
| NSX Edge | Edge Logical Router | disable-ssh-router | |
| enable-md5 | |||
| password-complexity-er | |||
| Edge Service Gateway | disable-ssh-gateway | ||
| NSX vSwitch | vSphere Distributed Switch | reject-forged-transmit-dvportgroup | |
| reject-mac-change-dvportgroup | |||
| reject-promiscuous-mode-dvportgroup | |||
| restrict-vds-access | |||
| Storage | Network | isolate-storage-network | |
| Various | Ports | block-unused-ports | |
| VMware vSphere | Edge VA | restrict-nsx-va-access | |
| VXLAN | Communication | isolate-vxlan | |
| Teaming Policy | use-srcid-lb-option |
NSX-V のセキュリティについて検討したい場合、
このガイドを参考にすると良いと思います。
ただ、このガイドも、vSphere のガイド同様で「どこでも全部、必ずやるべし」というものではなく、
インフラの環境構成や運用方針に合わせて取捨選択が必要だと思いました。
また、各ガイドには具体的な設定方法やAPI についても記載されているので
NSX-V を理解するためにもよい資料だと思います。
他にもNSX のセキュリティ については、下記のドキュメントがあります。
※だいたい、このドキュメントの要素もハーデニングガイドに含まれているようです。
Securing-NSX-vSphere
https://communities.vmware.com/docs/DOC-27674
以上、NSX の セキュリティハーデニングの話でした。