NSX は、仮想化されたネットワーク環境にセキュリティを実装できます。

そして、その NSX 自体のセキュリティについてのガイドもあります。

 

vSphere は、バージョンごとに

セキュリティ強化のためのガイドが公開されています。

VMware Security Hardening Guides

http://www.vmware.com/jp/security/hardening-guides

 

これの NSX for vSphere(NSX-V)むけのガイドが

コミュニティに公開されています。(Excel シートです)

NSX-v 6.1 - Security Hardening Guide (Community version 1.2)

https://communities.vmware.com/docs/DOC-28142


たとえば「分散 FW は~というように設定すべき」とかではなく、

NSX 自体のインストールや、NSX を構成する仮想アプライアンス(NSX Edge など)の

セキュリティ対策設定について記載されています。

そして、結構、頻繁に更新されています。


このガイドでは、実装項目ごとに、

やるべき内容を要約したような一意の「ID」が振られています。

※IDは数字ではなく、文字列で管理されています。

上記のガイドから、コンポーネントごとに「ID」を抜き出してみました。

どのようなことが記載されているのか、ある程度わかると思います。

シートコンポーネントサブコンポーネントガイドのID
Management
Plane
NSX ManagerBackup and Restorebackup-excludes
backup-user-password
secure-backup-dir
secure-sftp-server
use-sftp
Certificatesensure-valid-certificates
Communicationdisable-ssh-manager
restrict-nsx-access
Generalenable-ntp
Installationkeep-nsx-patched
verify-install-media
Loggingenable-remote-syslog
secure-syslog-server
Networkdisable-ipv6
disable-ipv6-dns
secure-dns-server
Portsblock-unused-ports
REST APIsmonitor-api-use
Unsupported Softwareno-unsupported-software
User Administrationlimit-user-role
limit-user-scope
Web UIpassword-complexity-webui
VMware vSphereAllharden-vsphere-environment
NSX Manager VArestrict-nsx-va-access
Control
Plane
NSX ControllerCommunicationdisable-ssh-controller
isolate-controller-network
secure-controller-network
Portsblock-unused-ports
VMware vSphereNSX Controller VArestrict-nsx-va-access
Data PlaneHypervisor-no-non-hypervisors
NSX EdgeEdge Logical Routerdisable-ssh-router
enable-md5
password-complexity-er
Edge Service Gatewaydisable-ssh-gateway
NSX vSwitchvSphere Distributed Switchreject-forged-transmit-dvportgroup
reject-mac-change-dvportgroup
reject-promiscuous-mode-dvportgroup
restrict-vds-access
StorageNetworkisolate-storage-network
VariousPortsblock-unused-ports
VMware vSphereEdge VArestrict-nsx-va-access
VXLANCommunicationisolate-vxlan
Teaming Policyuse-srcid-lb-option

 

NSX-V のセキュリティについて検討したい場合、

このガイドを参考にすると良いと思います。

ただ、このガイドも、vSphere のガイド同様で「どこでも全部、必ずやるべし」というものではなく、

インフラの環境構成や運用方針に合わせて取捨選択が必要だと思いました。

 

また、各ガイドには具体的な設定方法やAPI についても記載されているので

NSX-V を理解するためにもよい資料だと思います。

 

他にもNSX のセキュリティ については、下記のドキュメントがあります。

※だいたい、このドキュメントの要素もハーデニングガイドに含まれているようです。

Securing-NSX-vSphere

https://communities.vmware.com/docs/DOC-27674

 

以上、NSX の セキュリティ ハーデニングの話でした。