Una directiva de seguridad es un conjunto de servicios de Guest Introspection, de firewall y de introspección de red que se puede aplicar a un grupo de seguridad. La ponderación asociada con la directiva determina el orden en que se muestran las directivas de seguridad lo determina. De forma predeterminada, a una directiva nueva se le asigna la ponderación más alta para ubicarla en la parte superior de la tabla. Sin embargo, se puede modificar la ponderación sugerida predeterminada para cambiar el orden asignado a la directiva nueva.

Requisitos previos

Asegúrese de que:
  • Los servicios integrados de VMware requeridos (como Distributed Firewall y Guest Introspection) estén instalados.
  • Los servicios de partners necesarios se hayan registrado con NSX Manager.
  • La opción predeterminada que desee aplicar al valor se configura para las reglas del firewall de Service Composer. Consulte Editar la opción "Se aplica a" (Applied to) del firewall de Service Composer.

Si va a crear un marco de directivas de seguridad para el firewall de identidad de RDSH:

  • El servidor de Active Directory debe estar integrado con NSX Manager.
  • Los hosts deben tener habilitado DFW y deben estar actualizados a NSX 6.4.0.
  • Las máquinas de invitados deben ejecutar una versión actualizada de VMware Tools.
  • La versión de SVM de GI debe ser 6.4 o una posterior.
  • La regla debe crearse en una nueva sección de reglas de firewall.
  • La regla debe tener seleccionada la opción Habilitar la identidad del usuario en el origen (Enable User Identity at Source).
  • El campo Se aplica a (Applied to) no se admite para las reglas de acceso a escritorios remotos.
  • IDFW de RDSH no admite ICMP.

Procedimiento

  1. En vSphere Web Client, desplácese hasta Redes y seguridad (Networking & Security) > Seguridad (Security) > Service Composer.
  2. Haga clic en la pestaña Directivas de seguridad (Security Policies).
  3. Para crear una nueva directiva de seguridad:
    • En NSX 6.4.1 y versiones posteriores, haga clic en Agregar (Add).
    • En NSX 6.4.0, haga clic en el icono Crear directiva de seguridad (Create Security Policy) (agregar).
  4. En el cuadro de diálogo Crear directiva de seguridad (Create Security Policy) o Nueva directiva de seguridad (New Security Policy), escriba un nombre para la directiva de seguridad.
  5. Escriba una descripción para la directiva de seguridad. La descripción no debe tener más de 255 caracteres.
    NSX asigna una ponderación predeterminada (la ponderación más alta +1.000) a la directiva. Por ejemplo, si la ponderación más alta en la directiva existente es 1.200, a la directiva nueva se le asignará la ponderación 2.200.

    Las directivas de seguridad se aplican según su ponderación: una directiva con ponderación más alta tiene precedencia sobre una con ponderación más baja.

  6. Seleccione Heredar directiva de seguridad (Inherit security policy) si desea que la directiva que va a crear reciba servicios de otra directiva de seguridad. Seleccione la directiva primaria.
    La directiva nueva hereda todos los servicios de la directiva primaria.
  7. Haga clic en Siguiente (Next).
  8. En la página Servicios de Guest Introspection (Guest Introspection Services), haga clic en el icono Agregar (Add) o Agregar servicio de Guest Introspection (Add Guest Introspection Service) (icono agregar).
    1. En el cuadro de diálogo Agregar servicio de Guest Introspection (Add Guest Introspection Service), escriba un nombre y una descripción para el servicio.
    2. Especifique si desea aplicar el servicio o bloquearlo.
      Cuando hereda una directiva de seguridad, puede elegir bloquear un servicio de la directiva primaria.

      Si aplica un servicio, debe seleccionar un servicio y un perfil de servicio. Si bloquea un servicio, debe seleccionar el tipo de servicio que se debe bloquear.

