La función Directiva de cuarentena de NSX Cloud proporciona un mecanismo de detección de amenazas para las máquinas virtuales de carga de trabajo administradas por NSX.

La directiva de cuarentena se implementa de forma diferente en los dos modos de administración de máquinas virtuales.

Tabla 1. Implementación de la directiva de cuarentena en Modo forzado de NSX y en Modo forzado de nube nativa
Configuraciones relacionadas con la directiva de cuarentena En Modo forzado de NSX En Modo forzado de nube nativa
Estado predeterminado Deshabilitado al implementar PCG con NSX Tools. Puede habilitarlo desde la pantalla de implementación de PCG o más tarde. Consulte Cómo habilitar o deshabilitar la directiva de cuarentena. Siempre habilitado. No se puede deshabilitar.
Grupos de seguridad creados automáticamente exclusivos de cada modo Todas las máquinas virtuales administradas por NSX que estén en buen estado se asignan al grupo de seguridad vm-underlay-sg . Se crean grupos de seguridad de nsx-<NSX GUID> y se aplican a las máquinas virtuales de carga de trabajo administradas por NSX que coinciden con una directiva de firewall distribuido en NSX Manager
Los grupos de seguridad de nube pública creados automáticamente son comunes para ambos modos:
Los grupos de seguridad de gw se aplican a las interfaces de PCG correspondientes en AWS y Microsoft Azure.
  • gw-mgmt-sg
  • gw-uplink-sg
  • gw-vtep-sg
Los grupos de seguridad de vm se aplican a las máquinas virtuales administradas por NSX en función de su estado actual y de si la directiva de cuarentena está habilitada o deshabilitada:
  • default-vnet-<vnet-id>-sg en Microsoft Azure y default en AWS.
    Nota: En AWS, el grupo de seguridad de default ya existe. No lo crea NSX Cloud.

Recomendación general para Modo forzado de NSX :

Comenzar con deshabilitado para las implementaciones de tipo Brownfield: la directiva de cuarentena está deshabilitada de forma predeterminada. Cuando ya ha configurado máquinas virtuales en el entorno de nube pública, utilice el modo deshabilitado para la directiva de cuarentena hasta que integre sus máquinas virtuales de la carga de trabajo. Esto garantiza que las máquinas virtuales existentes no se ponen automáticamente en cuarentena.

Comenzar con habilitado para las implementaciones de tipo Greenfield: para las implementaciones de tipo greenfield, se recomienda habilitar la directiva de cuarentena para permitir que NSX Cloud administre la detección de amenazas de las máquinas virtuales.