NSX在VMware Horizon平台中的应用

1、NSX在VMware Horizon平台中的应用桌面云更大的“东西向”受攻击面与物理客户端不同，虚拟化客户端计算：暴露了数据中心内的巨大攻击面桌面和基础架构间具有多个分散的“东西向”流用户行为零日威胁不安全的Internet 网站桌面到桌面的 黑客攻击桌面到服务器的 黑客攻击东西虚拟桌面数据中心SAP、Oracle、 Exchange 等企业级存储其他用户WWW零信任网络安全体系架构NSX为VDI基础架构提供一致的安全策略每个工作负载都有：独立的防火墙独立的安全策略策略能基于任意属性定义：VM属性网络属性应用属性用户身份Desktop Pool网络边界3NSX分布式防火墙L2-L7东西向安全防

2、护支持Horizon协议APP-ID简化Horizon安全策略的管理Layer 2 Layer 4TCP/UDP 443,8443,22443,321114Layer 7 App IDAPP_ID BLAST | APP_ID - PCoIPNSX分布式防火墙跨所有VDI组件安全超越单独的VDI 和虚拟机App Volumes ManagersConnection ServersUnified Access Gateways5概述基于Active Directory(AD)组成员身份的防火墙规则例如：doctors or surgeons, HR, admin, sales, etc.NSX安

3、全组的定义安全组中的成为是AD组将安全组做为DFW策略规则的源优势基于用户身份的网络安全 策略驱动NSX基于身份的分布式防火墙IDFW：策略驱动的基于用户身份的微分段6NSX在Horizon中的应用场景概述第三方集成无代理杀毒边界防火墙IDS/IPS为桌面和RDSH提供基于身 份的DFW后台服务器之间的安全隔离高级负载均衡/应用交付GSLBWAF应用端到端延时，排错网络虚拟化，部署多租户桌面池提供大二层网络部署桌面池NATDHCP relay东西向安全防御高级安全防御多桌面池部署高级负载均衡NSX微分段桌面云应用场景EUC管理组件的安全控制不同桌面池之间以及桌面池内部 的安全控制桌面到后台服务

4、器的安全控制Developer PoolContractor PoolvSphere / NSX / IdentityEUC Management SystemsRDSH8NSX基于身份的防火墙与Horizon集成使用NSX之前所有桌面之间都可以自由的通信如果一个桌面出现安全问题，它会横向蔓延到 其它的桌面使用NSX之后桌面级安全控制基于用户/组的访问权限可以根据需求将桌面访问后台应用的流量重定 向到NGFW文件服务器人力资源财务邮件系统lSharePointNetworkHuman ResourcesFinanceBob (HR)Lucy (Finance)9根据日期和时间应用不同的安全策略

5、能与VDI/RDSH组合使用支持DFW和边界防火墙使用场景仅允许在工作时间访问特定的应用程序在应用程序维护期间限制客户端的访问在VDI/RDSH环境下特定的用户在指定 的时间段内允许/禁止访问特定的应用程 序NSX基于时间的访问控制安全策略可以在指定的时间段内生效Monday-Friday 7 AM- 7PMMonday-Friday 7 PM- 7 AMSaturday-SundayAppDBFinance-App-1HR-App-1Web10深入洞察桌面云访问的URL11云桌面无代理杀毒概述传统杀毒需要在操作系统中安装agent NSX为endpoint提供一个安全基础平台优势与第三方集成

6、实现无代理杀毒NSX不再需要GI VM，主机上部署SVM由于不需要在操作系统中安装agent，减轻了CPU和内存的 消耗Partner SVMVMware ToolsvSphere HostNSX-T Manager ClusterPartner ConsoleVMware Tools12利用NSX实现多租户虚拟桌面池的部署为桌面池提供边界防火墙与第三方集成提供东西向和南 北向服务插入东西向安全防护提供多租户的桌面池的能力桌面部署解耦底层物理网络架 构为桌面提供DHCP relay提供NAT服务13NSX ALB在VDI基础架构中的应用桌面池跨站点/跨云部署，GSLBUAG可靠性和负载均衡Co

7、nnection Server可靠性和负载均衡 APP Volumes可靠性和负载均衡桌面池访问后台应用负载均衡 桌面池访问后台应用WAF桌面池访问后台应用端到端延时可视性14NSX ALB在VDI基础架构中的应用提供端到端延时可视性1520NSX与第三方安全集成实现云桌面及后台服务器多层安全防护Partner SVMVMVMVMVMService ClusterPartner SVMVMVMVMVMPartner SVM分布式第三方高级服务插入每主机部署第三方服务虚拟机集中式第三方高级服务插入统一资源池VMVMT0L2Partner SVM南北向高级服务插入东西向高级服务插入基于NSX桌面云

8、安全解决方案优势服务器资源池虚拟桌面资源池防病毒防恶意软件IPS等的第三方集成防恶意 软件防火墙IPS第三方安全厂商:Trend/McAfee/Symantec 防病毒简化部署无需Hypervisor 安装无需重启精细化控制自动化标签部署桌面系统的安全挑战传统的边界防火墙难以控制管理同一安全区 内部计算节点间的通信桌面访问安全策略管理复杂、动态，传统防火墙 易成管理与性能瓶颈桌面之间的安全桌面到服务器的安全财务人事研发Version 11.0Enable VMCI DriverEnable NSX File Introspection DriverEnable NSX Network Intr

9、ospection Driver*VMware Tools Full Installation adds these by defaultIdentity FirewallThin Agent installation with VMware Tools19Micro-Segmentation of each session for Horizon RDSH based on User-IDProvides granular application access to simultaneously logged-in usersContext-aware support for virtual

10、 user sessions running on RDSHMulti-User & Multi-Session identificationOverviewBenefitsIdentity FirewallVDI and RDSHEach user is presented an entire desktop VMVDI DesktopsRDSH SessionsHorizon Published AppsFirewall rule based on a single User on a per vNIC basisFirewall rule based on multiple (User

11、+ Session) on a per vNIC basisRDSHEach user is presented with an app or session inside a shared VM20Horizon controls user entitlement to the desktop or RDSH VMsNSX-T controls access to destination servers from source VMNSX-T Security Policy configuration is same for RDSH/ desktopsUtilizesGuest Introspection VM