Las funciones del firewall de identidad (IDFW) permiten al administrador de NSX crear reglas de firewall distribuido (DFW) basadas en el usuario.

El IDFW se puede usar en escritorios virtuales (VDI), sesiones de escritorios remotos (soporte de RDSH) y máquinas físicas, lo que permite los inicios de sesión simultáneos de varios usuarios, el acceso de aplicaciones de usuario según ciertos requisitos y la capacidad de mantener los entornos de usuarios independientes. Los sistemas de administración de infraestructura de escritorios virtuales controlan qué usuarios tienen acceso a las máquinas virtuales de VDI. NSX controla el acceso a los servidores de destino de la máquina virtual de origen, que tiene el IDFW habilitado. Con los administradores de RDSH se crean grupos de seguridad con distintos usuarios en Active Directory (AD), y se permite o se deniega a dichos usuarios el acceso a un servidor de aplicaciones en función de su función. Por ejemplo, Recursos Humanos e Ingeniería pueden conectarse al mismo servidor RDSH y tener acceso a diferentes aplicaciones de ese servidor.

IDFW debe saber en qué escritorio inicia sesión un usuario de Active Directory (AD) para poder aplicar las reglas de firewall. IDFW utiliza dos métodos para la detección de inicio de sesión: Guest Introspection (GI) o extracción de registros de eventos. Guest Introspection se implementa en los clústeres de ESXi en los que se ejecutan las máquinas virtuales de IDFW. Cuando un usuario genera eventos de red, un agente invitado instalado en la máquina virtual envía la información a través de la trama de Guest Introspection a NSX Manager. La segunda opción es el recopilador de registros de eventos de Active Directory. La extracción de registros de eventos habilita IDFW para dispositivos físicos. Configure el recopilador de registros de eventos de Active Directory en NSX Manager para señalar una instancia de la controladora de dominio de Active Directory. NSX Manager extraerá eventos del registro de eventos de seguridad de AD.

La extracción de registros de eventos se puede utilizar para máquinas virtuales. Sin embargo, cuando se utilizan tanto el recopilador de registros de AD como Guest Introspection, Guest Introspection tendrá prioridad sobre la extracción de registros de eventos. Guest Introspection está habilitado a través de VMware Tools y, si utiliza la instalación completa VMware Tools e IDFW, guest introspection tendrá prioridad sobre la extracción de registros de eventos.

IDFW también se puede utilizar en máquinas virtuales con sistemas operativos compatibles. Consulte Configuraciones admitidas del firewall de identidad.

IDFW procesa la identidad del usuario en el origen únicamente en las reglas de firewall. Solo el tráfico que se origina en el origen en el que se procesa la identidad del usuario estará sujeto a las reglas de IDFW. Los grupos basados en identidad no se pueden utilizar como destino en las reglas de firewall de puerta de enlace y firewall distribuido.

Nota: IDFW se basa en la seguridad y la integridad del sistema operativo invitado. Existen varios métodos para que un Local Manager malintencionado suplante su identidad para omitir las reglas de firewall. La información de identidad del usuario se proporciona en NSX Guest Introspection Thin Agent dentro de las máquinas virtuales invitadas. Los administradores de seguridad deben asegurarse de que el Thin Agent esté instalado y en ejecución en cada máquina virtual invitada. Los usuarios que iniciaron sesión no deben tener el privilegio para eliminar o detener el agente.

Las reglas del firewall basadas en identidad están determinadas por la pertenencia a un grupo Active Directory (AD). La OU con un usuario de AD y la OU con el grupo de AD en el que se encuentra ese usuario deben estar en "Unidades de organización para sincronizar" para que funcionen las reglas de IDFW. Para conocer las configuraciones y protocolos de IDFW compatibles, consulte Configuraciones admitidas del firewall de identidad.

Las reglas de IDFW no se admiten en Global Manager en un entorno de Federation. IDFW aún se puede utilizar localmente en sitios federados mediante la creación de reglas de IDFW en los Local Manager.

Grupos de directivas de IDFW y lógica de coincidencia de reglas de DFW

Puede haber dos tipos de grupos de directivas de IDFW:
  • Grupos homogéneos solo con grupos de AD como miembros del grupo de directivas.
  • Grupos heterogéneos en los que puede haber otros miembros además de grupos de AD, como máquinas virtuales y direcciones IP.
Las reglas de seguridad basadas en grupos de identidades homogéneos aplican la regla a todas las máquinas virtuales respaldadas por NSX en las que inicia sesión el usuario de AD que pertenece a uno de los miembros del grupo de AD. Con los grupos de identidad heterogéneos, el fundamento es la capacidad para crear fuentes más específicas y precisas para las directivas de seguridad de IDFW en lugar de fuentes aplicables ampliamente. Una regla de seguridad en la que se utiliza un grupo de identidad heterogéneo en el origen solo se aplicará a las máquinas virtuales que forman parte del grupo de directivas (ya sea de forma estática, a través de criterios dinámicos o mediante la asignación de direcciones IP/rangos de direcciones IP) cuando inicie sesión un usuario de AD que pertenezca a los grupos de AD miembro. La regla es una operación de intersección (operador AND) de las máquinas virtuales que son miembros del grupo con las máquinas virtuales en las que inician sesión los usuarios de AD de destino.

Los miembros efectivos de un grupo de directivas de identidad heterogéneo se pueden encontrar mediante la siguiente lógica:[Conjunto de unión de todos los miembros que no son de AD] AND, es decir, intersección con [Conjunto de máquinas virtuales en las que inician sesión los usuarios de AD que pertenecen a los grupos de AD miembros].

Ejemplo 1: Miembros de máquina virtual estática con grupos de AD como miembros.
  • Intención: Al emparejar algunas máquinas virtuales de forma estática con grupos de AD, la intención sería aplicar la directiva a los miembros de la máquina virtual estática cuando un usuario de AD que pertenece a los grupos de AD inicia sesión en ellos.
  • Ejemplos de orígenes no aplicables: máquinas virtuales en las que inicia sesión un usuario de AD que pertenece a uno de los grupos de AD miembros, pero que NO son miembros estáticos del grupo de directivas. Las máquinas virtuales que son miembros estáticos del grupo de directivas, pero el usuario registrado pertenece a grupos de AD que NO son miembros del grupo de directivas.
Ejemplo 2: Criterios basados en nombre dinámico para máquinas virtuales con grupos de AD como miembros.
  • Intención: Aplicar una directiva de seguridad solo a las máquinas virtuales cuyo nombre coincida con los criterios cuando un usuario de AD específico inicie sesión en ellas.
  • Ejemplos de origen no aplicables: máquinas virtuales en las que inicia sesión el usuario de AD, pero que no coinciden con los criterios de nombre. Máquinas virtuales en las que los criterios de nombre coinciden, pero el usuario que inició sesión no pertenece a uno de los grupos de AD miembros.