Silberner Koffer auf Tisch vor schwarzem Hintergrund

NSX Intelligence

TechTalk: NSX Intelligence – Deployment-Voraussetzungen und Anforderungen für verschiedene Szenarien

Von Muhamed Ahmovic am 16.05.2023

NSX Intelligence

Was ist NSX Intelligence?

Bei NSX Intelligence handelt es sich um einen Analyse-Engine, der untersucht, welche Art von Datenverkehr über NSX läuft und Empfehlungen für die zu implementierenden Firewall-Regeln abgibt.

Im Wesentlichen betrachtet es den Datenverkehr und kann auf der Grundlage des festgestellten Datenverkehrs eine Reihe von empfohlenen Firewall-Regeln erstellen. Es ist in der Lage, verdächtigen Datenverkehr zu beobachten und diesen Datenverkehr mit einer bekannten Basislinie in der Anwendungsplattform sowie mit einer Reihe von Sensoren, den so genannten "Detectors", zu vergleichen. Diese basieren auf dem MITRE ATT&CK Framework, um eine intelligente Analyse des Datenverkehrs zu ermöglichen.

NSX Intelligence sammelt Netzwerkverkehrsdaten auf allen Einzel- und Cluster-Hosts in der NSX-Umgebung und erstellt eine detaillierte Visualisierung. Das ermöglicht ein umfassendes Verständnis der Kommunikation zwischen den Workloads und Anwendungen. Als Analyse- und Netzwerk-Traffic-Monitor kann die Intelligence Application Platform also ein Basis-Traffic-Verhalten für alle NSX Data Center-Workloads erstellen.

NSX Intelligence entschärft die Herausforderungen bei der Richtlinienerkennung. Dies geschieht durch die Kombination der folgenden Schlüsselschritte:

1. Analyse der laufenden Anwendungen und der damit verbundenen Kommunikationsflüsse

2. Die Erstellung einer umfassenden "Apps & Flows" Karte

3. Generierung von Empfehlungen für Sicherheitsrichtlinien

4. 1-Klick-Push von Richtlinien auf verteilte service-definierte Firewall-Knoten

5. Eine farbkodierte, visuelle Anzeige der tatsächlichen Einhaltung der Mikrosegmentierung.

Voraussetzungen für die NSX Intelligence Installation

Die NSX Application Platform (NAPP), die auf dem Kubernetes läuft, ist eine Grundlage (ab NSX v3.2.0.1) für die folgende NSX Features:

  • Intelligence
  • Network Detection and Response
  • Malware Prevention
  • Metrics

NAPP Systemanforderungen pro NSX Umgebung

  •  Supervisor Control Plane: Supervisor Control VMs Size 3 Knoten: 12 vCPU, 48 GB RAM, 96 GB Storage
  • TKG: 1 Control Node und 3 Worker Nodes

Control Node: 4 vCPU, 16 GB RAM, 1 TB Storage, 64 GB Ephemeral Storage (etcd)

Pro Worker Node: 16 vCPU, 64 GB RAM, 1 TB Storage, 64 GB Ephemeral Storage (containerd)

  • Insgesamt (Supervisor Control Plane VMs und NAPP TKGs): 64 vCPU, 256 GB RAM, 4,4 TB Storage

In einer TKG Umgebung können, aber müssen nicht, alle 4 NSX Features (Intelligence, Network Detection and Response, Malware Protection und Metrics) aktiviert werden. Für NSX Intelligence sind diese System Anforderungen zu erfüllen.

NAPP und Intelligence Skalierung

Komponenten und ihre Maximalgrößen:

  • NAPP K8s Knoten: 8
  • ESXi Hosts: 250
  • VMs: 5.000
  • VMs pro Empfehlung (Microsegmentierung): 100
  • VM Mitglieder in NSX-Gruppe: 100
  • Flows per 5-Min. Interwall: 3 Knoten 500.000 bzw. 8 Knoten 1.000.000
  • Aufbewahrungsfrist: 3 Monate

NAPP Infrastrukturanforderungen

Um NAPP installieren zu können, müssen folgende Anforderungen erfüllt werden:

  • *NSX Data Center ab v3.2.0.1
  • Einer dieser Lastverteiler: NSX Embeded LB, HAProxy Appliance oder ALB
  • vSphere v7.0U3c
  • TKG – vSphere with Tanzu (v1.17.17 bis v1.21.6 – Es wird empfohlen v1.20.7 oder neuer zu verwenden - wegen wichtiger Korrekturen und Erweiterungen)
  • Zugriff zur Docker-Registry (Public/VMware oder Private)
  • Zugriff zum Helm-Repository (Public/VMware oder Private)

*Ab NSX v3.2.0.1 kann Intelligence ausschließlich auf NAPP installiert werden. Bis NSX v3.2.0.1 konnte Intelligence mit OVA ausgerollt werden.

