Firewall de identidad

Las funciones del firewall de identidad (IDFW) permiten al administrador de NSX crear reglas de firewall distribuido (DFW) basadas en el usuario.

El IDFW se puede usar en escritorios virtuales (VDI), sesiones de escritorios remotos (soporte de RDSH) y máquinas físicas, lo que permite los inicios de sesión simultáneos de varios usuarios, el acceso de aplicaciones de usuario según ciertos requisitos y la capacidad de mantener los entornos de usuarios independientes. Los sistemas de administración de infraestructura de escritorios virtuales controlan qué usuarios tienen acceso a las máquinas virtuales de VDI. NSX controla el acceso a los servidores de destino de la máquina virtual de origen, que tiene el IDFW habilitado. Con los administradores de RDSH se crean grupos de seguridad con distintos usuarios en Active Directory (AD), y se permite o se deniega a dichos usuarios el acceso a un servidor de aplicaciones en función de su función. Por ejemplo, Recursos Humanos e Ingeniería pueden conectarse al mismo servidor RDSH y tener acceso a diferentes aplicaciones de ese servidor.

IDFW debe saber en qué escritorio inicia sesión un usuario de Active Directory (AD) para poder aplicar las reglas de firewall. IDFW utiliza dos métodos para la detección de inicio de sesión: Guest Introspection (GI) o extracción de registros de eventos. Guest Introspection se implementa en los clústeres de ESXi en los que se ejecutan las máquinas virtuales de IDFW. Cuando un usuario genera eventos de red, un agente invitado instalado en la máquina virtual envía la información a través de la trama de Guest Introspection a NSX Manager. La segunda opción es el recopilador de registros de eventos de Active Directory. La extracción de registros de eventos habilita IDFW para dispositivos físicos. Configure el recopilador de registros de eventos de Active Directory en NSX Manager para señalar una instancia de la controladora de dominio de Active Directory. NSX Manager extraerá eventos del registro de eventos de seguridad de AD.

La extracción de registros de eventos se puede utilizar para máquinas virtuales. Sin embargo, cuando se utilizan tanto el recopilador de registros de AD como Guest Introspection, Guest Introspection tendrá prioridad sobre la extracción de registros de eventos. Guest Introspection está habilitado a través de VMware Tools y, si utiliza la instalación completa VMware Tools e IDFW, guest introspection tendrá prioridad sobre la extracción de registros de eventos.

IDFW también se puede utilizar en máquinas virtuales con sistemas operativos compatibles. Consulte Configuraciones admitidas del firewall de identidad.

IDFW procesa la identidad del usuario en el origen únicamente en las reglas de firewall. Los grupos basados en identidad no se pueden utilizar como destino en las reglas de firewall de puerta de enlace y firewall distribuido.

Nota: IDFW se basa en la seguridad y la integridad del sistema operativo invitado. Existen varios métodos para que un Local Manager malintencionado suplante su identidad para omitir las reglas de firewall. La información de identidad del usuario se proporciona en NSX Guest Introspection Thin Agent dentro de las máquinas virtuales invitadas. Los administradores de seguridad deben asegurarse de que el Thin Agent esté instalado y en ejecución en cada máquina virtual invitada. Los usuarios que iniciaron sesión no deben tener el privilegio para eliminar o detener el agente.

Para conocer las configuraciones de IDFW compatibles, consulte Configuraciones admitidas del firewall de identidad.

Tenga en cuenta que las reglas de IDFW no se admiten en Global Manager en un entorno de Federation. IDFW aún se puede utilizar localmente en sitios federados mediante la creación de reglas de IDFW en los Local Manager.