Die Quarantäne-Richtlinienfunktion in NSX Cloud bietet einen Mechanismus zur Erkennung von Bedrohungen für Ihre NSX-verwalteten Arbeitslast-VMs.

Die Quarantäne-Richtlinie wird in den beiden VM-Verwaltungsmodi unterschiedlich implementiert.

Tabelle 1. Quarantäne-Richtlinienimplementierung im NSX-erzwungener Modus und im Native Cloud-erzwungener Modus
Konfigurationen im Zusammenhang mit der Quarantäne-Richtlinie Im NSX-erzwungener Modus Im Native Cloud-erzwungener Modus
Standardzustand Bei der Bereitstellung von PCG mit NSX Tools deaktiviert. Sie können die Aktivierung im PCG-Bereitstellungsbildschirm oder später vornehmen. Siehe Quarantäne-Richtlinie aktivieren oder deaktivieren. Immer aktiviert. Kann nicht deaktiviert werden.
Automatisch erstellte Sicherheitsgruppen, die für jeden Modus eindeutig sind Allen ordnungsgemäßen NSX-verwalteten VMs wird die vm-underlay-sg -Sicherheitsgruppe zugewiesen. nsx-<NSX GUID>-Sicherheitsgruppen werden für NSX-verwaltete Arbeitslast-VMs erstellt und angewendet, die mit einer verteilten Firewall-Richtlinie in NSX Manager abgeglichen werden
Automatisch erstellte Public Cloud-Sicherheitsgruppen, die beide Modi gemeinsam haben:
Die gw-Sicherheitsgruppen werden auf die entsprechenden PCG-Schnittstellen in AWS und Microsoft Azure angewendet.
  • gw-mgmt-sg
  • gw-uplink-sg
  • gw-vtep-sg
Die vm-Sicherheitsgruppen werden auf von NSX verwaltete VMs angewendet. Dies ist von ihrem aktuellen Status und davon abhängig, ob die Quarantäne-Richtlinie aktiviert oder deaktiviert ist:
  • default-vnet-<vnet-id>-sg in Microsoft Azure und default in AWS.
    Hinweis: In AWS ist die Sicherheitsgruppe default bereits vorhanden. Sie wird nicht von NSX Cloud erstellt.

Allgemeine Empfehlung für NSX-erzwungener Modus:

Beginnen Sie für Brownfield-Bereitstellungen mit deaktiviert (disabled): Quarantäne-Richtlinie ist standardmäßig deaktiviert. Wenn Sie in Ihrer Public Cloud-Umgebung bereits VMs eingerichtet haben, verwenden Sie den Modus „deaktiviert“ (disabled) für die Quarantäne-Richtlinie, bis Sie Ihre Workload-VMs integrieren. Dadurch wird sichergestellt, dass Ihre vorhandenen VMs nicht automatisch in Quarantäne verschoben werden.

Beginnen Sie mit aktiviert (enabled) für Greenfield-Bereitstellungen: Für Greenfield-Bereitstellungen wird empfohlen, dass Sie die Quarantäne-Richtlinie aktivieren, damit die Bedrohungserkennung für Ihre VMs von NSX Cloud verwaltet werden kann.