El objetivo de NSX Intrusion Detection and Prevention Service (IDS/IPS) es supervisar el tráfico de red en los hosts y las instancias de Edge para detectar actividad malintencionada mediante la comparación del tráfico con un conjunto conocido de firmas. El objetivo de Prevención de malware de NSX es extraer archivos del tráfico de red en los hosts y las instancias de Edge, y analizar estos archivos en busca de comportamiento malintencionado.

Descripción general de NSX Intrusion Detection and Prevention Service

NSX IDS/IPS supervisa el tráfico de red en un host en busca de actividad sospechosa mediante la comparación del tráfico con las firmas. Una firma especifica un patrón para un tipo de intrusión de red que se debe detectar y notificar. Cada vez que se encuentra un patrón de tráfico coincidente con una firma, se realiza una acción predefinida, como generar una alerta o bloquear el tráfico para que no llegue a su destino.

NSX Data Center admite la capacidad de IDS/IPS en los siguientes firewalls:
  • Firewall distribuido: antes de NSX Data Center 3.2, la implementación de IDS se limitaba a firmas basadas en conocimientos. Las firmas basadas en conocimientos incorporan conocimientos o patrones específicos que corresponden a un tipo de ataque conocido. En este enfoque, IDS intenta detectar intrusiones basadas en secuencias de instrucciones malintencionadas ya conocidas especificadas en las firmas. Por lo tanto, las firmas basadas en conocimientos se limitan a los ataques que ya se conocen y no pueden cubrir amenazas dirigidas o de día cero.

    A partir de NSX Data Center 3.2, IDS también admite la detección basada en comportamientos. La detección basada en el comportamiento intenta identificar un comportamiento anómalo mediante el anclaje de eventos interesantes que son diferentes o inusuales en comparación con una línea base o un tráfico normal.

    Estos eventos se denominan informativos y consisten en eventos que apuntan a actividades inusuales en una red que no necesariamente son malintencionadas, sino que pueden proporcionar información valiosa al investigar una infracción. Las firmas se incluyen junto con una lógica de detección personalizada que se puede actualizar sin tener que volver a compilar ni modificar el motor de IDS. La detección basada en comportamiento introduce un nuevo nivel de gravedad de intrusión de IDS como "sospechoso".

  • Firewall de puerta de enlace: a partir de NSX Data Center 3.2, IDS/IPS también está disponible en el firewall de puerta de enlace.
    Importante: En NSX-T Data Center 3.2, la función IDS/IPS de NSX en el firewall de puerta de enlace está disponible en el modo de vista previa técnica. Utilice esta función solo para fines experimentales.

Descripción general de Prevención de malware de NSX

Prevención de malware de NSX puede detectar y evitar archivos malintencionados conocidos y desconocidos. Los archivos malintencionados desconocidos también se conocen como amenazas de día cero. Para detectar malware, Prevención de malware de NSX utiliza una combinación de las siguientes técnicas:
  • Detección basada en hash de archivos malintencionados conocidos
  • Análisis local de archivos desconocidos
  • Análisis de nube de archivos desconocidos
Nota: En NSX-T Data Center 3.2, Prevención de malware de NSX admite las siguientes capacidades:
  • En el firewall de puerta de enlace, solo se admite la detección de malware. Se admiten tanto el análisis local como el análisis en la nube de archivos de malware. Para ver la lista de categorías de archivos compatibles, consulte Categorías de archivos compatibles con Prevención de malware de NSX.
  • En el firewall distribuido, la detección y prevención de malware solo se admite para endpoints invitados (máquinas virtuales) de Windows que se ejecutan en clústeres de hosts de vSphere preparados para NSX. Solo se admiten archivos ejecutables portátiles (PE) de Windows en el análisis local y el análisis en la nube. Actualmente, NSX Distributed Malware Prevention no admite otras categorías de archivos.
  • El límite de tamaño máximo de archivo admitido es 64 MB.

Vista general conceptual de la función Prevención de malware de NSX en NSX-T Data Center.

En el tráfico norte-sur, la función Prevención de malware de NSX utiliza el motor IDS/IPS en las instancias de Edge NSX para extraer o interceptar los archivos que entran en el centro de datos. En el tráfico este-oeste, esta función utiliza las capacidades de la plataforma NSX Guest Introspection (GI). Si el archivo omite el control en NSX Edge y llega al host, la instancia de Thin Agent de GI extrae el archivo en máquinas virtuales invitadas Windows.

Para detectar y evitar malware en máquinas virtuales invitadas Windows, debe implementar el servicio NSX Distributed Malware Prevention en clústeres de hosts de vSphere preparados para NSX. Cuando se implementa este servicio, se instala una máquina virtual de servicio (SVM) en cada host del clúster de vSphere y se habilita Prevención de malware de NSX en el clúster del host.