Mit den Funktionen für eine identitätsbasierte Firewall (IDFW) haben NSX-Administratoren die Möglichkeit, Regeln für die verteilte Firewall (DFW) anhand der Active Directory-Benutzer zu erstellen.
Eine IDFW kann für virtuelle Desktops (VDI) oder Remotedesktopsitzungen (RDSH-Unterstützung) und physische Computer verwendet werden. Dies ermöglicht eine gleichzeitige Anmeldung mehrerer Benutzer für den bedarfsbasierten Benutzerzugriff auf Anwendungen sowie die Beibehaltung unabhängiger Benutzerumgebungen. VDI-Verwaltungssysteme steuern, welchen Benutzern Zugriff auf die virtuellen VDI-Maschinen gewährt wird. NSX steuert den Zugriff auf die Zielserver von der virtuellen Quellmaschine (VM), für die IDFW aktiviert ist. Erstellen Sie mit RDSH-Administratoren Sicherheitsgruppen mit verschiedenen Benutzern in Active Directory (AD) und gewähren oder verweigern Sie diesen Benutzern basierend auf ihrer Rolle den Zugriff auf einen Anwendungsserver. Beispielsweise können sich Personal- und Konstruktionsabteilung mit demselben RDSH-Server verbinden und von diesem Server aus auf verschiedene Anwendungen zugreifen.
Um die Firewallregeln zuzuweisen, muss IDFW wissen, bei welchem Desktop sich ein Active Directory(AD)-Benutzer anmeldet. Für die Erkennung der Anmeldung verwendet IDFW zwei Verfahren: Guest Introspection (GI) und/oder Ereignisprotokoll-Scraping. Guest Introspection wird auf ESXi-Clustern bereitgestellt, auf denen virtuelle IDFW-Maschinen ausgeführt werden. Wenn Netzwerkereignisse von einem Benutzer generiert werden, leitet ein auf der VM installierter Gast-Agent die Informationen über das Guest Introspection-Framework an die NSX Manager weiter. Die zweite Option ist der Active Directory Event Log Scraper. Ereignisprotokoll-Scraping aktiviert IDFW für physische Geräte. Konfigurieren Sie den Active Directory Event Log Scraper im NSX Manager so, dass auf eine Instanz in Ihrem Active Directory-Domänencontroller verwiesen wird. NSX Manager übernimmt dann die Ereignisse aus dem AD-Sicherheitsereignisprotokoll.
Ereignisprotokoll-Scraping kann für virtuelle Maschinen verwendet werden. Wenn jedoch sowohl der AD Event Log Scraper als auch Guest Introspection verwendet werden, hat Guest Introspection Vorrang vor dem Ereignisprotokoll-Scraping. Guest Introspection wird über VMware Tools aktiviert. Wenn Sie die vollständige VMware Tools-Installation und IDFW verwenden, hat Guest Introspection Vorrang vor dem Ereignisprotokoll-Scraping.
IDFW kann auch auf VMs verwendet werden, die über unterstützte Betriebssysteme verfügen. Siehe Von der identitätsbasierten Firewall unterstützte Konfigurationen.
IDFW verarbeitet die Benutzeridentität an der Quelle nur in Firewallregeln. Nur Datenverkehr, der von der Quelle stammt, in der die Benutzeridentität verarbeitet wird, unterliegt den IDFW-Regeln. Identitätsbasierte Gruppen können nicht als Ziel in verteilten Firewallregeln und Gateway-Firewallregeln verwendet werden.
Identitätsbasierte Firewallregeln werden von der Mitgliedschaft in einer Active Directory (AD)-Gruppe bestimmt. Die Organisationseinheit mit einem AD-Benutzer und die Organisationseinheit mit der AD-Gruppe, in der sich der Benutzer befindet, müssen beide zu „Zu synchronisierende Organisationseinheiten“ hinzugefügt werden, damit IDFW-Regeln funktionieren. Informationen zu unterstützten IDFW-Konfigurationen und Protokollen finden Sie unter Von der identitätsbasierten Firewall unterstützte Konfigurationen.
IDFW-Regeln werden auf globalen Managern in einer Verbundumgebung nicht unterstützt. IDFW kann weiterhin lokal auf Verbund-Sites verwendet werden, indem IDFW-Regeln auf lokalen Managern erstellt werden.
IDFW-Richtliniengruppen und DFW-Regel-Übereinstimmungslogik
- Homogene Gruppen mit nur AD-Gruppen als Mitglieder der Richtliniengruppe.
- Heterogene Gruppen, in denen neben AD-Gruppen auch andere Mitglieder vorhanden sein können, z. B. virtuelle Maschinen und IP-Adressen.
Die effektiven Mitglieder einer heterogenen Identitätsrichtliniengruppe können mithilfe der folgenden Logik ermittelt werden: [Vereinigungssatz aller Nicht-AD-Mitglieder] UND, d. h. Schnittmenge mit, [Satz der VMs, bei denen sich AD-Benutzer anmelden, die den AD-Gruppenmitgliedern angehören].
- Absicht: Wenn einige VMs statisch mit AD-Gruppen gekoppelt werden, sollte die Richtlinie auf die statischen VM-Mitglieder angewendet werden, wenn sich ein AD-Benutzer, der den AD-Gruppen angehört, bei ihnen anmeldet.
- Nicht anwendbare Quellbeispiele: VMs, bei denen sich ein AD-Benutzer anmeldet, der einer der Ad-Gruppen angehört, die aber KEINE statischen Mitglieder der Richtliniengruppe sind. VMs, die statische Mitglieder der Richtliniengruppe sind, bei denen der protokollierte Benutzer jedoch zu AD-Gruppen gehört, die NICHT Mitglieder der Richtliniengruppe sind.
- Absicht: Anwenden einer Sicherheitsrichtlinie NUR für VMs, deren Name mit den Kriterien übereinstimmt, wenn sich ein bestimmter AD-Benutzer bei ihnen anmeldet.
- Nicht anwendbare Quellbeispiele: VMs, bei denen sich der AD-Benutzer anmeldet, die jedoch nicht mit den Namenskriterien übereinstimmen. VMs, bei denen die Namenskriterien übereinstimmen, der angemeldete Benutzer jedoch keiner der Mitglieder-AD-Gruppen angehört.