Les fonctionnalités de pare-feu d'identité (IDFW) permettent à un administrateur NSX de créer des règles de pare-feu distribué (DFW) basées sur l'utilisateur Active Directory.

IDFW peut être utilisé pour des postes de travail virtuels (VDI) ou des sessions de poste de travail distant (prise en charge RDSH), l'activation de connexions simultanées par plusieurs utilisateurs, l'accès aux applications d'utilisateur en fonction de conditions requises et la possibilité de maintenir des environnements utilisateur indépendants. Les systèmes de gestion VDI contrôlent les utilisateurs autorisés à accéder aux machines virtuelles VDI. NSX-T contrôle l'accès aux serveurs de destination à partir de la machine virtuelle (VM) source sur laquelle l'IDFW est activé. Avec RDSH, les administrateurs créent des groupes de sécurité avec différents utilisateurs dans Active Directory (AD) et autorisent ou refusent l'accès à ces utilisateurs à un serveur d'applications selon leur rôle. Par exemple, les ressources humaines et l'ingénierie peuvent se connecter au même serveur RDSH et ont accès à différentes applications à partir de ce serveur.

L'IDFW peut également être utilisé sur les machines virtuelles dont les systèmes d'exploitation sont pris en charge. Reportez-vous à la section Configurations prises en charge par le pare-feu d'identité.

La configuration d'IDFW commence par la préparation de l'infrastructure. Pour cela, l'administrateur installe les composants de préparation de l'hôte sur chaque cluster protégé et configure la synchronisation Active Directory pour que NSX puisse consommer des utilisateurs et des groupes AD. Ensuite, IDFW doit savoir à quel poste de travail un utilisateur Active Directory se connecte et appliquer des règles IDFW. Lorsque des événements réseau sont générés par un utilisateur, l'agent léger installé avec VMware Tools sur la machine virtuelle rassemble les informations et les transfère au moteur de contexte. Ces informations sont utilisées pour permettre leur application pour le pare-feu distribué.

IDFW traite l'identité de l'utilisateur à la source uniquement dans les règles de pare-feu distribué. Les groupes basés sur l'identité ne peuvent pas être utilisés comme destination dans les règles DFW.

Note : IDFW s'appuie sur la sécurité et l'intégrité du système d'exploitation invité. Il existe plusieurs méthodes pour qu'un administrateur local malveillant usurpe son identité pour contourner les règles de pare-feu. Les informations d'identité d'utilisateur sont fournies par l'agent léger NSX Guest Introspection dans les machines virtuelles invitées. Les administrateurs de sécurité doivent s'assurer que l'agent léger est installé et en cours d'exécution sur chaque machine virtuelle invitée. Les utilisateurs connectés ne doivent pas disposer du privilège pour supprimer ou arrêter l'agent.

Pour les configurations d'IDFW prises en charge, reportez-vous à la section Configurations prises en charge par le pare-feu d'identité.

Workflow IDFW :
  1. Un utilisateur se connecte à une machine virtuelle et démarre une connexion réseau, en ouvrant Skype ou Outlook.
  2. Un événement de connexion d'utilisateur est détecté par Thin Agent, qui rassemble les informations de connexion et les informations d'identité, et les envoie au moteur de contexte.
  3. Le moteur de contexte transfère les informations de connexion et d'identité à la règle de pare-feu distribué pour l'application de toute règle applicable.