رفتن به محتوای اصلی
کتاب شبکه بندی گسترده و خدمات امنیتی با NSX-T

بررسی کتاب شبکه سازی گسترده و خدمات امنیتی با NSX-T

اگر قابلیت های سوئیچینگ و مسیریابی در NSX-T Datacenter برایتان جذابیت داشت مطمئن باشید با دانستن و پی بردن به خدمات امنیت و شبکه بندی گسترده این نرم افزار چندین برابر شاید حتی این حس مجدد را بیابید. در پرداخت موضوعات امنیت و شبکه بندی در رده تجاری نویسنده آقای Iwan Hoogendorn (CCIEx6) مفاهیم را در قالب بحث استقرار نرم افزار تشریح می کند و با طرح ساختار یافته موضوعات یادگیری مباحث پیچیده VMware NSX-T را ساده می سازد. یکی از مزیت های جلد دوم کتاب بازبینی مطالب آن است توسط آقایان Rutger Blom و Abdullah Ibrahim Abdulah. آقای عبدا. ابراهیم یکی از طراحان حرفه ای مجازی سازی شبکه از لبنان محسوب می شوند که همین بس که ایشان VCDX-270 را در مدارک خود دارد، و اگر بیشتر بخواهیم بگوئیم دارای 15 سال تجربه حرفه ای در بیش از 80 پروژه داخلی و بین المللی است. با مطلع شدن از دقت و ریزبینی این 3 فرد متبحر در طراحی و استقرار نرم افزار قطعا یادگیری و نصب و استقرار مباحث امنیتی و شبکه VMware NSX-T در بسیاری از بعدها تسهیل خواهد یافت.

جلد دوم از چندین فصل تشکیل یافته است که از ابتدا در زمینه بکارگیری مفهوم شبکه بندی ریز (Micro-Segmentation) و نحوه کنترل امنیت جریان داده های شرق به غرب از طریق ابزار فایروال توزیعی (NSX-T Distributed Firewall) صحبت شده است و نحوه پیاده سازی مفهوم Zero-Trust بیان شده است. اگر پیش از این تجربه کار با ابزارهای امنیت را داشته باشید شاید شروع با فصل اول ساده باشد و به سرعت مطالب را پیش ببرید و به بخش معماری انجام کار برسید که به خوبی نحوه عملکرد VMware NSX-T را در اجرای سیاست های امنیت تشریح نموده است. در ادامه به موضوع امنیت جریان داده شمال به جنوب در سطح مسیریاب لبه شبکه و داخل شبکه پرداخته شده است و جزئیات مرتبط با این موضوع نظیر استقرار کلاستر لبه شبکه و نحوه کارکرد مسیریاب سرویس (Service Gateway) و سبک استفاده از آن بحث شده است.

فصل دوم به خدمات امنیت پیشرفته که از کارکردهای Distributed Intrusion Detection Service سرویس توزیعی شناسایی تهدیدات و Distributed Intrusion Protection Service سرویس توزیعی مقابله با تهدیدات تشکیل شده است می پردازد و این بخش از قابلیت های امنیتی که تازه در مجموعه قابلیت های VMware NSX اضافه شده است تشریح شده است. در این سطح مباحث امنیت در لایه 3 تا 7 براساس نوع شناسایی و مقابله با مخاطرت در هر لایه شرح داده شده است و هدف اصلی نه عمق بخشیدن به جزئیات هر گزینه و قابلیت بلکه یادگیری انواع تاکتیک های برخورد با تهدیدات امنیتی است. از آنجایی که در معماری VMware NSX-T استاندارد کدباز رعایت شده است این امکان وجود دارد تا بتوانید با ترکیب سایر نرم افزارهای تخصصی موجود (نظیر Mcafee) قابلیت های این بخش را توسعه دهید و از آنجایی که هستید تا به رسیدن به وضعیت مطلوب با راهبردی تدریجی پیش بروید.

