Las funciones del firewall de identidad (IDFW) permiten al administrador de NSX crear reglas de firewall distribuido (DFW) basadas en el usuario.

El IDFW se puede usar en escritorios virtuales (VDI) o sesiones de escritorios remotos (soporte de RDSH), lo que permite los inicios de sesión simultáneos de varios usuarios, el acceso de aplicaciones de usuario según ciertos requisitos y la capacidad de mantener los entornos de usuarios independientes. Los sistemas de administración de infraestructura de escritorios virtuales controlan qué usuarios tienen acceso a las máquinas virtuales de VDI. NSX-T controla el acceso a los servidores de destino de la máquina virtual de origen, que tiene el IDFW habilitado. Con los administradores de RDSH se crean grupos de seguridad con distintos usuarios en Active Directory (AD), y se permite o se deniega a dichos usuarios el acceso a un servidor de aplicaciones en función de su función. Por ejemplo, Recursos Humanos e Ingeniería pueden conectarse al mismo servidor RDSH y tener acceso a diferentes aplicaciones de ese servidor.

IDFW también se puede utilizar en máquinas virtuales con sistemas operativos compatibles. Consulte Configuraciones admitidas del firewall de identidad.

Al preparar la infraestructura comienza una visión general de alto nivel del flujo de trabajo de la configuración de IDFW. Esto incluye que el administrador instale los componentes de preparación del host en cada clúster protegido y que establezca la sincronización de Active Directory de forma que NSX pueda aceptar usuarios y grupos de AD. A continuación, IDFW debe saber en qué escritorio inicia sesión un usuario de Active Directory y aplicar las reglas de IDFW. Cuando un usuario genera eventos de red, la instancia de Thin Agent instalada con VMware Tools en la máquina virtual recopila y reenvía la información, y la envía al motor de contexto. Esta información se utiliza para hacer que se cumpla el firewall distribuido.

IDFW procesa la identidad del usuario en el origen únicamente en las reglas de firewall distribuido. Los grupos basados en identidad no se pueden utilizar como destino en las reglas de DFW.

Nota: IDFW se basa en la seguridad y la integridad del sistema operativo invitado. Existen varios métodos para que un administrador local malintencionado suplante su identidad para omitir las reglas de firewall. La información de identidad del usuario se proporciona en NSX Guest Introspection Thin Agent dentro de las máquinas virtuales invitadas. Los administradores de seguridad deben asegurarse de que el Thin Agent esté instalado y en ejecución en cada máquina virtual invitada. Los usuarios que iniciaron sesión no deben tener el privilegio para eliminar o detener el agente.

Para conocer las configuraciones de IDFW compatibles, consulte Configuraciones admitidas del firewall de identidad.

Flujo de trabajo de IDFW:
  1. Un usuario inicia sesión en una máquina virtual e inicia una conexión de red al abrir Skype o Outlook.
  2. Thin Agent, que recopila información de conexión e información de identidad y la envía al motor de contexto, detecta un evento de inicio de sesión de usuario.
  3. El motor de contexto reenvía la información de conexión y de identidad a la regla del firewall distribuido para hacer cumplir las reglas aplicables.