Service Composer

Service Composer permite aprovisionar y asignar los servicios de red y seguridad a las aplicaciones en una infraestructura virtual. Estos servicios se asignan a un grupo de seguridad y se aplican a las máquinas virtuales del grupo de seguridad.

Grupo de seguridad

En principio, debe crear un grupo de seguridad para definir los activos que desea proteger. Los grupos de seguridad pueden ser estáticos (incluidas máquinas virtuales específicas) o dinámicos, y la pertenencia puede definirse en una o varias de las siguientes formas:

Contenedores vCenter (clústeres, grupos de puertos o centros de datos)
Etiquetas de seguridad, IPset, MACset o incluso otros grupos de seguridad Por ejemplo, puede incluir un criterio para agregar al grupo de seguridad todos los miembros etiquetados con la etiqueta de seguridad especificada (como AntiVirus.virusFound).
Grupos de Active Directory (si NSX Manager se registró con Active Directory)
Expresiones regulares, como máquinas virtuales con el nombre VM1

Tenga en cuenta que la pertenencia al grupo de seguridad cambia constantemente. Por ejemplo, una máquina virtual que tiene la etiqueta AntiVirus.virusFound se mueve al grupo de seguridad para cuarentena. Cuando se borra el virus y se quita la etiqueta de la máquina virtual, vuelve a salir del grupo de seguridad para cuarentena.

Importante: Si el VM-ID de una máquina virtual se vuelve a generar porque esta se movió o se copió, las etiquetas de seguridad no se propagan al nuevo VM-ID.

Directiva de seguridad (Security Policy)

Una directiva de seguridad es una recopilación de las siguientes configuraciones de servicios.

Tabla 1. Servicios de seguridad contenidos en una directiva de seguridad
Servicio (Service)	Descripción	Aplica a
Reglas de firewall	Reglas que definen el tráfico que se permitirá que circule desde, hacia o dentro del grupo de seguridad.	vNIC
Servicio de extremo	Servicios de un proveedor de soluciones de terceros, como servicios de administración de vulnerabilidad o antivirus.	máquinas virtuales
Servicios de introspección de red	Servicios que supervisan la red, como IPS.	máquinas virtuales

Durante la implementación de servicios en NSX, el proveedor de soluciones de terceros selecciona la categoría del servicio que se va a implementar. Para cada plantilla de proveedor se crea un perfil de servicios predeterminado.

Cuando los servicios del proveedor se actualizan a NSX 6.1, se crean perfiles de servicio predeterminados para las plantillas de proveedores que se van a actualizar. Las directivas de servicios existentes que incluyen reglas de Guest Introspection se actualizan para establecer una referencia con los perfiles de servicio creados durante la actualización.

Asignar una directiva de seguridad a un grupo de seguridad

Es posible asignar una directiva de seguridad (por ejemplo, DS1) a un grupo de seguridad (GS1). Los servicios configurados en DS1 se aplican a todas las máquinas virtuales que pertenecen a GS1.

Nota: Si tiene muchos grupos de seguridad a los que debe aplicar la misma directiva de seguridad, cree un grupo de seguridad principal que incluya todos los grupos de seguridad secundarios y aplique la directiva de seguridad común al grupo principal. De este modo, se garantiza que Distributed Firewall de NSX utilice de forma eficiente la memoria del host ESXi.

Figura 1. Descripción general de Service Composer

Si una máquina virtual pertenece a más de un grupo de seguridad, los servicios que se aplican a la máquina virtual dependen de la prioridad de la directiva de seguridad asignada a los grupos de seguridad.

Los perfiles de Service Composer pueden exportarse e importarse como copias de seguridad o utilizarse en otros entornos. Este enfoque para la administración de servicios de red y seguridad permite la administración de directivas de seguridad reiterativa y que se puede accionar.