Identity Firewall (IDFW) autorise les règles du pare-feu distribué basées sur l'utilisateur.

Les règles de Pare-feu distribué (DFW) basées sur l'utilisateur sont déterminées par appartenance dans une appartenance de groupe Active Directory (AD). IDFW surveille où des utilisateurs AD sont connectés et mappe la connexion sur une adresse IP, qui est utilisée par DFW pour appliquer des règles de pare-feu. Identity Firewall requiert une infrastructure Guest Introspection ou un analyseur de journaux des événements Active Directory. Vous pouvez utiliser les deux dans votre environnement, ou bien l'un ou l'autre. Lorsque l'analyseur de journaux AD et Guest introspection sont utilisés, Guest introspection est prioritaire. Notez que si l'analyseur de journaux d'événements AD et Guest introspection sont tous deux utilisés, ils s'excluent mutuellement : si l'un cesse de fonctionner, l'autre ne commence pas à fonctionner comme solution de secours.

Les modifications de l'appartenance au groupe AD ne prennent pas effet immédiatement pour les utilisateurs connectés qui utilisent des règles de pare-feu d'identité RDSH ; cela inclut l'activation et la désactivation des utilisateurs, ainsi que la suppression d'utilisateurs. Pour que les modifications prennent effet, les utilisateurs doivent fermer puis rouvrir leur session. Nous recommandons aux administrateurs AD de forcer la fermeture de session lorsque l'appartenance au groupe est modifiée. Ce comportement est une limite d'Active Directory.

Flux montant d'IDFW :
  1. Un utilisateur se connecte à une machine virtuelle.
  2. Un événement de connexion d'utilisateur est reçu par le plan de gestion NSX.
  3. Le plan de gestion NSX examine l'utilisateur et reçoit tous les groupes Active Directory (AD) auxquels l'utilisateur appartient. Le plan de gestion NSX envoie ensuite des événements de modification de groupe pour tous les groupes AD affectés.
  4. Tous les groupes de sécurité (SG) qui incluent ces groupes Active Directory sont marqués d'un indicateur, et une tâche est ajoutée à la file d'attente pour traiter cette modification. Étant donné qu'un groupe de sécurité peut inclure plusieurs groupes Active Directory, un seul événement de connexion d'utilisateur déclenche souvent plusieurs événements de traitement pour le même groupe de sécurité. Pour résoudre ce problème, les demandes de traitement des groupes de sécurité en double sont supprimées.

Flux descendant d'IDFW :

  1. Une demande de traitement des groupes de sécurité est reçue. Lorsqu'un groupe de sécurité est modifié, NSX met à jour toutes les entités affectées et déclenche des actions en fonction des règles IDFW.
  2. NSX reçoit tous les groupes Active Directory d'un groupe de sécurité.
  3. NSX reçoit d'Active Directory tous les utilisateurs qui appartiennent aux groupes AD.
  4. Les utilisateurs Active Directory sont associés à leurs adresses IP.
  5. Les adresses IP sont mappées aux cartes réseau virtuelles, puis celles-ci sont mappées aux machines virtuelles (VM). La liste des machines virtuelles qui en résulte est le produit d'une traduction de groupes de sécurité en machines virtuelles.
Note :

Identity Firewall pour RDSH est uniquement pris en charge avec Windows Server 2016, Windows 2012 avec VMware Tools 10.2.5 et versions ultérieures et Windows 2012 R2 avec VMware Tools 10.2.5 et versions ultérieures.

Procédure

  1. Configurez la synchronisation Active Directory dans NSX. Pour cela, reportez-vous à la section Synchroniser un domaine Windows avec Active Directory. Cela est requis pour utiliser des groupes Active Directory dans Service Composer.
  2. Préparez le cluster ESXi pour DFW. Consultez Préparer le cluster d'hôtes pour NSX dans le Guide d'installation de NSX.
  3. Configurez des options de détection de connexion Identity Firewall. Il est nécessaire qu'une de ces options, voire les deux, soit configurée.
    Note : Si vous disposez d'une architecture Active Directory à domaines multiples et que le nettoyeur de journal n'est pas accessible en raison de contraintes de sécurité, utilisez Guest Introspection pour générer des événements de connexion et de déconnexion.