Preparar el centro de datos para NSX IDS/IPS y Prevención de malware de NSX

Puede configurar las funciones NSX IDS/IPS y Prevención de malware de NSX en el entorno de NSX-T Data Center solo si el centro de datos utiliza una licencia adecuada.

Para obtener información sobre las licencias necesarias para ejecutar la solución NSX Advanced Threat Prevention, consulte la sección Licencias de seguridad de Tipos de licencia.

La preparación del centro de datos para NSX Intrusion Detection/Prevention y Prevención de malware de NSX implica varios pasos. Para realizar estos pasos, puede usar el asistente Configuración de prevención de malware e IDS/IPS.

El asistente de configuración es como un proceso de incorporación que le guiará por una secuencia de pasos para preparar el centro de datos para estas dos funciones de seguridad. Para ejecutar este asistente, desplácese hasta Seguridad > IDS/IPS y Prevención de malware.

Si NSX-T detecta que no se agregaron las licencias adecuadas, la página mostrará el siguiente texto:

Las funciones IDS/IPS y Prevención de malware no son compatibles con la licencia actual.

Si NSX-T detecta que se agregaron las licencias adecuadas, la página mostrará los botones Iniciar configuración y Omitir configuración.

Para iniciar el asistente de configuración, haga clic en Iniciar configuración. Siga las instrucciones que aparecen en pantalla y esta documentación para completar los pasos del asistente.

Si desea guardar el progreso en cualquier etapa y salir del asistente, haga clic en Volver a la página principal. Más adelante, podrá continuar con la configuración desde donde la dejó.
Si desea restablecer el asistente de configuración y volver a empezar desde el principio, haga clic en Cancelar. Al cancelar la configuración, se eliminarán las selecciones realizadas en el asistente, pero no se eliminarán las implementaciones que se completaron en el asistente. Por ejemplo, si completó la implementación de NSX Application Platform y la máquina virtual de servicio de Prevención de malware de NSX en clústeres de hosts antes de restablecer el asistente, estas implementaciones se conservarán.
Si no desea utilizar el asistente de configuración y prefiere configurar las dos funciones de seguridad por su cuenta más adelante, haga clic en Omitir configuración. NSX Manager no volverá a mostrar este asistente. Más adelante, podrá desplazarse hasta Seguridad > IDS/IPS y prevención de malware > Configuración y configurar el centro de datos para ambas funciones. Para obtener información sobre el uso de la página Configuración de IDS/IPS y prevención de malware, consulte Configurar NSX IDS/IPS y Prevención de malware de NSX.

De forma predeterminada, todas las casillas de las tarjetas de las funciones IDS/IPS y Prevención de malware están seleccionadas para la configuración. Si es necesario, puede editar las selecciones. Cuando esté listo para continuar, haga clic en Siguiente. Las selecciones determinan las pestañas que se muestran en el asistente, como se explica en la siguiente tabla.

Nota: NSX Application Platform es un requisito previo para Prevención de malware de NSX, pero no para NSX IDS/IPS.

Funciones seleccionadas	Pestañas mostradas
IDS/IPS en el tráfico este-oeste o IDS/IPS en tráfico norte-sur (en NSX-T Data Center 3.2.0, esta función solo estaba disponible en el modo de vista previa técnica. A partir de NSX-T Data Center 3.2.1, la función está disponible para entornos de producción y es totalmente compatible).	Configurar proxy de NSX Administrar firmas Habilitar nodos
Prevención de malware solo en el tráfico este-oeste	Configurar proxy de NSX Implementar NSX Application Platform Implementar máquina virtual de servicio
Prevención de malware solo en el tráfico norte-sur	Configurar proxy de NSX Implementar NSX Application Platform Habilitar nodos
Prevención de malware en el tráfico este-oeste y el tráfico norte-sur	Configurar proxy de NSX Implementar NSX Application Platform Implementar máquina virtual de servicio Habilitar nodos
Todas las funciones seleccionadas	Se muestran las cinco pestañas del asistente

