Para preparar un nuevo SDDC a fin de que ejecute cargas de trabajo que cumplan con el estándar de seguridad de datos de la industria de las tarjetas de pago (Payment Card Industry Data Security Standard, PCI DSS), debe crear una regla de firewall que le permita conectarse directamente a la instancia de NSX Manager local del SDDC, deshabilitar la pestaña Redes y seguridad de Consola de VMC y utilizar la instancia de NSX Manager local para administrar las redes del SDDC.

Los controles de acceso en la pestaña Redes y seguridad de Consola de VMC no son conformes al PCI DSS. Cualquier acceso a un SDDC mediante la pestaña Redes y seguridad hará que el SDDC no sea conforme a este. Para mantener la conformidad, debe administrar las redes de SDDC solo mediante el NSX Manager local, que tiene su propio marco de autenticación, uno que cumpla con los requisitos del PCI DSS. El acceso a la pestaña Redes y seguridad debe deshabilitarse antes de iniciar una auditoría del PCI DSS y debe permanecer deshabilitado durante el período auditado.

Antes de deshabilitar el acceso a la pestaña Redes y seguridad, lo utilizará para crear una conexión VPN con el centro de datos local y una regla de firewall de puerta de enlace de administración que le permita acceder a la instancia de NSX Manager local a través de esa VPN. Después de comprobar que puede acceder a NSX Manager, puede preparar el SDDC para cargas de trabajo de PCI DSS al deshabilitar el acceso a la pestaña Redes y seguridad. Si necesita volver a habilitar el acceso a la pestaña Redes y seguridad, póngase en contacto con el soporte técnico de VMware.

Requisitos previos

  • Debe haber iniciado sesión en la consola de VMC como un usuario con una función de servicio de VMC de Administrador o Administrador (eliminación restringida).

  • Debe tener una conexión VPN al SDDC. Consulte Configurar una conexión VPN entre el SDDC y el centro de datos local en la guía Redes y seguridad de VMware Cloud on AWS. Después de deshabilitar el acceso a la pestaña Redes y seguridad, la única forma de administrar la red del SDDC es una conexión con la instancia de NSX Manager local a través de una VPN. Para asegurarse de que puede comunicarse con la instancia de NSX Manager local en caso de un error de red, se recomienda configurar una conexión redundante, como AWS Direct Connect con una VPN basada en rutas como respaldo, como se describe en Configurar Direct Connect con una interfaz virtual privada para el tráfico de red de cálculo y administración de SDDC en la guía Redes y seguridad de VMware Cloud on AWS.

Procedimiento

  1. Inicie sesión en Consola de VMC en https://vmc.vmware.com.
  2. Cree una regla de firewall de puerta de enlace de administración que le permita abrir una conexión HTTPS con la instancia de NSX Manager local de este SDDC.
    Consulte Agregar o modificar reglas de firewall de puerta de enlace de administración en la guía Redes y seguridad de VMware Cloud on AWS para obtener más información sobre cómo crear una regla de firewall de puerta de enlace de administración. La regla debe tener los siguientes parámetros:
    Propiedad de la regla de firewall de MGW Valor
    Orígenes Cualquiera o una dirección IP específica en la red local.
    Destinos El grupo definido por el sistema de NSX Manager.
    Servicios HTTPS (TCP 443)
    Acción Permitir
  3. (Requerido) Pruebe la regla de firewall.
    No podrá acceder a la instancia de NSX Manager local hasta que deshabilite el acceso a la pestaña Redes y seguridad, por lo que es importante comprobar que la regla de firewall funcione antes de continuar con el paso siguiente. Para probar la regla, compruebe que puede ver la página index.html de la instancia de NSX Manager local. Utilice un navegador web para abrir una conexión a https://NSX-Manager-IP/nsx/index.html donde NSX-Manager-IP es la dirección IP de NSX Manager que se muestra en la pestaña Información de soporte del SDDC. Si la regla de firewall es correcta, esta solicitud devuelve la página index.html de la instancia de NSX Manager local, que muestra varios pares de clave/valor JSON, incluidos error_code: 403. No puede realizar ninguna acción en esta página.
  4. Después de verificar que la regla de firewall es correcta, puede deshabilitar el acceso a la pestaña Redes y seguridad.
    1. Desplácese hasta la pestaña Configuración del SDDC.
    2. En la sección Control de componentes de Configuración, expanda la línea Acceso a la pestaña Red y seguridad para mostrar la tarjeta Deshabilitar acceso a la pestaña Red y seguridad.
    3. Confirme su comprensión del flujo de trabajo.
      Después de comprobar que puede acceder a la página index.html de la instancia de NSX Manager local, seleccione la casilla de verificación para confirmar que creó la regla de firewall necesaria y que está listo para continuar. Seleccione la casilla de verificación para confirmar que comprende que deberá presentar una solicitud de soporte de VMware si desea volver a habilitar el acceso a la pestaña Redes y seguridad para este SDDC.
    4. Haga clic DESHABILITAR para deshabilitar el acceso a Redes y seguridad.
  5. Abra NSX Manager.
    Inicie sesión en Consola de VMC y abra la pestaña Redes y seguridad. Haga clic en ABRIR NSX MANAGER en esta pestaña e inicie sesión con las Credenciales de NSX Manager predeterminadas. Consulte NSX Manager en la Guía de administración de NSX-T Data Center para obtener más información sobre cómo utilizar NSX Manager.
    Nota:

    Si desea ver (pero no modificar) la configuración de redes de este SDDC, puede iniciar sesión con las credenciales de la Cuenta de usuario auditor de NSX Manager, que están disponibles en Información de NSX en la pestaña Configuración.

Qué hacer a continuación

Después de deshabilitar el acceso a la pestaña Redes y seguridad, debe usar la instancia de NSX Manager local para administrar la red del SDDC. Puede desplazarse por la interfaz de usuario de NSX Manager de forma muy similar a como lo hace por la pestaña Redes y seguridad. Consulte NSX Manager en la Guía de administración de NSX-T Data Center para obtener más información sobre cómo utilizar NSX Manager.

Importante:

Para cumplir con el requisito de conformidad de PCI 8.2.4 (Cambiar contraseñas/frases de contraseña de usuario al menos una vez cada 90 días), debe usar el REST API de NSX Manager, tal como se describe en el artículo de la base de conocimientos de VMware 83551.

Si necesita volver a habilitar el acceso a la pestaña Redes y seguridad, póngase en contacto con el soporte técnico de VMware.