Die Quarantäne-Richtlinienfunktion in NSX Cloud bietet einen Mechanismus zur Erkennung von Bedrohungen für Ihre NSX-verwalteten Arbeitslast-VMs.
Die Quarantäne-Richtlinie wird in den beiden VM-Verwaltungsmodi unterschiedlich implementiert.
Konfigurationen im Zusammenhang mit der Quarantäne-Richtlinie | Im NSX-erzwungener Modus | Im Native Cloud-erzwungener Modus |
---|---|---|
Standardzustand | Bei der Bereitstellung von PCG mit NSX Tools deaktiviert. Sie können die Aktivierung im PCG-Bereitstellungsbildschirm oder später vornehmen. Siehe Quarantäne-Richtlinie aktivieren oder deaktivieren. | Immer aktiviert. Kann nicht deaktiviert werden. |
Automatisch erstellte Sicherheitsgruppen, die für jeden Modus eindeutig sind | Allen ordnungsgemäßen NSX-verwalteten VMs wird die vm-underlay-sg -Sicherheitsgruppe zugewiesen. | nsx-<NSX GUID>-Sicherheitsgruppen werden für NSX-verwaltete Arbeitslast-VMs erstellt und angewendet, die mit einer verteilten Firewall-Richtlinie in NSX Manager abgeglichen werden |
Automatisch erstellte Public Cloud-Sicherheitsgruppen, die beide Modi gemeinsam haben: |
Die
gw-Sicherheitsgruppen werden auf die entsprechenden
PCG-Schnittstellen in AWS und Microsoft Azure angewendet.
Die
vm-Sicherheitsgruppen werden auf von NSX verwaltete VMs angewendet. Dies ist von ihrem aktuellen Status und davon abhängig, ob die Quarantäne-Richtlinie aktiviert oder deaktiviert ist:
|
Allgemeine Empfehlung für NSX-erzwungener Modus:
Beginnen Sie für Brownfield-Bereitstellungen mit deaktiviert (disabled): Quarantäne-Richtlinie ist standardmäßig deaktiviert. Wenn Sie in Ihrer Public Cloud-Umgebung bereits VMs eingerichtet haben, verwenden Sie den Modus „deaktiviert“ (disabled) für die Quarantäne-Richtlinie, bis Sie Ihre Workload-VMs integrieren. Dadurch wird sichergestellt, dass Ihre vorhandenen VMs nicht automatisch in Quarantäne verschoben werden.
Beginnen Sie mit aktiviert (enabled) für Greenfield-Bereitstellungen: Für Greenfield-Bereitstellungen wird empfohlen, dass Sie die Quarantäne-Richtlinie aktivieren, damit die Bedrohungserkennung für Ihre VMs von NSX Cloud verwaltet werden kann.