Mit Service Composer können Sie Netzwerk- und Sicherheitsdienste für Anwendungen in einer virtuellen Infrastruktur bereitstellen und zuweisen. Sie können diese Dienste einer Sicherheitsgruppe (Security Group) zuweisen. Diese Dienste werden auf die virtuellen Maschinen in der Sicherheitsgruppe angewendet.

Security Group

Zuerst erstellen Sie eine Sicherheitsgruppe, um die Assets zu definieren, die geschützt werden sollen. Sicherheitsgruppen können statisch (dazu gehören bestimmte virtuelle Maschinen) oder dynamisch sein, wobei die Mitgliedschaft auf eine der folgenden Weisen definiert werden kann:

  • vCenter-Container (Cluster, Portgruppen oder Datencenter)
  • Sicherheits-Tags, IPset, MACset oder sogar andere Sicherheitsgruppen. Beispielsweise können Sie ein Kriterium hinzufügen, nach dem alle Mitglieder mit einem bestimmten Sicherheits-Tag (wie AntiVirus.virusFound) zu der Sicherheitsgruppe hinzugefügt werden.
  • Verzeichnisgruppen (wenn NSX Manager bei Active Directory registriert ist)
  • Reguläre Ausdrücke, wie beispielsweise virtuelle Maschinen mit dem Namen VM1

Beachten Sie, dass sich die Mitgliedschaft der Sicherheitsgruppe ständig ändert. Beispielsweise wird eine virtuelle Maschine, die mit dem Tag AntiVirus.virusFound versehen ist, in die Sicherheitsgruppe „Quarantäne“ verschoben. Wenn der Virus gelöscht und das Tag aus der virtuellen Maschine entfernt wurde, wird die virtuelle Maschine wieder aus der Sicherheitsgruppe „Quarantäne“ verschoben.

Wichtig: Wenn die VM-ID einer VM neu generiert wird, weil die VM verschoben oder kopiert wird, werden die Sicherheits-Tags nicht auf die neue VM-ID übertragen.

Sicherheitsrichtlinie

Eine Sicherheitsrichtlinie besteht aus den folgenden Dienstkonfigurationen:
Tabelle 1. In einer Sicherheitsrichtlinie enthaltene Sicherheitsdienste
Dienst Beschreibung Geltungsbereich
Firewallregeln Diese Regeln legen den Datenverkehr fest, der von, zu oder innerhalb der Sicherheitsgruppe zulässig ist. vNIC
Endpoint-Dienst Dienste von Drittanbietern, wie beispielsweise Virenschutz- oder Vulnerability Management-Dienste. virtuelle Maschinen
Netzwerk-Introspektionsdienste Diese Dienste überwachen Ihr Netzwerk, wie beispielsweise IPS. virtuelle Maschinen

Während einer Dienstbereitstellung in NSX wählt der Drittanbieter die Kategorie des bereitgestellten Dienstes aus. Für jede Anbietervorlage wird ein voreingestelltes Dienstprofil erstellt.

Bei der Aktualisierung der Drittanbieter-Dienste auf NSX 6.1 werden voreingestellte Dienstprofile für die aktualisierten Anbietervorlagen erstellt. Vorhandene Dienstrichtlinien, die Regeln für Guest Introspection beinhalten, werden aktualisiert, um auf die während der Aktualisierung erstellten Dienstprofile zu verweisen.

Zuweisen einer Sicherheitsrichtlinie zu einer Sicherheitsgruppe

Sie können eine Sicherheitsrichtlinie (beispielsweise SP1) zu einer Sicherheitsgruppe (beispielsweise SG1) zuweisen. Die für SP1 konfigurierten Dienste werden auf alle virtuellen Maschinen angewendet, die Mitglieder von SG1 sind.

Hinweis: Angenommen, mehrere Sicherheitsgruppen müssen mit derselben Sicherheitsrichtlinie verknüpft werden. In diesem Fall erstellen Sie eine übergeordnete Sicherheitsgruppe, die alle untergeordneten Sicherheitsgruppen beinhaltet, und wenden Sie die Sicherheitsrichtlinie auf diese übergeordnete Sicherheitsgruppe an. Dadurch wird eine effiziente Nutzung des ESXi Host-Arbeitsspeichers durch die verteilte Firewall von NSX sichergestellt.
Abbildung 1. Übersicht über Service Composer
SP

Wenn eine virtuelle Maschine zu mehr als einer Sicherheitsgruppe gehört, dann sind die auf die virtuelle Maschine angewendeten Dienste abhängig vom Vorrang der Sicherheitsrichtlinie, die den Sicherheitsgruppen zugewiesen ist.

Die Service Composer-Profile können als Sicherungen oder zur Verwendung in anderen Umgebungen exportiert und importiert werden. Diese Methode zum Verwalten von Netzwerk- und Sicherheitsdiensten bietet Ihnen eine detaillierte und reproduzierbare Verwaltung von Sicherheitsrichtlinien.