Ziel von NSX Intrusion Detection and Prevention-Dienst (IDS/IPS) ist die Überwachung des Netzwerkdatenverkehrs auf den Hosts und Edges auf bösartige Aktivitäten, indem der Datenverkehr mit einem bekannten Satz von Signaturen verglichen wird. Ziel von NSX Malware-Schutz ist es, Dateien aus dem Netzwerkdatenverkehr auf den Hosts und Edges zu extrahieren und diese Dateien auf bösartiges Verhalten zu analysieren.
Übersicht über den NSX-Dienst zur Erkennung von Eindringversuchen und zum Schutz gegen Eindringversuche (IDS/IPS)
NSX IDS/IPS überwacht den Netzwerkdatenverkehr auf einem Host auf verdächtige Aktivitäten, indem der Datenverkehr anhand von Signaturen verglichen wird. Eine Signatur gibt ein Muster für einen Netzwerkeindringtyp an, der erkannt und gemeldet werden muss. Wenn ein Datenverkehrsmuster identifiziert wird, das mit einer Signatur übereinstimmt, wird eine vordefinierte Aktion durchgeführt. Beispielsweise wird eine Warnung generiert oder der Datenverkehr wird blockiert, damit er sein Ziel nicht erreicht.
- Verteilte Firewall: Vor NSX-T Data Center 3.2 war die Implementierung von IDS auf wissensbasierte Signaturen beschränkt. Wissensbasierte Signaturen enthalten spezifisches Wissen oder ein Muster, das einem bekannten Angriffstyp entspricht. Bei diesem Ansatz versucht IDS, Eindringversuche basierend auf bereits bekannten bösartigen Anweisungssequenzen zu erkennen, die in Signaturen angegeben sind. Daher sind wissensbasierte Signaturen auf Angriffe beschränkt, die bereits bekannt sind, und können keine gezielten oder Zero-Day-Lücken aufdecken.
Ab NSX-T Data Center 3.2 unterstützt IDS auch die verhaltensbasierte Erkennung. Die verhaltensbasierte Erkennung versucht, anomales Verhalten zu erkennen, indem interessante Ereignisse identifiziert werden, die im Vergleich zu einer Baseline oder zum normalen Datenverkehr unterschiedlich oder ungewöhnlich sind.
Diese Ereignisse werden als „informativ“ oder „Info“ bezeichnet. Hierzu gehören Ereignisse, die ungewöhnliche Aktivitäten in einem Netzwerk anweisen, welche nicht unbedingt bösartig sind, aber bei der Untersuchung einer Sicherheitslücke wertvolle Informationen liefern können. Signaturen werden mit einer benutzerdefinierten Erkennungslogik gebündelt, die aktualisiert werden kann, ohne die IDS-Engine neu kompilieren oder ändern zu müssen. Bei der verhaltensbasierten Erkennung wird der IDS-Eindringschweregrad „verdächtig“ neu eingeführt.
- Gateway-Firewall: Ab NSX-T Data Center 3.2 ist IDS/IPS auch für die Gateway-Firewall verfügbar.
Wichtig: In NSX-T Data Center 3.2.0 war NSX IDS/IPS nur auf der Gateway-Firewall im Modus für die technische Vorschau verfügbar. Ab NSX-T Data Center 3.2.1 ist diese Funktion für Produktionsumgebungen verfügbar und erhält vollständigen Support. Weitere Informationen finden Sie im Dokument Versionshinweise für NSX-T Data Center.
Übersicht über NSX Malware-Schutz
- Hash-basierte Erkennung bekannter schädlicher Dateien
- Lokale Analyse unbekannter Dateien
- Cloud-Analyse unbekannter Dateien
- In der Gateway-Firewall wird nur die Erkennung von Malware unterstützt. Sowohl die lokale Analyse als auch die Cloud-Analyse von Malware-Dateien wird unterstützt. Eine Liste der unterstützten Dateikategorien finden Sie unter Für NSX Malware-Schutz unterstützte Dateikategorien.
- In der verteilten Firewall wird die Malware-Erkennung und ‑Verhinderung nur für Windows-Gast-Endpoints (VMs) unterstützt, die auf für NSX vorbereiteten vSphere-Hostclustern ausgeführt werden. Nur Windows Portable Executable (PE)-Dateien werden für lokale Analysen und Cloud-Analysen unterstützt. Andere Dateikategorien werden derzeit von NSX Distributed Malware Prevention nicht unterstützt.
- Die maximale unterstützte Dateigröße beträgt 64 MB.
Im vertikalen Datenverkehr verwendet die NSX Malware-Schutz-Funktion die IDS/IPS-Engine auf den NSX Edges, um die beim Datencenter eingehenden Dateien zu extrahieren oder abzufangen. Im horizontalen Datenverkehr nutzt diese Funktion die Funktionen der NSX Guest Introspection(GI)-Plattform. Wenn die Datei die Prüfung auf dem NSX Edge umgeht und den Host erreicht, wird sie vom Thin Agent der GI auf Windows-Gast-VMs extrahiert.
Um Malware auf Windows Gast-VMs zu erkennen und zu verhindern, müssen Sie den NSX Guest Introspection Thin Agent auf Windows-Gast-VMs installieren und den Dienst NSX Distributed Malware Prevention auf vSphere-Hostclustern bereitstellen, die für NSX-T Data Center vorbereitet sind. Wenn dieser Dienst bereitgestellt wird, wird auf jedem Host des vSphere-Clusters eine virtuelle Dienstmaschine (SVM) installiert, und NSX Malware-Schutz wird auf dem Hostcluster aktiviert.
Die Windows-Treiber für den NSX Guest Introspection Thin Agent sind in VMware Tools enthalten. Weitere Informationen zu den VMware Tools-Versionen, die für Ihre NSX-T Data Center-Version unterstützt werden, finden Sie in der VMware-Produkt-Interoperabilitätsmatrix. Eine Liste der unterstützten Windows-Gastbetriebssysteme für eine bestimmte VMware Tools-Version finden Sie in den Versionshinweisen für diese Version in der Dokumentation zu VMware Tools.
- NSX Malware-Schutz-Dateiereignisse
-
Dateiereignisse werden generiert, wenn Dateien von der IDS-Engine auf den NSX Edges im vertikalen Datenverkehr und vom NSX Guest Introspection-Agent auf den VM-Endpoints im verteilten horizontalen Datenverkehr extrahiert werden.
Die Funktion NSX Malware-Schutz prüft die extrahierten Dateien, um festzustellen, ob sie ungefährlich, schädlich oder verdächtig sind. Jede eindeutige Prüfung einer Datei wird im NSX-T Data Center als einzelnes Dateiereignis gezählt. Anders ausgedrückt: Ein Dateiereignis bezieht sich auf eine eindeutige Dateiüberprüfung.
Informationen zum Überwachen der NSX Malware-Schutz-Dateiereignisse mithilfe der Benutzeroberfläche finden Sie unter Überwachen von Dateiereignissen.
Informationen zum Überwachen der Dateiereignisse mithilfe der NSX Malware-Schutz-Dateiereignis-APIs finden Sie in der Dokumentation im VMware Developer Documentation-Portal.
