Você pode adicionar componentes de segurança do NSX for vSphere à tela de criação para disponibilizar as configurações definidas para um ou mais componentes da máquina do vSphere no blueprint.

Grupos de segurança, tags e políticas são configurados fora do vRealize Automation no aplicativo NSX.

As configurações de componentes de rede e segurança que você adiciona ao blueprint são derivadas da configuração do NSX for vSphere e do NSX-T. Para obter informações sobre como configurar o NSX, consulte o Guia de Administração na documentação do produto do NSX for vSphere ou a documentação do produto do NSX-T, dependendo de qual aplicativo você estiver usando.

Você pode adicionar controles de segurança a blueprints configurando grupos de segurança, tags e políticas para o recurso de processamento do vSphere no NSX. Depois que você executa as coletas de dados, as configurações de segurança são disponibilizadas para seleção no vRealize Automation.

Para a estratégia de segurança do NSX for vSphere de amostra, veja esta publicação do blog vRealize e NSX.

Grupos de segurança existentes e sob demanda para o NSX for vSphere

Um grupo de segurança é um conjunto de ativos ou de objetos de agrupamento do inventário do vSphere que é mapeado para um conjunto de políticas de segurança, por exemplo, regras de firewall distribuído e integrações de serviço de segurança de terceiros, tais como anti-vírus e detecção de intrusão. O recurso de agrupamento permite criar contêineres personalizados aos quais você pode atribuir recursos, como máquinas virtuais e adaptadores de rede, para a proteção de firewall distribuído. Depois que um grupo é definido, você pode adicionar o grupo como origem ou destino a uma regra de firewall para proteção.

Você pode adicionar grupos de segurança do vSphere existentes ou sob demanda a um blueprint, além dos grupos de segurança especificados na reserva.

Você pode criar um ou mais grupos de segurança sob demanda. Você pode selecionar uma ou mais políticas de segurança para serem configuradas em um grupo de segurança.

Uma política de segurança é um conjunto de serviços de endpoint, firewall e introspecção de rede que podem ser aplicados a um grupo de segurança. Usando um grupo de segurança sob demanda em um blueprint, você pode adicionar políticas de segurança a uma máquina virtual do vSphere. Você não pode adicionar uma política de segurança diretamente a uma reserva. Após a coleta de dados, as políticas de segurança que foram definidas no NSX for vSphere para um recurso de processamento são disponibilizadas para seleção em um blueprint.

Os grupos de segurança são gerenciados no recurso de origem. Para mais informações sobre como gerenciar os grupos de segurança para vários tipos de recurso, consulte a documentação do NSX for vSphere.

Observação:

Quando se ativa o isolamento de aplicativo, é criada uma política de segurança separada. O Isolamento de aplicativo usa um firewall lógico para bloquear todo o tráfego de entrada e de saída para os aplicativos no blueprint. Máquinas de componentes que são provisionadas por um blueprint que contém uma política de isolamento de aplicativo podem se comunicar umas com as outras, mas não podem se conectar fora do firewall a menos que outros grupos de segurança sejam adicionados ao blueprint com as políticas de segurança que permitem o acesso.

Se um blueprint contiver balanceadores de carga e o isolamento de aplicativo estiver habilitado, as VIPs do balanceador de carga serão adicionadas ao grupo de segurança de isolamento de aplicativo como um IPSet. Se um blueprint contiver um grupo de segurança sob demanda associado a uma camada da máquina que está associada a um balanceador de carga, o grupo de segurança sob demanda incluirá a camada da máquina, o IPSet e as VIPs.

Tags de segurança existentes para NSX for vSphere

Você pode adicionar componentes de tag de segurança para NSX for vSphere. A tag de segurança é um objeto qualificador ou uma entrada categorizadora que você pode usar como um mecanismo de agrupamento. Defina os critérios que um objeto deve atender para ser adicionado ao grupo de segurança que você está criando. Isso lhe dá a capacidade de incluir máquinas, definindo um critério de filtro com um número de parâmetros compatíveis para corresponder aos critérios de pesquisa. Por exemplo, você pode adicionar todas as máquinas marcadas com uma tag de segurança especificada a um grupo de segurança.