NSX Malware Prevention auf einer verteilten Firewall verwendet das GI-Framework (NSX Guest Introspection). Um Malware auf den Gast-Endpoints (VMs) zu erkennen und zu verhindern, müssen Sie den NSX Distributed Malware Prevention-Dienst auf ESXi-Hostclustern bereitstellen, die für NSX vorbereitet sind.

Wenn Sie den Dienst auf einem Hostcluster bereitstellen, wird auf jedem Host des Clusters eine Instanz der virtuellen NSX Malware Prevention-Dienstmaschine (SVM) bereitgestellt. Derzeit wird eine SVM mit fester Größe bereitgestellt, die folgende Ressourcen auf jedem Host des Clusters erfordert:
  • 4 vCPU
  • 6 GB RAM
  • 80 GB Festplattenspeicher

Bevor Sie den NSX Distributed Malware Prevention-Dienst auf Hostclustern bereitstellen, müssen Sie die Voraussetzungen erfüllen, die in den folgenden Abschnitten erläutert werden. Wenn einige Voraussetzungen bereits erfüllt sind, überspringen Sie diese und fahren Sie mit den ausstehenden Voraussetzungen fort.

Hinzufügen einer geeigneten Lizenz in ein NSX

Um die NSX Malware Prevention-Funktion verwenden zu können, muss NSX eine geeignete Lizenz verwenden. Informationen zu Lizenzen, die NSX Malware Prevention unterstützen, finden Sie unter Systemanforderungen für NSX IDS/IPS und NSX Malware Prevention.

So fügen Sie eine Lizenz hinzu:
  1. Navigieren Sie in NSX Manager zu System > Lizenzen > Lizenz hinzufügen.
  2. Geben Sie den Lizenzschlüssel ein.

Überprüfen, ob alle Hosts von VMware vCenter verwaltet werden

Die NSX Malware Prevention-Funktion wird nur auf vSphere-Hostclustern unterstützt, die von einem oder mehreren vCenter Servern verwaltet werden.

  1. Navigieren Sie in NSX Manager zu System > Fabric > Hosts.
  2. Stellen Sie sicher, dass Sie sich auf der Registerkarte Cluster befinden.

    Eine Liste der vSphere-Hostcluster wird angezeigt. Stellen Sie sicher, dass diese Liste die Hostcluster enthält, die für Sie zur Aktivierung des Malware-Schutzes von Interesse sind.

Konfigurieren von Hosts als Transportknoten

Wenden Sie ein Transportknotenprofil auf die vSphere-Hostcluster an, um die vSphere-Hosts als Host-Transportknoten zu konfigurieren.

Hinweis: Wenn Ihre Umgebung Untercluster enthält oder wenn Sie eine VMware Cloud Foundation-Bereitstellung (VCF) besitzen, die sich über mehrere Verfügbarkeitszonen erstreckt, müssen Sie zuerst die Untercluster konfigurieren, bevor Sie den NSX Distributed Malware Prevention-Dienst bereitstellen.
Detaillierte Anweisungen finden Sie im Installationshandbuch für NSX unter den folgenden Themen:

Generieren eines Schlüsselpaars aus öffentlichem und privatem Schlüssel für den SSH-Zugriff auf die SVM

Um die Protokolldatei zur Fehlerbehebung von der SVM herunterzuladen, ist schreibgeschützter SSH-Zugriff auf die NSX Malware Prevention-SVM erforderlich.

SSH-Zugriff auf den admin-Benutzer der SVM ist schlüsselbasiert (Schlüsselpaar aus öffentlichem und privatem Schlüssel). Ein öffentlicher Schlüssel ist erforderlich, wenn Sie den Dienst auf einem ESXi-Hostcluster bereitstellen, und ein privater Schlüssel ist erforderlich, wenn Sie eine SSH-Sitzung für die SVM starten möchten.

Sie können das Schlüsselpaar aus öffentlichem und privatem Schlüssel mithilfe eines beliebigen SSH-Schlüsselgenerierungstools generieren. Der öffentliche Schlüssel muss jedoch ein bestimmtes Format aufweisen, wie im folgenden Unterabschnitt beschrieben. Beispiele für Tools zur SSH-Schlüsselgenerierung sind: ssh-keygen, PuTTY Key Generator usw. Unterstützte Schlüsselgrößen sind 1024 Bit, 2048 Bit und 4096 Bit.

Format des öffentlichen Schlüssels
Der öffentliche Schlüssel muss das folgende Format aufweisen:
Beispiel:
ssh-rsa A1b2C3d4E5+F6G7XxYyZzaB67896C4g5xY9+H65aBUyIZzMnJ7329y94t5c%6acD+oUT83iHTR870973TGReXpO67U= rsa-key-20121022

Wenn Sie PuTTY Key Generator verwenden, müssen Sie darauf achten, dass der öffentliche Schlüssel direkt von der Benutzeroberfläche kopiert wird. Wenn das Schlüsselpaar vorhanden ist, laden Sie zuerst die Privatschlüsseldatei in die PuTTY Key Generator-Benutzeroberfläche und kopieren Sie dann den öffentlichen Schlüssel, der im Textfeld Key angezeigt wird. Vom Kopieren des Inhalts aus einer Datei für einen öffentlichen Schlüssel wird abgeraten. Der kopierte Inhalt kann ein anderes Format aufweisen und funktioniert möglicherweise nicht für die SVM.

