Es posible crear un grupo de seguridad en el nivel de NSX Manager.

Antes de empezar

Si crea un grupo de seguridad basado en objetos de grupos de Active Directory, asegúrese de que haya uno o varios dominios registrados en NSX Manager. NSX Manager obtiene información del grupo y del usuario, así como de la relación existente entre estos elementos, desde cada dominio con el que está registrado. Consulte Registrar un dominio de Windows con NSX Manager.

Procedimiento

  1. Inicie sesión en vSphere Web Client.
  2. Haga clic en Redes y seguridad (Networking & Security) y, a continuación, en Inventario de redes y seguridad (Networking & Security Inventory), haga clic en NSX Managers.
  3. Haga clic en una instancia de NSX Manager de la columna Nombre (Name) y seleccione la pestaña Administrar (Manage).
    • Debe seleccionar la instancia de NSX Manager principal si necesita administrar grupos de seguridad universales.

  4. Haga clic en la pestaña Agrupar objetos (Grouping Objects) y, a continuación, haga clic en Grupo de seguridad (Security Group) y en el icono Agregar grupo de seguridad (Add Security Group).
  5. Escriba un nombre y, de manera opcional, una descripción para el grupo de seguridad.
  6. (Opcional) : Si debe crear un grupo de seguridad universal, seleccione Marcar este objeto para sincronización universal (Mark this object for universal synchronization).
  7. Haga clic en Siguiente (Next).
  8. En la página Pertenencia dinámica (Dynamic Membership), defina los criterios que debe cumplir un objeto para que se pueda agregar al grupo de seguridad que va a crear. Al definir un filtro de criterios con una serie de parámetros compatibles con los criterios de búsqueda, se pueden incluir máquinas virtuales.
    Nota:

    Si crea un grupo de seguridad universal, el paso Definir pertenencia dinámica (Define dynamic membership) no está disponible.

    Por ejemplo, puede incluir un criterio para agregar al grupo de seguridad todas las máquinas virtuales etiquetadas con la etiqueta de seguridad específica (como AntiVirus.virusFound). Las etiquetas de seguridad distinguen entre mayúsculas y minúsculas.

    O bien puede agregar al grupo de seguridad todas las máquinas virtuales que contengan el nombre W2008 y las máquinas virtuales que estén en el conmutador lógico global_wire.

    sec

  9. Haga clic en Siguiente (Next).
  10. En la página Seleccionar los objetos que se van a incluir (Select objects to include), seleccione la pestaña del recurso que desea agregar y, a continuación, seleccione uno o varios recursos para agregarlos al grupo de seguridad. Puede incluir los siguientes objetos en un grupo de seguridad.
    Tabla 1. Objetos que pueden incluirse en grupos de seguridad y grupos de seguridad universales.

    Grupo de seguridad

    Grupo de seguridad universal

    • Otros grupos de seguridad para agrupar dentro del grupo de seguridad que se va a crear.

    • Clúster

    • Conmutador lógico

    • Red

    • Aplicación virtual

    • Centro de datos

    • Conjuntos de direcciones IP

    • Grupos de directorios

      Nota:

      La configuración de Active Directory para los grupos de seguridad de NSX es diferente de la configuración de Active Directory para vSphere SSO. La configuración de grupos de AD de NSX es para los usuarios finales que acceden a máquinas virtuales invitadas, mientras que vSphere SSO es para los administradores que utilizan vSphere y NSX. Para utilizar estos grupos de directorio debe sincronizarse con Active Directory. Consulte Introducción al firewall de identidad.

    • Conjuntos de direcciones MAC

    • Etiqueta de seguridad

    • vNIC

    • Máquina virtual

    • Grupo de recursos

    • Grupo de puertos virtuales distribuidos

    • Otros grupos de seguridad universales para agrupar dentro del grupo de seguridad universal que se va a crear.

    • Conjuntos de direcciones IP universales

    • Conjuntos de direcciones MAC universales

    Los objetos seleccionados aquí siempre se incluyen en el grupo de seguridad, más allá de si coinciden o no con los criterios mencionados en el Paso 8.

    Cuando se agrega un recurso a un grupo de seguridad, todos los recursos asociados se agregan automáticamente. Por ejemplo, cuando selecciona una máquina virtual, la vNIC asociada se agrega automáticamente al grupo de seguridad.

  11. Haga clic en Siguiente (Next) y seleccione los objetos que desea excluir del grupo de seguridad.
    Nota:

    Si crea un grupo de seguridad universal, el paso Seleccionar los objetos que se van a excluir (Select objects to exclude) no está disponible.

    Los objetos seleccionados aquí siempre se excluyen del grupo de seguridad, más allá de si coinciden o no con los criterios dinámicos.

  12. Haga clic en Finalizar (Finish).

Ejemplo

La pertenencia a un grupo de seguridad se determina de la siguiente manera:

{Resultado de la expresión (derivado del paso 8) + Inclusiones (especificadas en el paso 10} - Exclusión (especificada en el paso 11)

Esto significa que los elementos de inclusión se agregan primero al resultado de la expresión. A continuación, se restan los elementos de exclusión del resultado total.