Une règle de sécurité est un ensemble de services Guest Introspection, de pare-feu et d'introspection réseau pouvant s'appliquer à un groupe de sécurité. L'ordre d'affichage des stratégies de sécurité est déterminé par la pondération de la stratégie. Par défaut, une nouvelle stratégie est affectée de la pondération la plus élevée, c'est-à-dire celle qui se trouve dans le haut du tableau. Cependant, vous pouvez modifier la pondération suggérée par défaut pour changer l'ordre attribué à la nouvelle stratégie.

Conditions préalables

Vérifiez que :
  • les services intégrés VMware requis (par exemple le pare-feu distribué et Guest Introspection) sont installés.
  • les services de partenaires requis ont été enregistrés dans NSX Manager.
  • la valeur Appliqué à par défaut souhaitée est définie pour des règles de pare-feu de Service Composer. Reportez-vous à la section Modifier le paramètre Appliqué à du pare-feu de Service Composer.

Si vous créez une infrastructure de stratégie de sécurité pour le pare-feu d'identité pour RDSH :

  • Le serveur Active Directory doit être intégré à NSX Manager.
  • DFW doit être activé sur les hôtes et ces derniers doivent être mis à niveau vers NSX 6.4.0.
  • Les machines invitées doivent exécuter une version à jour de VMware Tools.
  • La version de la SVM GI doit être 6.4 ou une version ultérieure.
  • La règle doit être créée dans une nouvelle section de Règles de pare-feu.
  • Activer l'identité d'utilisateur à la source doit être sélectionné pour la règle.
  • Le champ Appliqué à n'est pas pris en charge pour les règles pour l'accès de poste de travail distant.
  • ICMP n'est pas pris en charge pour IDFW pour RDSH.

Procédure

  1. Dans vSphere Web Client, accédez à Mise en réseau et sécurité (Networking & Security) > Sécurité (Security) > Service Composer.
  2. Cliquez sur l'onglet Stratégies de sécurité (Security Policies).
  3. Pour créer une stratégie de sécurité :
    • Dans NSX 6.4.1 et versions ultérieures, cliquez sur Ajouter (Add).
    • Dans NSX 6.4.0, cliquez sur l'icône Créer une stratégie de sécurité (Create Security Policy) (ajouter).
  4. Dans la boîte de dialogue Créer une stratégie de sécurité ou Nouvelle stratégie de sécurité, tapez le nom de la stratégie de sécurité.
  5. Tapez une description pour la stratégie de sécurité. La description ne doit pas dépasser 255 caractères.
    NSX attribue une pondération par défaut (pondération la plus élevée +1000) à la stratégie. Par exemple, si la pondération la plus élevée parmi les stratégies existantes est de 1200, une pondération de 2200 est attribuée à la nouvelle stratégie.

    Les stratégies de sécurité s'appliquent en fonction de leur pondération ; une stratégie dont la pondération est plus élevée a priorité sur une stratégie de pondération plus faible.

  6. Sélectionnez Hériter d'une stratégie de sécurité (Inherit security policy) si vous souhaitez que la stratégie que vous créez reçoive les services d'une autre stratégie de sécurité. Sélectionnez la stratégie parent.
    La nouvelle stratégie hérite de tous les services de la stratégie parent.
  7. Cliquez sur Suivant (Next).
  8. Dans la page Services Guest Introspection, cliquez sur Ajouter (Add) ou sur l'icône Ajouter un service Guest Introspection (Add Guest Introspection Service) (icône Ajouter).
    1. Dans la boîte de dialogue Ajouter un service Guest Introspection, tapez un nom et une description pour le service.
    2. Spécifiez si vous souhaitez appliquer le service ou le bloquer.
      Lorsque vous héritez d'une stratégie de sécurité, vous pouvez choisir de bloquer un service de la stratégie parent.

      Si vous appliquez un service, vous devez sélectionner un service et un profil de service. Si vous bloquez un service, vous devez sélectionner le type de service à bloquer.

