Para preparar un nuevo SDDC a fin de que ejecute cargas de trabajo con auditoría de conformidad, debe crear una regla de firewall que le permita conectarse directamente a la instancia de NSX Manager local del SDDC, deshabilitar la pestaña Redes y seguridad de la Consola de VMware Cloud y utilizar la instancia de NSX Manager local para administrar las redes del SDDC.

Los controles de acceso en la pestaña Redes y seguridad de la Consola de VMware Cloud no son adecuados para un SDDC con protección de conformidad. Cualquier acceso a un SDDC mediante la pestaña Redes y seguridad hace que el SDDC no sea conforme. Para mantener la conformidad, debe administrar las redes de SDDC solo mediante el NSX Manager local, que tiene un marco de autenticación que cumple con los requisitos de fortalecimiento de la conformidad. El acceso a la pestaña Redes y seguridad debe deshabilitarse antes de iniciar una auditoría de conformidad y debe permanecer deshabilitado durante el período auditado.

Antes de deshabilitar el acceso a la pestaña Redes y seguridad, lo utilizará para crear una conexión VPN con el centro de datos local y una regla de firewall de puerta de enlace de administración que le permita acceder a la instancia de NSX Manager local a través de esa VPN. Después de comprobar que puede acceder a NSX Manager, puede preparar el SDDC para el fortalecimiento de la conformidad si deshabilita el acceso a la pestaña Redes y seguridad. Si necesita volver a habilitar el acceso a la pestaña Redes y seguridad, póngase en contacto con el soporte técnico de VMware.

Requisitos previos

  • Debe haber iniciado sesión en la consola de VMC como un usuario con una función de servicio de VMC de Administrador o Administrador (eliminación restringida).

  • Debe tener una conexión VPN al SDDC. Consulte Configurar una conexión VPN entre el SDDC y el centro de datos local en la guía Redes y seguridad de VMware Cloud on AWS. Después de deshabilitar el acceso a la pestaña Redes y seguridad, la única forma de administrar la red del SDDC es una conexión con la instancia de NSX Manager local a través de una VPN. Para asegurarse de que puede comunicarse con la instancia de NSX Manager local en caso de un error de red, se recomienda configurar una conexión redundante, como AWS Direct Connect con una VPN basada en rutas como respaldo, como se describe en Configurar Direct Connect con una interfaz virtual privada para el tráfico de red de cálculo y administración de SDDC en la guía Redes y seguridad de VMware Cloud on AWS.

  • El fortalecimiento de la conformidad debe estar habilitado en el SDDC. VMware Cloud on AWS no habilita el fortalecimiento de la conformidad de forma predeterminada. Póngase en contacto con el equipo de la cuenta para obtener más información. El fortalecimiento de la conformidad se puede configurar en los SDDC con la versión 1.14 y posterior en una región de AWS que proporcione la compatibilidad adecuada, como se muestra en Elegir una región.

Procedimiento

  1. Inicie sesión en la Consola de VMware Cloud en https://vmc.vmware.com.
  2. Cree una regla de firewall de puerta de enlace de administración que le permita abrir una conexión HTTPS con la instancia de NSX Manager local de este SDDC.
    Consulte Agregar o modificar reglas de firewall de puerta de enlace de administración en la guía Redes y seguridad de VMware Cloud on AWS para obtener más información sobre cómo crear una regla de firewall de puerta de enlace de administración. La regla debe tener los siguientes parámetros:
    Propiedad de la regla de firewall de MGW Valor
    Orígenes Cualquiera o una dirección IP específica en la red local.
    Destinos El grupo definido por el sistema de NSX Manager.
    Servicios HTTPS (TCP 443)
    Acción Permitir
  3. (Requerido) Pruebe la regla de firewall.
    No podrá acceder a la instancia de NSX Manager local hasta que deshabilite el acceso a la pestaña Redes y seguridad, por lo que es importante comprobar que la regla de firewall funcione antes de continuar con el paso siguiente. Para probar la regla, compruebe que puede ver la página index.html de la instancia de NSX Manager local. Utilice un explorador web para abrir una conexión a https://NSX-Manager-IP/nsx/index.html donde NSX-Manager-IP es la Dirección IP privada que se muestra en Acceder a NSX Manager a través de una red interna en Información de NSX Manager en la pestaña Configuración del SDDC. Si la regla de firewall es correcta, esta solicitud devuelve la página index.html de la instancia de NSX Manager local, que muestra varios pares de clave/valor JSON, incluidos error_code: 403. No puede realizar ninguna acción en esta página.
  4. Después de verificar que la regla de firewall es correcta, puede deshabilitar el acceso a la pestaña Redes y seguridad.
    1. Desplácese hasta la pestaña Configuración del SDDC.
    2. En la sección Fortalecimiento de la conformidad de la pestaña Configuración, expanda la línea Acceso a la pestaña Red y seguridad para mostrar la tarjeta Deshabilitar acceso a la pestaña Redes y seguridad.
    3. Confirme su comprensión del flujo de trabajo.
      Después de comprobar que puede acceder a la página index.html de la instancia de NSX Manager local, seleccione la casilla de verificación para confirmar que creó y probó la regla de firewall necesaria y que está listo para continuar. Seleccione la casilla de verificación para confirmar que comprende que deberá presentar una solicitud de soporte de VMware si desea volver a habilitar el acceso a la pestaña Redes y seguridad para este SDDC.
    4. Haga clic DESHABILITAR para deshabilitar el acceso a Redes y seguridad.
  5. Abra NSX Manager.
    Inicie sesión en Consola de VMware Cloud y abra la pestaña Redes y seguridad. Haga clic en ABRIR NSX MANAGER en esta pestaña e inicie sesión con las Credenciales de NSX Manager predeterminadas. Para obtener más información sobre cómo utilizar NSX Manager, consulte NSX Manager en la Guía de administración de NSX.
    Nota:

    Si desea ver (pero no modificar) la configuración de redes de este SDDC, puede iniciar sesión con las credenciales de la Cuenta de usuario auditor de NSX Manager, que están disponibles en Información de NSX Manager en la pestaña Configuración.

Qué hacer a continuación

Después de deshabilitar el acceso a la pestaña Redes y seguridad, debe usar la instancia de NSX Manager local para administrar la red del SDDC. Puede desplazarse por la interfaz de usuario de NSX Manager de forma muy similar a como lo hace por la pestaña Redes y seguridad. Para obtener más información sobre cómo utilizar NSX Manager, consulte NSX Manager en la Guía de administración de NSX.

Importante:

Para cumplir con el requisito de conformidad de PCI 8.2.4 (Cambiar contraseñas/frases de contraseña de usuario al menos una vez cada 90 días), debe usar el REST API de NSX Manager, tal como se describe en el artículo de la base de conocimientos de VMware 83551.

Si necesita volver a habilitar el acceso a la pestaña Redes y seguridad, póngase en contacto con el soporte técnico de VMware.