Es posible crear un grupo de seguridad en el nivel de NSX Manager.

Requisitos previos

Si va a crear una directiva de seguridad para usarla con RDSH:

  • El servidor de Active Directory debe estar integrado con NSX Manager.
  • Los hosts deben tener habilitado DFW y deben estar actualizados a NSX 6.4.0.
  • Las máquinas de invitados deben ejecutar una versión actualizada de VMware Tools.
  • La versión de SVM de GI debe ser 6.4 o una posterior.
  • La regla debe crearse en una nueva sección de reglas de firewall.
  • La regla debe tener seleccionada la opción Habilitar la identidad del usuario en el origen (Enable User Identity at Source).
  • El campo Se aplica a (Applied to) no se admite para las reglas de acceso a escritorios remotos.
  • IDFW de RDSH no admite ICMP.

Procedimiento

  1. En vSphere Web Client, desplácese hasta Redes y seguridad (Networking & Security) > Seguridad (Security) > Service Composer.
  2. Asegúrese de estar en la pestaña Grupos de seguridad (Security Groups).
  3. Haga clic en Agregar grupo de seguridad (Add Security Group) o en el icono Agregar (Add).

    Los grupos de seguridad que se usen con el firewall de identidad de RDSH deben usar las directivas de seguridad en las que se marcó Habilitar la identidad del usuario en el origen (Enable User Identity at Source) cuando se crearon. Los grupos de seguridad que se usen con el firewall de identidad de RDSH solo pueden contener grupos de Active Directory (AD) y todos los grupos de seguridad anidados también deben ser grupos de AD.

  4. Escriba un nombre y una descripción para el grupo de seguridad y haga clic en Siguiente (Next).
  5. En la página Pertenencia dinámica (Dynamic Membership), defina los criterios que debe cumplir un objeto para que se pueda agregar al grupo de seguridad que va a crear.
    Por ejemplo, puede incluir un criterio para agregar al grupo de seguridad todos los miembros etiquetados con la etiqueta de seguridad especificada (como AntiVirus.virusFound).

    O bien puede agregar al grupo de seguridad todas las máquinas virtuales que contengan el nombre W2008 y las máquinas virtuales que estén en el conmutador lógico global_wire.

    Las etiquetas de seguridad distinguen entre mayúsculas y minúsculas.
    Nota: Si define un grupo de seguridad por las máquinas virtuales que tienen cierta etiqueta de seguridad aplicada, puede crear un flujo de trabajo dinámico o condicional. En el momento en que se aplica la etiqueta a la máquina virtual, esta se agrega automáticamente al grupo de seguridad.
  6. Haga clic en Siguiente (Next).
  7. En la página Seleccionar objetos para incluir (Select objects to include), seleccione el tipo de objeto en el menú desplegable.
    Tenga en cuenta que los grupos de seguridad que se usan en sesiones de escritorio remoto solo pueden contener grupos de directorios.
  8. Seleccione el objeto que desea agregar a la lista para incluirlo. Puede incluir los siguientes objetos en un grupo de seguridad.
    • Otros grupos de seguridad para agrupar dentro del grupo de seguridad que se va a crear.
    • Clúster
    • Conmutador lógico
    • Red
    • Aplicación virtual
    • Centro de datos
    • Conjuntos de direcciones IP
    • Grupos de AD
      Nota: La configuración de AD para los grupos de seguridad de NSX es diferente de la configuración de AD para vSphere SSO. La configuración de AD de NSX está destinada a usuarios finales que acceden a las máquinas virtuales invitadas mientras que vSphere SSO es para los administradores que utilizan vSphere y NSX.
    • Conjuntos de direcciones MAC
      Nota: Service Composer permite el uso de los grupos de seguridad que contienen conjuntos de direcciones MAC en las configuraciones de directivas. Sin embargo, Service Composer no puede aplicar reglas para ese conjunto específico de direcciones MAC. Service Composer funciona en la Capa 3 y no admite las construcciones de la Capa 2.
    • Etiqueta de seguridad
    • vNIC
    • Máquina virtual
    • Grupo de recursos
    • Grupo de puertos virtuales distribuidos
    Los objetos aquí seleccionados se incluyen siempre en el grupo de seguridad, independientemente de que coincidan o no con los criterios dinámicos.

    Cuando se agrega un recurso a un grupo de seguridad, todos los recursos asociados se agregan automáticamente. Por ejemplo, cuando selecciona una máquina virtual, la vNIC asociada se agrega automáticamente al grupo de seguridad.

  9. Haga clic en Siguiente (Next) y doble clic en los objetos que desea excluir del grupo de seguridad.
    Los objetos aquí seleccionados se excluyen siempre del grupo de seguridad, aunque coincidan con los criterios dinámicos o estén seleccionados en la lista de inclusión.
  10. Haga clic en Finalizar (Finish).

Ejemplo

La pertenencia a un grupo de seguridad se determina de la siguiente manera:

{Resultado de la expresión (procede del Paso 5) + Inclusiones (especificadas en el Paso 7} - Exclusión (especificadas en el Paso 9) lo que significa que los elementos de inclusión se agregan primero al resultado de la expresión. A continuación, se restan los elementos de exclusión del resultado total.