En este ejemplo, su objetivo es crear una directiva de seguridad con reglas de firewall de prevención de malware distribuido que detecte e impida archivos ejecutables portátiles malintencionados en máquinas virtuales de carga de trabajo Windows que ejecutan servidores de base de datos y servidores web en la organización.

Puede utilizar el servicio de NSX Distributed Malware Prevention en NSX-T Data Center para cumplir este objetivo. En este ejemplo, agrupará las máquinas virtuales de carga de trabajo de los servidores de base de datos y los servidores web mediante un criterio de pertenencia dinámica basado en etiquetas.

Asunciones:

  • Las etiquetas necesarias para agrupar las máquinas virtuales de carga de trabajo ya se agregaron al inventario de NSX-T, como se indica a continuación:
    • Nombre de etiqueta: DB, Ámbito: Servidores
    • Nombre de etiqueta: WEB, Ámbito: Servidores
  • La etiqueta DB se asigna a tres cargas de trabajo de base de datos (máquinas virtuales Windows): VM1, VM2 y VM3.
  • La etiqueta WEB se asigna a tres cargas de trabajo de aplicaciones (máquinas virtuales Windows): VM4, VM5 y VM6
  • La opción Análisis de archivos de nube está seleccionada en el perfil de prevención de malware.

Requisitos previos

La máquina virtual de servicio de Prevención de malware de NSX se implementa en clústeres de hosts de vSphere en los que se ejecutan las máquinas virtuales de carga de trabajo. Para obtener instrucciones detalladas, consulte Implementar el servicio NSX Distributed Malware Prevention.

Procedimiento

  1. En su navegador, inicie sesión en un NSX Manager en https://dirección-ip-nsx-manager.
  2. Organice las máquinas virtuales de carga de trabajo de base de datos y las máquinas virtuales de carga de trabajo de aplicaciones en dos grupos.
    1. Desplácese a Inventario > Grupos.
    2. Haga clic en Agregar grupo.
    3. Cree dos grupos con un criterio de pertenencia dinámica basado en etiquetas y con máquinas virtuales como miembros, como se muestra en las siguientes capturas de pantalla.

      : criterio dinámico para el grupo de servidores de base de datos basado en una etiqueta asignada a la máquina virtual.

      : criterio dinámico para el grupo de servidores web basado en una etiqueta asignada a la máquina virtual.
    4. En la página Grupos, haga clic en Ver miembros en cada uno de ellos y compruebe que se muestren los miembros efectivos.
      Nombre del grupo Miembros efectivos
      Servidores de base de datos VM1, VM2, VM3
      Servidores web VM4, VM5, VM6
  3. Desplácese a Seguridad > IDS/IPS y prevención de malware > Reglas distribuidas.
  4. Haga clic en Agregar directiva para crear una sección e introduzca un nombre para la directiva.
    Por ejemplo, introduzca Malware-Prevention-Rules.
  5. Haga clic en Agregar regla y configure las opciones de la regla.
    1. Introduzca un nombre para la regla.
      Por ejemplo, introduzca Protect-DB-Web-Servers.
    2. En las columnas Orígenes, Destinos y Servicios, mantenga el valor Cualquiera.
    3. En la columna Perfiles de seguridad, seleccione el perfil de prevención de malware que se utilizará para esta regla.
    4. En la columna Se aplica a, seleccione los grupos Servidores de base de datos y Servidores web que creó anteriormente.
    5. En la columna Modo, seleccione Detectar y prevenir.
  6. Publique la regla.

Resultados

La regla se insertará en el host.

Cuando se detectan archivos ejecutables portátiles (PE) de Windows en las máquinas virtuales de carga de trabajo, se generarán eventos de archivo y se mostrarán en el panel de control Prevención de malware. Si el archivo es benigno, el archivo se descargará en la máquina virtual de carga de trabajo. Si el archivo es un malware conocido (el archivo coincide con las firmas de archivos de malware conocidos en NSX-T), y Detectar y prevenir se especifica en la regla, el archivo malintencionado se bloqueará en la máquina virtual de carga de trabajo.

Si el archivo es un malware desconocido (amenaza de día cero) y se detecta por primera vez en el centro de datos, se descargará en la máquina virtual de carga de trabajo. Después de que NSX-T haya determinado que el archivo es malintencionado mediante análisis de archivos locales o análisis de archivos de nube, el veredicto se distribuirá a los demás hosts ESXi y las instancias de NSX Edge del centro de datos que se activados para Prevención de malware de NSX. Cuando se vuelve a detectar el archivo con el mismo hash en cualquiera de las máquinas virtuales de carga de trabajo protegidas por Prevención de malware de NSX, se aplica la directiva de seguridad y se bloquea el archivo malintencionado en las máquinas virtuales de carga de trabajo.