NAPP Deployment Optionen

Nachdem die Infrastrukturanforderungen erfüllt sind, stehen uns folgende Deployment Optionen zur Verfügung:

  • vSphere with Tanzu und NSX Embeded LB
  • vSphere with Tanzu und VDS - HAProxy Appliance als LB
  • vSphere with Tanzu und NSX mit ALB - ALB Essentials Edition reicht – L4 LB
  • Upstream K8s oder Tanzu Community Edition (von VMware nicht offiziell unterstützt)

Bei den Optionen 2 und 3 kann NAPP mit „NAPP-Automation-Appliance“ installiert werden.

Architektur-Übersicht für verschiedene Szenarien

mit Internetzugang

NSX Manager mit Internetzugang
NSX Manager mit Internetzugang in VCF

ohne Internetzugang

NSX Manager ohne Internetzugang
NSX Manager ohne Internetzugang in VCF

Die Harbor, die mit Tanzu (TKGs) bereitgestellt wird, ist für die NAPP Installation nicht geeignet.

Muhamed Ahmovic, Technischer Presales

+49 172 629 6400
amuhamed@spirit21.com

Muhamed ist verantwortlich für die Konzeption, Planung und Umsetzung von IT-Lösungen mit dem Schwerpunkt auf VMware, Storages und Microsoft. Falls Sie Fragen zu Verschlüsselungstechnologien haben, sind Sie bei ihm an der richtigen Stelle.

Weitere Beiträge

Grafik, die ein Schloss in einer Art Weltraum zeigt

Security Check nach BSI Anforderungen

Wie der BSI-Grundschutz konkret umgesetzt werden kann erläutern wir in diesem Artikel.

Von Patrick Fischer am 01.07.2021

„BSI IT-Grundschutz, Fluch oder Segen?“ – ein Statement

Ist Sicherheit nur lästig und aufwendig? Oder wurde mit dem BSI IT-Grundsatz ein Werkzeug geschaffen, dass Sicherheit leichter macht?

Von Steffen Schmack am 06.05.2021

Grafik einer Wolke, in der ein Vorhängeschloss ist, im Hintergrund binärer Code

Sicher und mit gutem Gefühl in die Cloud

Wie schafft man es, eine Cloud-Umgebung sowohl jederzeit verfügbar wie auch sicher gegen Datenverlust zu machen?

Von Patrick Fischer am 02.11.2021

Zwei aufgeklappte Laptops und zwei paar Männerhände, die daran arbeiten © Scott Graham @ Unsplash

Risikoanalyse nach BSI-Standard 200-3 – (nicht nur) als Teil des BSI IT-Grundschutzes

Risikomanagement ist als separater Standard innerhalb des BSI-IT-Grundschutzes auch unabhängig von anderen Methoden und Maßnahmen ein äußerst sinnvoller Beitrag, um Informationssicherheit zu gewährleisten.

Von Steffen Schmack am 13.01.2022

Zertifikatsverwaltung in VMWare

Unter bestimmten Umständen kann es Sinn machen, die standardmäßigen VMware Zertifikate zu ersetzen. Dafür gibt es verschiedene Methoden, die wir hier genauer beleuchten.

Von Muhamed Ahmovic am 11.01.2022

Grafik, die eine Wolke zeigt, in die Pfeile hinein und hinausführen

Sicherer Datenaustausch mit der Cloud

Wie gut sind meine Daten auf dem Weg in die Cloud geschützt? Ein Leitfaden, wie man Verluste und Angriffe vermeiden kann.

Von Patrick Fischer am 19.01.2022

Wir nutzen sogenannte Cookies, um Daten darüber zu bekommen, wie und mit welchen Endgeräten unsere Seiten besucht werden. Das hilft uns sehr dabei, die Seiten noch interessanter und bedienungsfreundlicher zu machen. Dabei berücksichtigen wir natürlich Ihre Präferenzen und schalten das SPIRIT/21-Analytics nur dann scharf, wenn Sie durch einen Klick auf „Cookies akzeptieren“ Ihr Einverständnis geben. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen finden Sie unter Cookie Einstellungen und in unserer
Datenschutzerklärung