فصل سوم به موضوع افزودن سرویس های جانبی (Service Insertion) نظیر خدمات بررسی جریان داده از لحاظ آلودگی یا سایر سرویس هایی که بایستی جریان داده ها را بازرسی (Service Inspection) نمایند می پردازد و قابلیت های NSX-T جهت تحقق واقعی یک مرکزداده مبتنی بر نرم افزار (SDDC) بیان می گردد. بازرسی جریان داده ها در هر سمت و با هر سیاستی که به آن تخصیص یابد به این ترتیب با یکپارچه سازی راهکارهای جانبی قابلیت تحقق می یابند.

فصل چهارم اختصاص دارد به ارائه برخی خدمات زیرساختی شبکه نظیر DNS، DHCP، NAT و انواع NAT های پیشرفته در سطوح داخل مرکز داده یا لبه شبکه از طریق مسیریاب. در اینجا جزئیات مقدماتی و پیشرفته آن با استفاده از تصاویر و کشیدن جریان داده های مختلف از نودی به نود دیگر به خوبی بیان شده است.

در ادامه فصل پنجم به موضوع قابلیت های تعدیل بار VMware NSX می رسیم که انواع روش های تعدیل بار براساس نوع بار کاری و میزان منابع مورد استفاده جهت راه اندازی تعدیل بار حرفه ای می رسیم. نرم افزار VMware NSX-T از یک نرم افزار تخصصی تعدیل بار برخوردار است که قادر است از سبک مقیاس پذیری و استقرار متنوعی پشتیبانی نماید. فصل ششم به موضوع قابلیت های اتصال از راه دور (VMware NSX-T VPN) و سازوکارهای مرتبط به آن اختصاص دارد و بسیاری از روش های اتصال ارتباطی نقطه به نقطه و یک نقطه به چند نقطه با استفاده از سازوکارهای IPsec، MPLS و GRE به صورت مرحله به مرجله با شکافتن جزئیات عملکردی هر یک تشریح شده است.

فصل هفتم یکی از قابلیت های کلیدی VMware NSX-T با نام NSX Intelligence و سبک های مختلف نظارت و پایش از طریق هشدار و رخداد را بیان می سازد که به لحاظ دید بخشی به شبکه (Network Visualization) امکانات فوق العاده کاربردی است. دیدبخشی به شبکه که روش آن و نحوه انجام آن در NSX Intelligence آمده نه تنها از حیث مدیریت شبکه می تواند کنترل جریان داده ها را تسهیل بخشد بلکه همچنین به لحاظ امنیت تمامی اتفاقات را می تواند مشاهده و بر اساس قوانین امنیتی مخاطرات و جریان داده های زائد را در چارچوب قوانین دسترسی ایجاد کند.برای مثال، جریان داده های مشکوک بین دور ارتباط قابل رصد شدن است و بعد از آنکه موضوع گزارش می گردد می توان به نرم افزار اجازه داد تا برای آن جریان داده قوانین مسدودسازی را ایجاد کند یا با دسترسی باز. به این ترتیب این میزان عمق بخشی سبب می شود تا مرکز امنیت شبکه لزوما به عملکردهای سرویس های جمع آوری رخداد نظیر Splunk Security وابسته نباشند بلکه بطور Realtime جریان داده را در بطن VMware NSX-T درست در ناحیه ای که جریان داده وقوع می یابد انجام پذیرد. NSX Intelligence این دید واضح و این سرعت عمل را با ترکیب با VMware NSX-T برای مرکزداده به ارمغان می آورد. 

در فصل هشتم جزئیات روش مدیریت ارتباطات براساس مجوزهای دسترسی و اعتبارسنجی (Identity-base Security) بحث شده است و ابزارهای مناسب این کار نظیر VMware Identity Manager (vIDM) یا Workspace Access و نحوه انجام آن مرحله به مرحله توضیح داده شده است. درادامه این موضوع ترکیب نرم افزار VMware NSX-T جهت اعتیارسنجی با سازوکارهای احراز هویت جانبی LDAP و منابع سازگار در این روش بیان شده است و خصوصیات آن تشریح شده است.