    3. Si vous choisissez de bloquer le service, sélectionnez le type du service.
    4. Si vous avez choisi d'appliquer le service Guest Introspection, sélectionnez le nom du service.
      Le profil du service par défaut du service sélectionné s'affiche. Il inclut des informations sur les types de fonctionnalités de service pris en charge par le modèle fournisseur associé.
    5. Dans la section État (State), spécifiez si vous souhaitez activer le service Guest Introspection sélectionné ou le désactiver.

      Vous pouvez ajouter des services Guest Introspection en tant qu'espaces réservés pour des services à activer ultérieurement. Cela est particulièrement utile lorsque des services doivent être appliqués à la demande (par exemple, dans le cas de nouvelles applications).

    6. Indiquez s'il convient ou non d'appliquer le service Guest Introspection (c'est-à-dire qu'il ne peut pas être remplacé). Si le profil du service sélectionné prend en charge plusieurs types de fonctionnalités de service, cette option est configurée sur Appliquer (Enforce) par défaut et elle ne peut pas être modifiée.

      Si vous appliquez un service Guest Introspection dans une stratégie de sécurité, les autres stratégies qui héritent de cette stratégie de sécurité imposent que cette stratégie soit appliquée avant les autres stratégies enfants. Si ce service n'est pas appliqué, une sélection d'héritage ajoute la stratégie parente après l'application des stratégies enfants.

    7. Cliquez sur OK.
    Vous pouvez ajouter des services Guest Introspection supplémentaires en suivant les instructions ci-dessus. Vous pouvez gérer les services Guest Introspection au moyen des icônes situées au-dessus du tableau des services.

    Dans NSX 6.4.0, vous pouvez exporter ou copier les services figurant dans cette page en cliquant sur l'icône exporter située dans la partie inférieure droite de la page Services Guest Introspection.

  9. Cliquez sur Suivant (Next).
  10. Dans la page Pare-feu, vous définissez les règles de pare-feu du ou des groupes de sécurité auxquels cette stratégie de sécurité sera appliquée.

    Lorsque vous créez une stratégie de sécurité pour le pare-feu d'identité pour RDSH, Activer l'identité d'utilisateur à la source doit être cochée. Notez que cela désactive l'option Activer le pare-feu sans état, car l'état de connexion TCP est suivi pour identifier le contexte. Cet indicateur ne peut pas être modifié lorsque la stratégie est en cours de mise à jour. Lorsqu'une stratégie de sécurité est créée avec Activer l'identité d'utilisateur à la source, l'héritage n'est pas pris en charge.

    1. Cliquez sur la case pour activer les paramètres facultatifs suivants :
      Option Description
      Activer l'identité d'utilisateur à la source

      Lorsque vous utilisez le pare-feu d'identité pour RDSH, Activer l'identité d'utilisateur à la source doit être cochée. Notez que cela désactive l'option Activer le pare-feu sans état, car l'état de connexion TCP est suivi pour identifier le contexte.

      Activer TCP strict Vous permet de définir TCP strict pour chaque section de pare-feu.
      Activer le pare-feu sans état Active le pare-feu sans état pour chaque section de pare-feu.
    2. Cliquez sur Ajouter (Add) ou sur l'icône Ajouter une règle de pare-feu (Add Firewall Rule) (icône Ajouter).
    3. Tapez un nom et une description pour la règle de pare-feu que vous ajoutez.
    4. Sélectionnez Autoriser (Allow), Bloquer (Block) ou Rejeter (Reject) pour indiquer si la règle doit autoriser, bloquer ou rejeter le trafic vers la destination sélectionnée.
    5. Sélectionnez la source de la règle. Par défaut, la règle s'applique au trafic entrant à partir des groupes de sécurité auxquels cette stratégie est appliquée. Pour modifier la source par défaut, cliquez sur Sélectionner (Select) ou sur Modifier (Change) et sélectionnez les groupes de sécurité appropriés.
    6. Sélectionnez la destination de la règle.
      Note : La Source ou la Destination (ou les deux) doivent être des groupes de sécurité auxquels cette stratégie est appliquée.
      Supposons que vous créiez une règle avec la source par défaut, spécifiez Paye comme Destination, puis sélectionnez Inverser la destination (Negate Destination). Vous appliquez ensuite cette stratégie de sécurité au groupe de sécurité Ingénierie. Le groupe Ingénierie est alors en mesure d'accéder à tout, à l'exception du serveur Paye.
    7. Sélectionnez les services et/ou les groupes de services auxquels la règle s'applique.
    8. Sélectionnez Activé (Enabled) ou Désactivé (Disabled) pour spécifier l'état de la règle.
    9. Sélectionnez Journal (Log) pour consigner les sessions correspondant à cette règle.
      L'activation de la journalisation peut affecter les performances.
    10. Entrez le texte que vous souhaitez ajouter dans la zone de texte Balise (Tag) lors de l'ajout ou de la modification de la règle de pare-feu.
    11. Cliquez sur OK.
    Pour ajouter des règles de pare-feu supplémentaires, suivez les instructions ci-dessus. Vous pouvez gérer les règles de pare-feu au moyen des icônes se trouvant au-dessus du tableau des pare-feu.

