Ziel von NSX Intrusion Detection and Prevention-Dienst (IDS/IPS) ist die Überwachung des Netzwerkdatenverkehrs auf den Hosts und Edges auf bösartige Aktivitäten, indem der Datenverkehr mit einem bekannten Satz von Signaturen verglichen wird. Ziel von NSX Malware-Schutz ist es, Dateien aus dem Netzwerkdatenverkehr auf den Hosts und Edges zu extrahieren und diese Dateien auf bösartiges Verhalten zu analysieren.

Übersicht über den NSX-Dienst zur Erkennung von Eindringversuchen und zum Schutz gegen Eindringversuche (IDS/IPS)

NSX IDS/IPS überwacht den Netzwerkdatenverkehr auf einem Host auf verdächtige Aktivitäten, indem der Datenverkehr anhand von Signaturen verglichen wird. Eine Signatur gibt ein Muster für einen Netzwerkeindringtyp an, der erkannt und gemeldet werden muss. Wenn ein Datenverkehrsmuster identifiziert wird, das mit einer Signatur übereinstimmt, wird eine vordefinierte Aktion durchgeführt. Beispielsweise wird eine Warnung generiert oder der Datenverkehr wird blockiert, damit er sein Ziel nicht erreicht.

NSX Data Center unterstützt die IDS/IPS-Funktion für die folgenden Firewalls:
  • Verteilte Firewall: Vor NSX Data Center 3.2 war die Implementierung von IDS auf wissensbasierte Signaturen beschränkt. Wissensbasierte Signaturen enthalten spezifisches Wissen oder ein Muster, das einem bekannten Angriffstyp entspricht. Bei diesem Ansatz versucht IDS, Eindringversuche basierend auf bereits bekannten bösartigen Anweisungssequenzen zu erkennen, die in Signaturen angegeben sind. Daher sind wissensbasierte Signaturen auf Angriffe beschränkt, die bereits bekannt sind, und können keine gezielten oder Zero-Day-Lücken aufdecken.

    Ab NSX Data Center 3.2 unterstützt IDS auch die verhaltensbasierte Erkennung. Die verhaltensbasierte Erkennung versucht, anomales Verhalten zu erkennen, indem interessante Ereignisse identifiziert werden, die im Vergleich zu einer Baseline oder zum normalen Datenverkehr unterschiedlich oder ungewöhnlich sind.

    Diese Ereignisse werden als „informativ“ oder „Info“ bezeichnet. Hierzu gehören Ereignisse, die ungewöhnliche Aktivitäten in einem Netzwerk anweisen, welche nicht unbedingt bösartig sind, aber bei der Untersuchung einer Sicherheitslücke wertvolle Informationen liefern können. Signaturen werden mit einer benutzerdefinierten Erkennungslogik gebündelt, die aktualisiert werden kann, ohne die IDS-Engine neu kompilieren oder ändern zu müssen. Bei der verhaltensbasierten Erkennung wird der IDS-Eindringschweregrad „verdächtig“ neu eingeführt.

  • Gateway-Firewall: Ab NSX Data Center 3.2 ist IDS/IPS auch für die Gateway-Firewall verfügbar.
    Wichtig: In NSX-T Data Center 3.2 ist NSX IDS/IPS auf der Gateway-Firewall im Modus für die technische Vorschau verfügbar. Verwenden Sie diese Funktion nur für experimentelle Zwecke.

Übersicht über NSX Malware-Schutz

NSX Malware-Schutz kann bekannte schädliche Dateien und unbekannte schädliche Dateien erkennen und verhindern. Unbekannte schädliche Dateien werden auch als Zero-Day-Lücken bezeichnet. Um Malware zu erkennen, verwendet NSX Malware-Schutz eine Kombination der folgenden Verfahren:
  • Hash-basierte Erkennung bekannter schädlicher Dateien
  • Lokale Analyse unbekannter Dateien
  • Cloud-Analyse unbekannter Dateien
Hinweis: In NSX-T Data Center 3.2 unterstützt NSX Malware-Schutz die folgenden Funktionen:
  • In der Gateway-Firewall wird nur die Erkennung von Malware unterstützt. Sowohl die lokale Analyse als auch die Cloud-Analyse von Malware-Dateien wird unterstützt. Eine Liste der unterstützten Dateikategorien finden Sie unter Für NSX Malware-Schutz unterstützte Dateikategorien.
  • In der verteilten Firewall wird die Malware-Erkennung und ‑Verhinderung nur für Windows-Gast-Endpoints (VMs) unterstützt, die auf für NSX vorbereiteten vSphere-Hostclustern ausgeführt werden. Nur Windows Portable Executable (PE)-Dateien werden für lokale Analysen und Cloud-Analysen unterstützt. Andere Dateikategorien werden derzeit von NSX Distributed Malware Prevention nicht unterstützt.
  • Die maximale unterstützte Dateigröße beträgt 64 MB.

Konzeptuelle Übersicht über NSX Malware-Schutz in einem NSX-T Data Center.

Im vertikalen Datenverkehr verwendet die NSX Malware-Schutz-Funktion die IDS/IPS-Engine auf den NSX Edges, um die beim Datencenter eingehenden Dateien zu extrahieren oder abzufangen. Im horizontalen Datenverkehr nutzt diese Funktion die Funktionen der NSX Guest Introspection(GI)-Plattform. Wenn die Datei die Prüfung auf dem NSX Edge umgeht und den Host erreicht, wird sie vom Thin Agent der GI auf Windows-Gast-VMs extrahiert.

Um Malware auf Windows-Gast-VMs zu erkennen und zu verhindern, müssen Sie den NSX Distributed Malware Prevention-Dienst auf vSphere-Hostclustern bereitstellen, die für NSX vorbereitet sind. Wenn dieser Dienst bereitgestellt wird, wird auf jedem Host des vSphere-Clusters eine virtuelle Dienstmaschine (SVM) installiert, und NSX Malware-Schutz wird auf dem Hostcluster aktiviert.