Las funciones del firewall de identidad permiten al administrador de NSX crear un usuario de Active Directory basado en reglas de DFW.
Al preparar la infraestructura comienza una visión general de alto nivel del flujo de trabajo de la configuración de IDFW. Esto incluye que el administrador instale los componentes de preparación del host en cada clúster protegido y que establezca la sincronización de Active Directory de forma que NSX pueda aceptar usuarios y grupos de AD. A continuación, IDFW debe saber en qué escritorio inicia sesión un usuario de Active Directory (AD) para poder aplicar las reglas de DFW. IDFW utiliza dos métodos para detectar el inicio de sesión: Guest Introspection (GI) y/o a través del recopilador de registros de eventos de Active Directory. Guest Introspection se implementa en los clústeres de ESXi en los que se ejecutan las máquinas virtuales de IDFW. Cuando un usuario genera eventos de red, un agente invitado instalado en la máquina virtual envía la información a través de la trama de Guest Introspection a NSX Manager. La segunda opción es el recopilador de registros de eventos de Active Directory. Configure el recopilador de registros de eventos de Active Directory en NSX Manager para señalar una instancia de la controladora de dominio de Active Directory. NSX Manager extraerá eventos del registro de eventos de seguridad de AD. Puede usar ambos en su entorno o bien uno de ellos. Cuando se utilizan tanto el recopilador de registros de AD como Guest Introspection, Guest Introspection tendrá prioridad. Tenga en cuenta que si se utiliza el recopilador de registros de eventos de AD y Guest Introspection, ambos son mutuamente exclusivos: si uno de ellos deja de funcionar, el otro no comenzará a trabajar como copia de seguridad.
Una vez que la infraestructura está preparada, el administrador crea grupos de seguridad de NSX y agrega los grupos de AD de disponibilidad reciente (a los que se hace referencia como Grupo de directorios). El administrador podrá a continuación crear directivas de seguridad con reglas de firewall asociadas y aplicar dichas directivas a los grupos de seguridad recién creados. Ahora, cuando un usuario inicie sesión en un escritorio, el sistema detectará ese evento a través de la dirección IP que se utilizó, buscará la directiva del firewall que está asociada a dicho usuario y empujará estas reglas hacia abajo. Esto funciona tanto para escritorios físicos como virtuales. Para los escritorios físicos, es necesario que el recopilador de registros de eventos de Active Directory también detecte que un usuario inició sesión en un escritorio físico.
El firewall de identidad se puede usar en procesos de microsegmentación con sesiones de escritorios remotos (RDSH), habilitando los inicios de sesión de varios usuarios, el acceso de aplicaciones de usuario según ciertos requisitos y la capacidad de mantener los entornos de usuarios independientes. El firewall de identidad requiere Active Directory para sesiones de escritorio remoto.
Para conocer los sistemas operativos Windows que se admiten, consulte Configuraciones admitidas y probadas del firewall de identidad. Tenga en cuenta que el firewall de identidad no acepta sistemas operativos basados en Linux.