    3. Si elige bloquear el servicio, seleccione el tipo de servicio.
    4. Si eligió aplicar el servicio de Guest Introspection, seleccione el nombre del servicio.
      Se muestra el perfil de servicio predeterminado del servicio seleccionado, que incluye información sobre los tipos de funcionalidad de servicios admitidos por la plantilla de proveedor asociada.
    5. En Estado (State), especifique si desea habilitar el servicio de Guest Introspection o deshabilitarlo.

      Puede agregar servicios de Guest Introspection como marcadores de posición para habilitar los servicios más adelante. Esto resulta particularmente útil en los casos en los que los servicios se deben aplicar a petición (por ejemplo, aplicaciones nuevas).

    6. Seleccione si se debe aplicar el servicio de Guest Introspection (es decir, no se puede anular). Si el perfil de servicio seleccionado es compatible con varios tipos de funcionalidad de servicios, esto se establece en Aplicar (Enforce) de forma predeterminada y no se puede cambiar.

      Si aplica un servicio de Guest Introspection en una directiva de seguridad, otras directivas que heredan esta directiva de seguridad requerirían que esta directiva se aplique antes que otras secundarias. Si no se aplica este servicio, una selección de herencia agregaría la directiva primaria una vez aplicadas las directivas secundarias.

    7. Haga clic en Aceptar (OK).
    Es posible agregar servicios de Guest Introspection adicionales con los pasos anteriores. Los servicios de Guest Introspection se pueden administrar por medio de los iconos ubicados arriba de la tabla de servicios.

    En NSX 6.4.0, puede exportar o copiar los servicios en esta página si hace clic en el icono exportar situado en la parte inferior derecha de la página Servicios de Guest Introspection (Guest Introspection Services).

  9. Haga clic en Siguiente (Next).
  10. En la página Firewall, puede definir las reglas de firewall de los grupos de seguridad a los que se aplicará esta directiva de seguridad.

    Al crear una directiva de seguridad para el firewall de identidad de RDSH, debe marcar la casilla Habilitar la identidad del usuario en el origen (Enable User Identity at Source). Tenga en cuenta que esto deshabilita la opción de habilitar el firewall sin estado, ya que se realiza un seguimiento del estado de conexión TCP para identificar el contexto. Esta opción no se puede cambiar mientras se está actualizando la directiva. Una vez que se cree una directiva de seguridad con Habilitar la identidad del usuario en el origen (Enable User Identity at Source), la herencia no será compatible.

    1. Haga clic en la casilla de verificación para habilitar los siguientes parámetros opcionales:
      Opción Descripción
      Habilitar la identidad del usuario en el origen (Enable User Identity at Source)

      Al usar el firewall de identidad de RDSH, se debe marcar la casilla Habilitar la identidad del usuario en el origen (Enable User Identity at Source). Tenga en cuenta que esto deshabilita la opción de habilitar el firewall sin estado, ya que se realiza un seguimiento del estado de conexión TCP para identificar el contexto.

      Habilitar TCP estricto (Enable TCP Strict) Permite establecer TCP estricto en cada sección de firewall.
      Habilitar firewall sin estado (Enable Stateless Firewall) Habilita el firewall sin estado en cada sección de firewall.
    2. Haga clic en Agregar (Add) o en el icono Agregar regla de firewall (Add Firewall Rule) (icono agregar).
    3. Escriba un nombre y una descripción para la regla de firewall que está por agregar.
    4. Seleccione Permitir (Allow), Bloquear (Block) o Rechazar (Reject) para indicar si la regla debe permitir, bloquear o rechazar el tráfico hacia el destino seleccionado.
    5. Seleccione el origen para la regla. De forma predeterminada, la regla se aplica al tráfico que proviene de los grupos de seguridad a los que se aplica esta directiva. Para cambiar el origen predeterminado, haga clic en Seleccionar (Select) o Cambiar (Change) y seleccione los grupos de seguridad adecuados.
    6. Seleccione el destino para la regla.
      Nota: El origen o el destino, o ambos, deben ser grupos de seguridad a los se aplica esta directiva.
      Supongamos que crea una regla con el Origen (Source) predeterminado, especifica el Destino (Destination) como Nómina (Payroll) y selecciona Negar destino (Negate Destination). Después, aplica esta directiva de seguridad al grupo de seguridad Ingeniería (Engineering). Esto permitiría que Ingeniería (Engineering) acceda a todo excepto al servidor de Nómina (Payroll).
    7. Seleccione los servicios o los grupos de servicios a los que se aplica la regla.
    8. Seleccione Habilitado (Enabled) o Deshabilitado (Disabled) para especificar el estado de la regla.
    9. Seleccione Registrar (Log) para registrar las sesiones que coincidan con esta regla.
      Si el registro se habilita, el rendimiento puede verse afectado.
    10. Escriba el texto que quiere agregar en el cuadro de texto Etiqueta (Tag), mientras agrega o edita la regla de firewall.
    11. Haga clic en Aceptar (OK).
    Es posible agregar reglas de firewall adicionales con los pasos anteriores. Es posible administrar las reglas de firewall por medio de los iconos ubicados arriba de la tabla de firewall.