Configurar el servidor proxy de NSX para la conectividad a Internet

NSX IDS/IPS no requiere una conexión a Internet para funcionar. NSX IDS/IPS usa firmas para detectar y evitar intrusiones. Si su entorno de NSX-T Data Center tiene conexión a Internet, NSX Manager podrá descargar automáticamente las firmas de detección de intrusiones más recientes directamente de Internet o a través de un servidor proxy de NSX. Si la conectividad a Internet no está configurada en su entorno de NSX, puede utilizar las API para descargar manualmente el archivo de paquete de firmas de detección de intrusiones de NSX (.zip) y, a continuación, cargar el paquete de firmas en NSX Manager. Para obtener más información sobre cómo cargar las firmas manualmente, consulte Descargar y cargar firmas de detección de intrusiones de NSX sin conexión.

Prevención de malware de NSX también utiliza firmas para detectar y prevenir malware. Sin embargo, NSX Manager solo podrá descargar las firmas más recientes cuando su entorno de NSX-T Data Center tenga conexión a Internet. No puede cargar manualmente las firmas más recientes en NSX Manager. Prevención de malware de NSX también envía archivos al servicio de nube de NSX Advanced Threat Prevention para un análisis detallado de los archivos de nube. Los archivos se envían a la nube mediante NSX Application Platform y no mediante NSX Manager. NSX Application Platform no admite la configuración del servidor proxy y requiere acceso directo a Internet.

Si NSX Manager accede a Internet a través de un servidor proxy de NSX, haga clic en el vínculo Ir a servidor proxy de NSX y especifique los siguiente ajustes:

Esquema (HTTP o HTTPS)
Dirección IP del host
Número de puerto
Nombre de usuario y contraseña

Implementar NSX Application Platform

Prevención de malware de NSX requiere la implementación de ciertos microservicios en NSX Application Platform. Primero debe implementar NSX Application Platform y, a continuación, activar la función Prevención de malware de NSX. Después de activar esta función, los microservicios necesarios para Prevención de malware de NSX se implementan en la plataforma.

Para resumir, debe realizar las siguientes tareas en el orden indicado:

Nota: Las versiones de las funciones de Prevención de malware de NSX en NSX Application Platform coinciden con el número de versión de NSX Application Platform y no con el número de versión del producto NSX-T.

Implementar máquina virtual de servicio

Para el tráfico este-oeste en el centro de datos, debe implementar el servicio de NSX Distributed Malware Prevention en clústeres de hosts de vSphere preparados para NSX. Cuando se implementa este servicio, se instala una máquina virtual de servicio (SVM) en cada host del clúster de vSphere y se habilita Prevención de malware de NSX en el clúster del host.

Un gráfico de anillos en esta página muestra el número de clústeres de hosts del centro de datos en los que se implementa el servicio de NSX Distributed Malware Prevention y en los que no.

Para obtener instrucciones detalladas sobre la implementación del servicio NSX Distributed Malware Prevention en un clúster de hosts, consulte Implementar el servicio NSX Distributed Malware Prevention.

Una vez que se haya realizado la implementación del servicio en los clústeres de hosts, vuelva a esta página en el asistente y haga clic en Siguiente para continuar.

Nota: No se admite la alta disponibilidad para la máquina virtual de servicio de NSX Distributed Malware Prevention.

Administrar firmas

Cuando se configura la conectividad de Internet en el centro de datos, NSX Manager comprueba la disponibilidad de nuevas firmas de detección de intrusiones en la nube cada 20 minutos de forma predeterminada. Cuando haya una nueva actualización disponible, se mostrará un banner en la página con el vínculo Actualizar ahora.

Si el centro de datos no tiene conectividad a Internet, puede descargar manualmente el archivo del paquete de firmas de IDS (.zip) y, a continuación, cargar el archivo en NSX Manager. Para obtener instrucciones detalladas, consulte Descargar y cargar firmas de detección de intrusiones de NSX sin conexión.

