Você pode adicionar componentes de segurança do NSX à tela de criação para disponibilizar as configurações definidas para um ou mais componentes da máquina do vSphere no blueprint.

Grupos de segurança, tags e políticas são configurados fora do vRealize Automation no aplicativo NSX.

As configurações de componentes de rede e segurança que você adiciona à tela de criação são derivadas da sua configuração do NSX e exigem que você tenha executado uma coleta de dados do inventário do NSX para clusters do vSphere. Os componentes de rede e de segurança são específicos para o NSX e estão disponíveis para utilização apenas com os componentes de máquina do vSphere. Para obter informações sobre a configuração do NSX, consulte o Guia de administração do NSX.

Você pode adicionar controles de segurança a blueprints configurando grupos de segurança, tags e políticas para o recurso de processamento do vSphere no NSX. Depois que você executa as coletas de dados, as configurações de segurança são disponibilizadas para seleção no vRealize Automation.

Grupo de segurança

Um grupo de segurança é um conjunto de ativos ou de objetos de agrupamento do inventário do vSphere que é mapeado para um conjunto de políticas de segurança, por exemplo, regras de firewall distribuído e integrações de serviço de segurança de terceiros, tais como anti-vírus e detecção de intrusão. O recurso de agrupamento permite criar contêineres personalizados aos quais você pode atribuir recursos, como máquinas virtuais e adaptadores de rede, para a proteção de firewall distribuído. Depois que um grupo é definido, você pode adicionar o grupo como origem ou destino a uma regra de firewall para proteção.

Você pode adicionar grupos de segurança do NSX existentes ou sob demanda a um blueprint, além dos grupos de segurança especificados na reserva.

Você pode criar um ou mais grupos de segurança sob demanda. Você pode selecionar uma ou mais políticas de segurança para serem configuradas em um grupo de segurança.

Os grupos de segurança são gerenciados no recurso de origem. Para mais informações sobre como gerenciar os grupos de segurança para vários tipos de recurso, consulte a documentação do NSX.

Se um blueprint contiver um ou mais balanceadores de carga e o isolamento de aplicativo estiver habilitado para o blueprint, os VIPs do balanceador de carga serão adicionados ao grupo de segurança de isolamento de aplicativo como um IPSet. Se um blueprint contiver um grupo de segurança sob demanda associado a uma camada da máquina que também está associada a um balanceador de carga, o grupo de segurança sob demanda incluirá a camada da máquina e o IPSet com o VIP do balanceador de carga.

Tag de segurança

A tag de segurança é um objeto qualificador ou uma entrada categorizadora que você pode usar como um mecanismo de agrupamento. Defina os critérios que um objeto deve atender para ser adicionado ao grupo de segurança que você está criando. Isso lhe dá a capacidade de incluir máquinas, definindo um critério de filtro com um número de parâmetros compatíveis para corresponder aos critérios de pesquisa. Por exemplo, você pode adicionar todas as máquinas marcadas com uma tag de segurança especificada a um grupo de segurança.

Você pode adicionar uma etiqueta de segurança à tela de criação.

Política de segurança

Uma política de segurança é um conjunto de serviços de endpoint, firewall e introspecção de rede que podem ser aplicados a um grupo de segurança. Usando um grupo de segurança sob demanda em um blueprint, você pode adicionar políticas de segurança a uma máquina virtual do vSphere. Você não pode adicionar uma política de segurança diretamente a uma reserva. Após a coleta de dados, as políticas que foram definidas no NSX para um recurso de processamento são disponibilizadas para seleção em um blueprint.

Isolamento de aplicativo

Quando se ativa o isolamento de aplicativo, é criada uma política de segurança separada. O Isolamento de aplicativo usa um firewall lógico para bloquear todo o tráfego de entrada e de saída para os aplicativos no blueprint. Máquinas de componentes que são provisionadas por um blueprint que contém uma política de isolamento de aplicativo podem se comunicar umas com as outras, mas não podem se conectar fora do firewall a menos que outros grupos de segurança sejam adicionados ao blueprint com as políticas de segurança que permitem o acesso.