In diesem Beispiel besteht Ihr Ziel darin, eine Sicherheitsrichtlinie mit Firewallregeln für verteilten Malware-Schutz zu erstellen, die bösartige portable ausführbare Dateien auf Windows Arbeitslast-VMs erkennt und verhindert, auf denen Datenbankserver und Webserver in Ihrer Organisation ausgeführt werden.

Sie können den NSX Distributed Malware Prevention-Dienst in NSX verwenden, um dieses Ziel zu erreichen. In diesem Beispiel gruppieren Sie Arbeitslast-VMs von Datenbankservern und Webservern mithilfe eines dynamischen Mitgliedschaftskriteriums auf der Basis von Tags.

Annahmen:

  • Für die Gruppierung von Arbeitslast-VMs erforderliche Tags werden bereits wie folgt zur NSX-Bestandsliste hinzugefügt:
    • Tag-Name: DB, Geltungsbereich: Server
    • Tag-Name: WEB, Geltungsbereich: Server
  • Das DB-Tag wird drei Datenbankarbeitslasten (Windows-VMs) zugewiesen: VM1, VM2 und VM3.
  • Das WEB-Tag wird drei Anwendungsarbeitslasten (Windows-VMs) zugewiesen: VM4, VM5 und VM6.
  • Die Option Cloud-Dateianalyse ist im Malware-Schutzprofil ausgewählt.

Voraussetzungen

Die virtuelle NSX Malware Prevention-Dienstmaschine wird auf vSphere-Hostclustern bereitgestellt, auf denen die Arbeitslast-VMs ausgeführt werden. Eine detaillierte Anleitung finden Sie unter Bereitstellen des NSX-Dienstes „Verteilter Malware-Schutz“.

Prozedur

  1. Melden Sie sich über Ihren Browser bei einem NSX Manager unter https://nsx-manager-ip-address an.
  2. Organisieren Sie Datenbankarbeitslast-VMs und Anwendungsarbeitslast-VMs in zwei Gruppen.
    1. Navigieren Sie zu Bestand > Gruppen.
    2. Klicken Sie auf Gruppe hinzufügen.
    3. Erstellen Sie zwei Gruppen mit einem dynamischen Mitgliedschaftskriterium auf der Basis von Tags und mit virtuellen Maschinen als Mitgliedern, wie in den folgenden Screenshots abgebildet.

      – Dynamisches Kriterium für die DB-Server-Gruppe basierend auf einem Tag, das der VM zugewiesen ist.

      – Dynamisches Kriterium für die Webserver-Gruppe basierend auf einem Tag, das der VM zugewiesen ist.
    4. Klicken Sie auf der Seite Gruppen für jede Gruppe auf Mitglieder anzeigen und stellen Sie sicher, dass die effektiven Mitglieder angezeigt werden.
      Gruppenname Effektive Mitglieder
      DB-Server VM1, VM2, VM3
      Webserver VM4, VM5, VM6
  3. Navigieren Sie zu Sicherheit > IDS/IPS und Malware-Schutz > Verteilte Regeln.
  4. Klicken Sie auf Richtlinie hinzufügen, um einen Abschnitt zu erstellen, und geben Sie einen Namen für die Richtlinie ein.
    Geben Sie zum Beispiel Malware-Prevention-Rules ein.
  5. Klicken Sie auf Regel hinzufügen und konfigurieren Sie die Regeleinstellungen.
    1. Geben Sie einen Namen für die Regel ein.
      Geben Sie zum Beispiel Protect-DB-Web-Servers ein.
    2. Behalten Sie in den Spalten Quellen, Ziele und Dienste „Beliebig“ bei.
    3. Wählen Sie in der Spalte Sicherheitsprofile das Malware-Schutzprofil aus, das für diese Regel verwendet werden soll.
    4. Wählen Sie in der Spalte Angewendet auf die Gruppen DB-Servers und Web-Servers aus, die Sie zuvor erstellt haben.
    5. Wählen Sie in der Spalte Modus Erkennung und verhindern aus.
  6. Veröffentlichen der Regel.

Ergebnisse

Die Regel wird an den Host übertragen.

Wenn Windows Portable Executable(PE)-Dateien auf den Arbeitslast-VMs erkannt werden, werden Dateiereignisse generiert und im Dashboard Malware-Schutz angezeigt. Wenn die Datei ungefährlich ist, wird sie auf die Arbeitslast-VM heruntergeladen. Wenn es sich bei der Datei um eine bekannte Malware handelt (Datei entspricht bekannten Malware-Dateisignaturen in NSX) und der Modus Erkennen und verhindern in der Regel angegeben ist, wird die schädliche Datei auf der Arbeitslast-VM blockiert.

Wenn es sich bei der Datei um eine unbekannte Malware (Zero-Day-Lücke) handelt und sie zum ersten Mal im Datencenter erkannt wird, wird sie auf die Arbeitslast-VM heruntergeladen. Nachdem NSX die Dateibewertung entweder mithilfe der lokalen Dateianalyse oder der Cloud-Dateianalyse als bösartig erkannt hat, wird die Bewertung an die anderen ESXi-Hosts und NSX Edges im Datencenter verteilt, die für NSX Malware Prevention aktiviert sind. Wenn die Datei mit demselben Hash erneut auf einer der Arbeitslast-VMs erkannt wird, die durch NSX Malware Prevention geschützt sind, wird die Sicherheitsrichtlinie angewendet und die schädliche Datei wird auf den Arbeitslast-VMs blockiert.