Administración de firmas

Las tareas de administración de firmas son opcionales. Si es necesario, puede hacerlo más adelante en la página Configuración de IDS/IPS y prevención de malware. (Seguridad > IDS/IPS y prevención de malware > Configuración > IDS/IPS).

Active la opción Actualización automática de nuevas versiones para aplicar automáticamente firmas de detección de intrusiones a los hosts y las instancias de Edge en el centro de datos después de que se descarguen de la nube.
Cuando esta opción está desactivada, las firmas se detendrán en la versión de la lista.
Haga clic en Ver y cambiar versiones para agregar otra versión de las firmas, además de la predeterminada.
Actualmente, se mantienen dos versiones de las firmas. Cada vez que se produzca un cambio en el número de identificación de la confirmación de versión, se descargará una nueva versión.

Haga clic en Ver y administre el conjunto de firmas global para cambiar globalmente la acción de firmas específicas para alertar, descartar o rechazar.

Seleccione una Acción para la firma y haga clic en Guardar. Los cambios realizados en la configuración global de administración de firmas se aplican a todos los perfiles de IDS/IPS. Sin embargo, si actualiza la configuración de firma en un perfil de IDS/IPS, la configuración del perfil tendrá prioridad.

En la siguiente tabla se explica el significado de cada acción de firma.

Acción	Descripción
Alerta	Se genera una alerta y no se lleva a cabo ninguna acción preventiva automática.
Quitar	Se genera una alerta y se descartan los paquetes problemáticos.
Rechazar	Se genera una alerta y se descartan los paquetes problemáticos. Para los flujos de TCP, se genera un paquete de restablecimiento de TCP mediante IDS y se envía al origen y destino de la conexión. Para otros protocolos, se envía un paquete ICMP-error al origen y al destino de la conexión.

Habilitar nodos para IDS/IPS y Prevención de malware

En la sección Activar hosts y clústeres para el tráfico de este a oeste, realice las siguientes configuraciones:

Active la función IDS/IPS de NSX en los hosts ESXi independientes.
Seleccione los clústeres de hosts ESXi en los que desea activar la función IDS/IPS de NSX en el tráfico este-oeste.
Si el servicio de NSX Distributed Malware Prevention aún no está implementado en los clústeres de hosts ESXi, haga clic en el vínculo Definido en la implementación de la máquina virtual de servicio en la columna Prevención de malware. Para obtener instrucciones sobre cómo implementar el servicio NSX Distributed Malware Prevention en un clúster de hosts, consulte Implementar el servicio NSX Distributed Malware Prevention.

Nota:

No habilite NSX Distributed IDS/IPS en un entorno que está usando el Equilibrador de carga distribuido. NSX no admite IDS/IPS con un equilibrador de carga distribuido.
Para que NSX Distributed IDS/IPS funcione, se debe habilitar el firewall distribuido (DFW). Si el tráfico está bloqueado por una regla de DFW, IDS/IPS no podrá ver el tráfico.

En la sección Activar puertas de enlace para el tráfico norte-sur, realice las siguientes configuraciones:

Seleccione las puertas de enlace de nivel 1 en las que desea activar la función IDS/IPS de NSX en el tráfico norte-sur.
Seleccione las puertas de enlace de nivel 1 en las que desea activar Prevención de malware de NSX en el tráfico norte-sur.

Importante: En el tráfico norte-sur, NSX-T Data Center 3.2 admite lo siguiente:

La función Prevención de malware de NSX solo en puertas de enlace de nivel 1.
La función IDS/IPS de NSX en el firewall de puerta de enlace solo en puertas de enlace de nivel 1. En NSX-T Data Center 3.2.0, la función IDS/IPS de NSX en el firewall de puerta de enlace está disponible solo en el modo de vista previa técnica. A partir de NSX-T Data Center 3.2.1, NSX IDS/IPS en el firewall de puerta de enlace está disponible para entornos de producción y es totalmente compatible. Para obtener más información, consulte la Notas de la versión de NSX-T Data Center.