Vous pouvez créer un groupe de sécurité au niveau de l'instance de NSX Manager.

Conditions préalables

Si vous créez une stratégie de sécurité pour une utilisation avec RDSH, vérifiez que :

  • Le serveur Active Directory doit être intégré à NSX Manager.
  • DFW doit être activé sur les hôtes et ces derniers doivent être mis à niveau vers NSX 6.4.0.
  • Les machines invitées doivent exécuter une version à jour de VMware Tools.
  • La version de la SVM GI doit être 6.4 ou une version ultérieure.
  • La règle doit être créée dans une nouvelle section de Règles de pare-feu.
  • Activer l'identité d'utilisateur à la source doit être sélectionné pour la règle.
  • Le champ Appliqué à n'est pas pris en charge pour les règles pour l'accès de poste de travail distant.
  • ICMP n'est pas pris en charge pour IDFW pour RDSH.

Procédure

  1. Dans vSphere Web Client, accédez à Mise en réseau et sécurité (Networking & Security) > Sécurité (Security) > Service Composer.
  2. Assurez-vous que vous êtes dans l'onglet Groupes de sécurité (Security Groups).
  3. Cliquez sur Ajouter un groupe de sécurité (Add Security Group) ou sur l'icône Ajouter (Add).

    Les groupes de sécurité à utiliser avec le pare-feu d'identité pour RDSH doivent utiliser des stratégies de sécurité qui sont marquées avec Activer l'identité d'utilisateur à la source lors de leur création. Les groupes de sécurité à utiliser avec le pare-feu d'identité pour RDSH ne peuvent contenir que des groupes Active Directory (AD), et tous les groupes de sécurité imbriqués doivent également être des groupes AD.

  4. Tapez le nom et la description des groupes de sécurité et cliquez sur Suivant (Next).
  5. Sur la page Appartenance dynamique, définissez les critères auxquels un objet doit répondre pour être ajouté au groupe de sécurité que vous créez.
    Par exemple, vous pouvez inclure un critère permettant d'ajouter tous les membres marqués avec la balise de sécurité spécifiée (telle que AntiVirus.virusFound) au groupe de sécurité.

    Sinon, vous pouvez ajouter au groupe de sécurité toutes les machines virtuelles contenant le nom W2008 ET les machines virtuelles situées dans le commutateur logique global_wire.

    Les balises de sécurité sont sensibles à la casse.
    Note : Si vous définissez un groupe de sécurité par des machines virtuelles auxquelles une balise de sécurité spécifique est associée, vous pouvez créer un workflow dynamique ou conditionnel. Dès que la balise est appliquée à une machine virtuelle, cette dernière est automatiquement ajoutée à ce groupe de sécurité.
  6. Cliquez sur Suivant (Next).
  7. Sur la page Sélectionner les objets à inclure, sélectionnez le type d'objet dans la liste déroulante.
    Notez que les groupes de sécurité pour une utilisation dans des sessions de poste de travail distant ne peuvent contenir que des groupes de répertoires.
  8. Sélectionnez l'objet que vous souhaitez ajouter à la liste d'inclusion. Vous pouvez inclure les objets suivants dans un groupe de sécurité.
    • Autres groupes de sécurité à imbriquer dans le groupe de sécurité que vous créez.
    • Cluster
    • Commutateur logique
    • Réseau
    • Application virtuelle
    • Centre de données
    • Ensembles d'adresses IP
    • Groupes AD
      Note : La configuration AD pour les groupes de sécurité NSX est différente de celle pour vSphere SSO. La configuration de groupe AD NSX concerne les utilisateurs finaux qui accèdent aux machines virtuelles invitées, alors que vSphere SSO est destiné aux administrateurs qui utilisent vSphere et NSX.
    • Ensembles d'adresses MAC
      Note : Service Composer permet l'utilisation de groupes de sécurité dont les configurations de stratégies contiennent des ensembles d'adresses MAC. Cependant, Service Composer ne parvient pas à appliquer les règles pour ce jeu d'adresses MAC spécifique. Service Composer fonctionne sur la couche 3 et ne prend pas en charge les constructions de couche 2.
    • Balise de sécurité
    • vNIC
    • Machine virtuelle
    • Pool de ressources
    • Groupe de ports virtuels distribués
    Les objets sélectionnés ici sont toujours inclus dans le groupe de sécurité, indépendamment de leur correspondance aux critères dynamiques.

    Lorsque vous ajoutez une ressource à un groupe de sécurité, toutes les ressources associées sont ajoutées automatiquement. Par exemple, lorsque vous sélectionnez une machine virtuelle, la vNIC associée est ajoutée automatiquement au groupe de sécurité.

  9. Cliquez sur Suivant (Next) et double-cliquez sur les objets à exclure du groupe de sécurité.
    Les objets sélectionnés ici sont toujours exclus du groupe de sécurité, même s'ils correspondent aux critères dynamiques ou sont sélectionnés dans la liste d'inclusion.
  10. Cliquez sur Terminer (Finish).

Exemple

L'appartenance à un groupe de sécurité est déterminée comme suit :

{Résultat de l'expression (dérivé de l'Étape 5) + inclusions (spécifiées à l'Étape 7} - exclusion (spécifiée à l'Étape 9), ce qui signifie que les éléments d'inclusion sont d'abord ajoutés au résultat de l'expression. Les éléments d'exclusion sont ensuite soustraits du résultat combiné.