Wenn Sie das Schlüsselpaar mithilfe des Dienstprogramms ssh-keygen auf Linux-Systemen generieren, enthält das Schlüsselformat immer ssh-rsa im öffentlichen Schlüssel. Daher können Sie auf Linux-Systemen den Inhalt aus einer öffentlichen Schlüsseldatei kopieren.

Empfohlene Vorgehensweise

NSX Distributed Malware Prevention-Dienstbereitstellung erfolgt auf der Ebene eines Hostclusters. Daher ist ein Schlüsselpaar an einen Hostcluster gebunden. Sie können entweder ein neues Schlüsselpaar aus öffentlichem und privatem Schlüssel für eine Dienstbereitstellung auf jedem Cluster erstellen oder ein einzelnes Schlüsselpaar für Dienstbereitstellungen auf allen Clustern verwenden.

Wenn Sie ein anderes Schlüsselpaar aus öffentlichem und privatem Schlüssel für die Dienstbereitstellung auf jedem Cluster verwenden möchten, stellen Sie sicher, dass die Schlüsselpaare ordnungsgemäß benannt sind, um die Identifizierung zu erleichtern.

Eine bewährte Vorgehensweise besteht darin, jede Dienstbereitstellung mit einer „Computing-Cluster-ID“ zu identifizieren und die Cluster-ID im Namen des Schlüsselpaars anzugeben. Beispiel: Angenommen, die Cluster-ID lautet „1234-abcd“. Für diesen Cluster können Sie als Dienstbereitstellungsnamen „MPS-1234-abcd“ angeben und das Schlüsselpaar für den Zugriff auf diese Dienstbereitstellung als „id_rsa_1234_abcd.pem“ benennen. Diese Vorgehensweise erleichtert Ihnen die Wartung und Zuordnung von Schlüsseln für jede Dienstbereitstellung.

Wichtig: Speichern Sie den privaten Schlüssel sicher. Der Verlust des privaten Schlüssels kann zu einem Verlust des SSH-Zugriffs auf die NSX Malware Prevention-SVM führen.

NSX Application Platform bereitstellen

NSX Application Platform ist eine moderne Mikrodienstplattform, die mehrere NSX-Funktionen zum Erfassen, Aufnehmen und Korrelieren von Netzwerkdatenverkehrsdaten hostet.

Detaillierte Anweisungen zum Bereitstellen der Plattform finden Sie in der Veröffentlichung für Bereitstellung und Verwaltung von VMware NSX Application Platform unter https://docs.vmware.com/de/VMware-NSX/index.html. Erweitern Sie im linken Navigationsbereich unter diesem Link Version 4.0 oder höher und klicken Sie dann auf den Namen der Veröffentlichung.

Aktivieren der NSX Malware Prevention-Funktion

Eine detaillierte Anleitung finden Sie unter NSX Malware Prevention aktivieren.

Wenn diese Funktion aktiviert ist, werden die für NSX Malware Prevention erforderlichen Mikrodienste in der NSX Application Platform ausgeführt.

Bevor Sie mit dem nächsten Schritt fortfahren, überprüfen Sie den Status der NSX Malware Prevention-Funktion auf der NSX Application Platform. Führen Sie die folgenden Schritte aus:
  1. Navigieren Sie in NSX Manager zu System > NSX Application Platform.
  2. Scrollen Sie auf der Seite nach unten zum Abschnitt Funktionen.
  3. Stellen Sie sicher, dass auf der NSX Malware-Schutz-Funktionskarte als Status als Aktiv angezeigt wird.

Wenn der Status Inaktiv lautet, warten Sie, bis sich der Status in Aktiv ändert, und fahren Sie dann mit dem nächsten Schritt fort.

Überprüfen der VM-Hardwarekonfiguration auf Gast-VMs

Stellen Sie sicher, dass die VM-Hardwarekonfigurationsdatei der Version 9 oder höher auf den Gast-VMs ausgeführt wird. Führen Sie die folgenden Schritte aus:
  1. Melden Sie sich beim vSphere Client an.
  2. Navigieren Sie zu Hosts und Cluster und navigieren Sie zum Cluster.
  3. Klicken Sie nacheinander auf die VMs im Cluster.
  4. Erweitern Sie auf der Seite Zusammenfassung den Bereich VM-Hardware und beachten Sie die Kompatibilitätsinformationen der VM. Die Versionsnummer der VM muss 9 oder höher sein.
Beispiel:
VM-Hardwarebereich mit hervorgehobenen Kompatibilitätsinformationen.

Installieren des NSX-Datei-Introspektions-Treibers

Der NSX Datei-Introspektion-Treiber ist in VMware Tools für Windows enthalten. Dieser Treiber ist jedoch nicht Teil der standardmäßigen VMware Tools-Installation. Um diesen Treiber zu installieren, müssen Sie eine benutzerdefinierte oder eine vollständige Installation durchführen und den NSX Datei-Introspektion-Treiber auswählen.

Der File Introspection-Treiber für Linux ist als Teil der betriebssystemspezifischen Pakete (OSPs) verfügbar. Die Pakete werden auf dem VMware-Paketportal gehostet. Der Administrator des Unternehmens oder der Sicherheitsadministrator (Nicht-NSX-Administrator) kann den Guest Introspection-Thin Agent auf Linux-Gast-VMs außerhalb von NSX installieren. Die Installation von open-vm-tools oder VM Tools ist für Linux nicht erforderlich.