در فصل نهم یکی از قابلیت های بسیار ضروری در مدیریت شبکه های بزرگ در چارچوب NSX-T Federation پرداخته شده است. این قابلیت که یکی از امکانات نوین NSX-T Datacenter است این امکان را فراهم می سازد تا با ایجاد یک ساختار درخت واره بزرگ همزمان با توسعه و رشد لایه های شبکه در استقرارهای متعدد سیاست گذاری و مدیریت شبکه به همراه الزامات قانونی تطبیق در همه جا حفظ و بسط پذیر گردد. در این روش که به خوبی نحوه کار NSX-T Datacenter در پدید آوردن چنین ساختاری بیان شده است مدیریت درونی شبکه مانعی نخواهد شد تا یک الگوی فراگیر و استاندارد شکل گیرد، به عبارتی نوع مسیریابی متفاوت و یا ابزارهای بازرسی خللی در شکل گیری یک شبکه یکپارچه نیست و می توان از ارتباط سرویس لبه شبکه استقرار مجازی سازی شبکه مبتنی بر نرم افزار را آغاز کرد و به مرور ساختارهای درونی نامتجانس را در یک قالب مشترک استاندارد مدیریت کرد.حجم مطالب این فصل در تناسب با سایر فصل ها بیشتر است و نحوه بیان و تشریح چگونگی کار برای خواننده علاقه مند لذت مضاعفی را ایجاد خواهد کرد.

در فصل دهم مسائل مرتبط با بکارگیری VMware NSX-T در زیرساخت های ابر عمومی تشریح شده است که در آن انواع سبک استقرار و ایجاد شبکه های ابری از طریق به خدمت گرفتن زیرساخت AWS و Azure در VMware NSX-T Datacenter بیان گردیده است. به سبب پشتیبانی از نرم افزار VMware NSX-T در زیرساخت های ابری مختلف برقراری ارتباط شبکه از طریق این نرم افزار و برخورداری از خدمات ارتباطی چند ابری (Multi-Cloud) با رعایت بسیاری از الزامات مهیا می گردد.

در فصل آخر اتوماسیون و هماهنگ سازی ارتباطات به طریقی که به هوشمندسازی عملکردهای شبکه بی انجامد به مختصر تشریح شده است. نشان داده شده است تا با استفاده از قابلیت های vCloud Automation چه میزان می توان یک زیرساخت را با تنها زدن یک گزینه با تناسب با الزامات و ضرورت ها دگرگون ساخت. خودکار نمودن فعالیت ها و بعد از آن هماهنگ سازی این سبک از فعالیت های اتوماتیک به طور هوشمند در تطبیق با سایر عملکردها کاری است که اکنون با برخورداری یک سکوی یکپارچه از ابتدا تا انتها محقق می گردد. 

جمع بندی

تحقق امنیت در شبکه های گسترده اکنون با عرضه ابزاری که امکانات لازم این کار را در اختیار قرار می دهد شدنی است اما در اینجا آن چیزی که مهم است پیکربندی و استقرار درست VMware NSX-T به عنوان یک راهکار ارتباطی و امنیت مرکز داده است که کتاب معرفی شده قدم بزرگی را در تشکیل درک درست از چشم اندازی بزرگ را فراهم می سازد.

برخورداری از دانش فناوری های نوین ارتباطی نظیر VMware NSX-T Datacenter به صرف وقت و تجربه بلند مدت نیاز دارد و در این مسیر بایستی مطالب و اطلاعات مفید را گردآوری نمود. دراین خصوص کتاب حاضر (Book) و همچنین کانال آموزشی نویسنده (Youtube) منابعی ارزشمند و مفید به حساب می آیند.

 

افزودن دیدگاه جدید

محتوای این فیلد خصوصی است و به صورت عمومی نشان داده نخواهد شد.

کد HTML محدود

  • تگ‌های HTML مجاز: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type='1 A I'> <li> <dl> <dt> <dd> <h2 id='jump-*'> <h3 id> <h4 id> <h5 id> <h6 id>
  • خطوط و پاراگراف‌ها بطور خودکار اعمال می‌شوند.
  • نشانی‌های وب و پست الکترونیکی به صورت خودکار به پیوند‌ها تبدیل می‌شوند.