Una directiva de seguridad es un conjunto de servicios de Guest Introspection, de firewall y de introspección de red que se puede aplicar a un grupo de seguridad. La ponderación asociada con la directiva determina el orden en que se muestran las directivas de seguridad lo determina. De forma predeterminada, a una directiva nueva se le asigna la ponderación más alta para ubicarla en la parte superior de la tabla. Sin embargo, se puede modificar la ponderación sugerida predeterminada para cambiar el orden asignado a la directiva nueva.

Requisitos

Asegúrese de que:

  • Los servicios integrados de VMware requeridos (como Distributed Firewall y Guest Introspection) estén instalados.

  • Los servicios de partners necesarios se hayan registrado con NSX Manager.

  • La opción predeterminada que desee aplicar al valor se configura para las reglas del firewall de Service Composer. Consulte Editar la opción "Se aplica a" (Applied to) del firewall de Service Composer.

Procedimiento

  1. Inicie sesión en vSphere Web Client.
  2. Haga clic en Redes y seguridad (Networking & Security) y, a continuación, haga clic en Service Composer.
  3. Haga clic en la pestaña Directivas de seguridad (Security Policies).
  4. Haga clic en el icono Crear directiva de seguridad (Create Security Policy) (agregar).
  5. En el cuadro de diálogo Agregar directiva de seguridad (Add Security Policy), escriba un nombre para la directiva de seguridad.
  6. Escriba una descripción para la directiva de seguridad.

    NSX asigna una ponderación predeterminada (la ponderación más alta +1.000) a la directiva. Por ejemplo, si la ponderación más alta en la directiva existente es 1.200, a la directiva nueva se le asignará la ponderación 2.200.

    Las directivas de seguridad se aplican según su ponderación: una directiva con ponderación más alta tiene precedencia sobre una con ponderación más baja.

  7. Seleccione Heredar directiva de seguridad de directiva especificada (Inherit security policy from specified policy) si desea que la directiva que va a crear reciba servicios de otra directiva de seguridad. Seleccione la directiva primaria.

    La directiva nueva hereda todos los servicios de la directiva primaria.

  8. Haga clic en Siguiente (Next).
  9. En la página Servicios de Guest Introspection (Guest Introspection Services), haga clic en el icono Agregar servicio de Guest Introspection (Add Guest Introspection Service) (icono agregar).
    1. En el cuadro de diálogo Agregar servicio de Guest Introspection (Add Guest Introspection Service), escriba un nombre y una descripción para el servicio.
    2. Especifique si desea aplicar el servicio o bloquearlo.

      Cuando hereda una directiva de seguridad, puede elegir bloquear un servicio de la directiva primaria.

      Si aplica un servicio, debe seleccionar un servicio y un perfil de servicio. Si bloquea un servicio, debe seleccionar el tipo de servicio que se debe bloquear.

    3. Si elige bloquear el servicio, seleccione el tipo de servicio.
    4. Si eligió aplicar el servicio de Guest Introspection, seleccione el nombre del servicio.

      Se muestra el perfil de servicio predeterminado del servicio seleccionado, que incluye información sobre los tipos de funcionalidad de servicios admitidos por la plantilla de proveedor asociada.

    5. En Estado (State), especifique si desea habilitar el servicio de Guest Introspection o deshabilitarlo.

      Puede agregar servicios de Guest Introspection como marcadores de posición para habilitar los servicios más adelante. Esto resulta particularmente útil en los casos en los que los servicios se deben aplicar a petición (por ejemplo, aplicaciones nuevas).

    6. Seleccione si se debe aplicar el servicio de Guest Introspection (es decir, no se puede anular). Si el perfil de servicio seleccionado es compatible con varios tipos de funcionalidad de servicios, esto se establece en Aplicar (Enforce) de forma predeterminada y no se puede cambiar.

      Si aplica un servicio de Guest Introspection en una directiva de seguridad, otras directivas que heredan esta directiva de seguridad requerirían que esta directiva se aplique antes que otras directivas secundarias. Si no se aplica este servicio, una selección de herencia agregaría la directiva primaria una vez aplicadas las directivas secundarias.

    7. Haga clic en Aceptar (OK).

    Es posible agregar servicios de Guest Introspection adicionales con los pasos anteriores. Los servicios de Guest Introspection se pueden administrar por medio de los iconos ubicados arriba de la tabla de servicios.