    Dans NSX 6.4.0, vous pouvez exporter ou copier les règles affichées sur cette page en cliquant sur l'icône exporter située dans la partie inférieure droite de la page Pare-feu.

    Les règles de pare-feu que vous ajoutez ici s'affichent dans le tableau Pare-feu. VMware recommande de ne pas modifier les règles de Service Composer dans le tableau Pare-feu. Si vous devez le faire pour un dépannage d'urgence, vous devrez resynchroniser les règles de Service Composer avec les règles de pare-feu comme suit :
    • Dans NSX 6.4.1 et versions ultérieures, sélectionnez Synchroniser (Synchronize) dans l'onglet Stratégies de sécurité.
    • Dans NSX 6.4.0, sélectionnez Synchroniser les règles de pare-feu (Synchronize Firewall Rules) dans le menu Actions de l'onglet Stratégies de sécurité.
  11. Cliquez sur Suivant (Next).
    La page Services d'introspection réseau affiche les services NetX que vous avez intégrés à votre environnement virtuel VMware.
  12. Cliquez sur la case pour activer les paramètres facultatifs suivants :
    Option Description
    Activer TCP strict Vous permet de définir TCP strict pour chaque section de pare-feu.
    Activer le pare-feu sans état Active le pare-feu sans état pour chaque section de pare-feu.
  13. Cliquez sur Ajouter (Add) ou sur l'icône Ajouter un service d'introspection réseau (Add Network Introspection Service) (icône Ajouter).
    1. Entrez un nom et une description pour le service que vous ajoutez.
    2. Sélectionnez s'il convient ou non de rediriger vers le service.
    3. Sélectionnez le nom et le profil du service.
    4. Sélectionnez la source et la destination.
    5. Sélectionnez le service réseau que vous souhaitez ajouter.
      Vous pouvez effectuer d'autres sélections en fonction du service que vous avez sélectionné.
    6. Sélectionnez s'il convient d'activer ou de désactiver le service.
    7. Sélectionnez Journal pour consigner les sessions correspondant à cette règle.
    8. Entrez le texte que vous voulez ajouter dans la zone de texte Balise (Tag).
    9. Cliquez sur OK.
    Vous pouvez ajouter des services d'introspection réseau supplémentaires en suivant les instructions ci-dessus. Vous pouvez gérer les services d'introspection réseau au moyen des icônes situées au-dessus du tableau des services.

    Dans NSX 6.4.0, vous pouvez exporter ou copier les services figurant dans cette page en cliquant sur l'icône exporter située dans la partie inférieure droite de la page Service d'introspection réseau.

    Note : Les liaisons créées manuellement pour les profils de service utilisés dans les règles de Service Composer seront désactivées.
  14. Cliquez sur Terminer (Finish).
    La stratégie de sécurité est ajoutée au tableau des stratégies. Vous pouvez cliquer sur le nom de la stratégie et sélectionner l'onglet approprié pour afficher un résumé des services associés à la stratégie, afficher les erreurs de service ou modifier un service.

Que faire ensuite

Mappez la stratégie de sécurité sur un groupe de sécurité.