    En NSX 6.4.0, para exportar o copiar las reglas en esta página si hace clic en el icono exportar en la parte inferior derecha de la página Firewall.

    Las reglas de firewall que agrega aquí se muestran en la tabla de firewall. VMware recomienda no editar las reglas de Service Composer en la tabla de firewall. Si debe hacerlo para solucionar problemas, debe volver a sincronizar las reglas de Service Composer con las reglas de firewall como se describe a continuación:
    • En NSX 6.4.1 y versiones posteriores, seleccione Sincronizar (Synchronize) en la pestaña Directivas de seguridad (Security Policies).
    • En NSX 6.4.0, seleccione Sincronizar las reglas de firewall (Synchronize Firewall Rules) en el menú Acciones (Actions) de la pestaña Directivas de seguridad (Security Policies).
  11. Haga clic en Siguiente (Next).
    La página Servicios de introspección de red (Network Introspection Services) muestra los servicios de NetX que se integraron con el entorno virtual de VMware.
  12. Haga clic en la casilla de verificación para habilitar los siguientes parámetros opcionales:
    Opción Descripción
    Habilitar TCP estricto (Enable TCP Strict) Permite establecer TCP estricto en cada sección de firewall.
    Habilitar firewall sin estado (Enable Stateless Firewall) Habilita el firewall sin estado en cada sección de firewall.
  13. Haga clic en el icono Agregar (Add) o Agregar servicio de introspección de red (Add Network Introspection Service) (icono agregar).
    1. Escriba un nombre y una descripción para el servicio que desea agregar.
    2. Seleccione si desea redirigir el servicio o no.
    3. Seleccione el nombre y el perfil del servicio.
    4. Seleccione el origen y el destino.
    5. Seleccione el servicio de red que desea agregar.
      Puede realizar selecciones adicionales según el servicio que seleccionó.
    6. Seleccione si desea habilitar o deshabilitar el servicio.
    7. Seleccione Registrar (Log) para registrar las sesiones que coincidan con esta regla.
    8. Escriba el texto que desee agregar en el cuadro de texto Etiqueta (Tag).
    9. Haga clic en Aceptar (OK).
    Es posible agregar servicios de introspección de red adicionales con los pasos anteriores. Los servicios de introspección de red se pueden administrar por medio de los iconos sobre la tabla de servicios.

    En NSX 6.4.0, puede exportar o copiar los servicios en esta página si hace clic en el icono exportar situado en la parte inferior derecha de la página Servicio de instrospección de red (Network Introspection Service).

    Nota: Se sobrescribirán los enlaces creados manualmente para los perfiles de servicio utilizados en las directivas de Service Composer.
  14. Haga clic en Finalizar (Finish).
    La directiva de seguridad se agrega a la tabla de directivas. Puede hacer clic en el nombre de la directiva y seleccionar la pestaña adecuada para ver un resumen de los servicios asociados con la directiva, ver los errores de servicio o editar un servicio.

Qué hacer a continuación

Asigne la directiva de seguridad a un grupo de seguridad.