    Si desea exportar o copiar los servicios en esta página, haga clic en el icono exportar en la parte inferior derecha de la página Servicios de Guest Introspection (Guest Introspection Services).

  10. Haga clic en Siguiente (Next).
  11. En la página Firewall, haga clic en el icono Agregar regla de firewall (Add Firewall Rule) (icono agregar).

    Aquí define las reglas de firewall de los grupos de seguridad a los que se aplicará esta directiva de seguridad.

    1. Escriba un nombre y una descripción para la regla de firewall que está por agregar.
    2. Seleccione Permitir (Allow) o Bloquear (Block) para indicar si la regla debe permitir o bloquear el tráfico hacia el destino seleccionado.
    3. Seleccione el origen para la regla. De forma predeterminada, la regla se aplica al tráfico que proviene de los grupos de seguridad a los que se aplica esta directiva. Para cambiar el origen predeterminado, haga clic en Cambiar (Change) y seleccione los grupos de seguridad adecuados.
    4. Seleccione el destino para la regla.
      Nota:

      El origen o el destino, o ambos, deben ser grupos de seguridad a los se aplica esta directiva.

      Supongamos que crea una regla con el Origen (Source) predeterminado, especifica el Destino (Destination) como Nómina (Payroll) y selecciona Negar destino (Negate Destination). Después, aplica esta directiva de seguridad al grupo de seguridad Ingeniería (Engineering). Esto permitiría que Ingeniería (Engineering) acceda a todo excepto al servidor de Nómina (Payroll).

    5. Seleccione los servicios o los grupos de servicios a los que se aplica la regla.
    6. Seleccione Habilitado (Enabled) o Deshabilitado (Disabled) para especificar el estado de la regla.
    7. Seleccione Registrar (Log) para registrar las sesiones que coincidan con esta regla.

      Si el registro se habilita, el rendimiento puede verse afectado.

    8. Haga clic en Aceptar (OK).

    Es posible agregar reglas de firewall adicionales con los pasos anteriores. Es posible administrar las reglas de firewall por medio de los iconos ubicados arriba de la tabla de firewall.

    Si desea exportar o copiar las reglas en esta página, haga clic en el icono exportar en la parte inferior derecha de la página Firewall.

    Las reglas de firewall que agrega aquí se muestran en la tabla de firewall. VMware recomienda no editar las reglas de Service Composer en la tabla de firewall. Si debe hacerlo para solucionar problemas en una emergencia, debe volver a sincronizar las reglas de Service Composer con las de firewall. Para ello, seleccione Sincronizar reglas de firewall (Synchronize Firewall Rules) en el menú Acciones (Actions) de la pestaña Políticas de seguridad (Security Policies).

  12. Haga clic en Siguiente (Next).

    La página Servicios de introspección de red (Network Introspection Services) muestra los servicios de NetX que se integraron con el entorno virtual de VMware.

  13. Haga clic en el icono Agregar servicio de introspección de red (Add Network Introspection Service) (icono agregar).
    1. En el cuadro de diálogo Agregar servicio de introspección de red (Add Network Introspection Service), escriba un nombre y una descripción para el servicio que va a agregar.
    2. Seleccione si desea redirigir el servicio o no.
    3. Seleccione el nombre y el perfil del servicio.
    4. Seleccione el origen y el destino.
    5. Seleccione el servicio de red que desea agregar.

      Puede realizar selecciones adicionales según el servicio que seleccionó.

    6. Seleccione si desea habilitar o deshabilitar el servicio.
    7. Seleccione Registrar (Log) para registrar las sesiones que coincidan con esta regla.
    8. Haga clic en Aceptar (OK).

    Es posible agregar servicios de introspección de red adicionales con los pasos anteriores. Los servicios de introspección de red se pueden administrar por medio de los iconos sobre la tabla de servicios.

    Si desea exportar o copiar los servicios en esta página, haga clic en el icono exportar en la parte inferior derecha de la página Servicios de introspección de red (Network Introspection Services).

    Nota:

    Se sobrescribirán los enlaces creados manualmente para los perfiles de servicio utilizados en las directivas de Service Composer.

  14. Haga clic en Finalizar (Finish).

    La directiva de seguridad se agrega a la tabla de directivas. Puede hacer clic en el nombre de la directiva y seleccionar la pestaña adecuada para ver un resumen de los servicios asociados con la directiva, ver los errores de servicio o editar un servicio.

Qué hacer a continuación

Asigne la directiva de seguridad a un grupo de seguridad.