Protection contre les programmes malveillants NSX sur un pare-feu distribué utilise l'infrastructure NSX Guest Introspection (GI). Pour détecter et empêcher les programmes malveillants sur les points de terminaison invités (VM) Windows, vous devez déployer le service Protection contre les programmes malveillants distribués NSX sur les clusters d'hôtes ESXi préparés pour NSX.

Lorsque vous déployez le service sur un cluster d'hôtes, une instance de la machine virtuelle de service (SVM) Protection contre les programmes malveillants NSX est déployée sur chaque hôte du cluster. Actuellement, une SVM de taille fixe est déployée et nécessite les ressources suivantes sur chaque hôte du cluster :
  • 4 vCPU
  • 6 Go de RAM
  • 80 Go d'espace disque
Note : Sur le trafic est-ouest distribué, la détection des programmes malveillants et la protection contre ces programmes sont prises en charge uniquement pour les fichiers exécutables portables Windows (PE) extraits par l'agent léger GI sur les machines virtuelles de charge de travail (points de terminaison). Les autres catégories de fichiers ne sont actuellement pas prises en charge par Protection contre les programmes malveillants distribués NSX. La limite de taille de fichier maximale prise en charge est de 64 Mo.

Avant de déployer le service Protection contre les programmes malveillants distribués NSX sur des clusters d'hôtes, vous devez remplir les conditions préalables expliquées dans les sections suivantes. Si certaines conditions préalables sont déjà remplies, ignorez-les et passez aux conditions préalables en attente.

Ajouter une licence appropriée dans NSX-T Data Center

Pour utiliser la fonctionnalité Protection contre les programmes malveillants NSX, NSX-T Data Center doit utiliser une licence appropriée. Pour plus d'informations sur les licences qui prennent en charge Protection contre les programmes malveillants NSX, reportez-vous à la section Configuration système requise pour NSX IDS/IPS et Protection contre les programmes malveillants NSX.

Pour ajouter une licence :
  1. Dans NSX Manager, accédez à Système > Licences > Ajouter une licence.
  2. Entrez la clé de licence.

Vérifier que tous les hôtes sont gérés par vCenter Server

La fonctionnalité Protection contre les programmes malveillants NSX n'est prise en charge que sur les clusters d'hôtes vSphere gérés par un ou plusieurs serveurs vCenter Server.

Pour vérifier que les hôtes sont gérés par vCenter Server, suivez les étapes décrites dans le tableau suivant.

Version de NSX-T Data Center Procédure

3.2.2

  1. Dans NSX Manager, accédez à Système > Infrastructure > Hôtes.
  2. Assurez-vous que vous êtes dans l'onglet Clusters > Nœuds de cluster.

    La liste des clusters d'hôtes vSphere s'affiche. Vérifiez que cette liste inclut les clusters d'hôtes qui vous intéressent pour activer la protection contre les logiciels malveillants.

3.2.1 ou une version antérieure

  1. Dans NSX Manager, accédez à Système > Infrastructure > Nœuds > Nœuds de transport hôtes.
  2. Dans le menu déroulant Géré par, sélectionnez le serveur vCenter Server qui gère les clusters d'hôtes vSphere sur lesquels vous souhaitez déployer la SVM Protection contre les programmes malveillants NSX.

    La liste des clusters d'hôtes vSphere s'affiche. Vérifiez que cette liste inclut les clusters d'hôtes qui vous intéressent pour activer la protection contre les logiciels malveillants.

Configurer des hôtes en tant que nœuds de transport

Appliquez un profil de nœud de transport aux clusters d'hôtes vSphere pour configurer les hôtes vSphere en tant que nœuds de transport hôtes.

Pour obtenir des instructions détaillées, consultez les rubriques suivantes du Guide d'installation de NSX-T Data Center :

Générer une paire de clés publique/privée pour l'accès SSH à la SVM

Pour télécharger le fichier journal de la SVM à des fins de dépannage, un accès SSH en lecture seule à la SVM Protection contre les programmes malveillants NSX est requis.

L'accès SSH à l'utilisateur admin de la SVM est basé sur des clés (paire de clés publique-privée). Une clé publique est nécessaire lorsque vous déployez le service sur un cluster d'hôtes ESXi et une clé privée est nécessaire lorsque vous souhaitez démarrer une session SSH sur la SVM.

Vous pouvez générer la paire de clés publique/privée à l'aide de n'importe quel outil de génération de clés SSH. Toutefois, la clé publique doit respecter un format spécifique, comme décrit dans la sous-section suivante. Exemples d'outils de génération de clés SSH : ssh-keygen, PuTTY Key Generator, etc. Les tailles de clés prises en charge sont 1 024 bits, 2 048 bits et 4 096 bits.

Format de clé publique
La clé publique doit respecter le format suivant :
Exemple :
ssh-rsa A1b2C3d4E5+F6G7XxYyZzaB67896C4g5xY9+H65aBUyIZzMnJ7329y94t5c%6acD+oUT83iHTR870973TGReXpO67U= rsa-key-20121022

Si vous utilisez le générateur de clés PuTTY, assurez-vous que la clé publique est copiée directement à partir de l'interface utilisateur. S'il existe une paire de clés, chargez d'abord le fichier de clé privée dans l'interface utilisateur du générateur de clés PuTTY, puis copiez la clé publique qui s'affiche dans la zone de texte Clé. Évitez de copier le contenu à partir d'un fichier de clé publique. Le contenu copié peut prendre un format différent et peut ne pas fonctionner pour la SVM.

Si vous générez la paire de clés à l'aide de l'utilitaire ssh-keygen sur des systèmes Linux, le format de clé inclut toujours ssh-rsa dans la clé publique. Par conséquent, sur les systèmes Linux, vous pouvez copier le contenu à partir d'un fichier de clé publique.

Pratique recommandée

Le déploiement de service Protection contre les programmes malveillants distribués NSX est effectué au niveau d'un cluster d'hôtes. Par conséquent, une paire de clés est liée à un cluster d'hôtes. Vous pouvez créer une nouvelle paire de clés publique-privée pour un déploiement de service sur chaque cluster ou utiliser une paire de clés unique pour les déploiements de services sur tous les clusters.

Si vous prévoyez d'utiliser une paire de clés publique-privée différente pour le déploiement de services sur chaque cluster, assurez-vous que les paires de clés sont nommées correctement pour en faciliter l'identification.

Il est recommandé d'identifier chaque déploiement de service avec un « ID de cluster de calcul » et de spécifier l'ID de cluster dans le nom de la paire de clés. Supposons par exemple que l'ID de cluster est « 1234-abcd ». Pour ce cluster, vous pouvez indiquer « MPS-1234-abcd » comme nom du déploiement de service et nommer la paire de clés pour accéder à ce déploiement de service nommé « id_rsa_1234_abcd.pem ». Cette pratique vous permet facilement de gérer et d'associer des clés pour chaque déploiement de service.

Important : Stockez la clé privée en toute sécurité. La perte de la clé privée peut entraîner une perte d'accès SSH à la SVM Protection contre les programmes malveillants NSX.

Déployer NSX Application Platform

NSX Application Platform est une plate-forme de microservices moderne qui héberge plusieurs fonctionnalités NSX qui collectent, ingèrent et mettent en corrélation les données du trafic réseau.

Pour obtenir des instructions détaillées sur le déploiement de la plate-forme, reportez-vous à la publication Déploiement et gestion de VMware NSX Application Platform à l'adresse https://docs.vmware.com/fr/VMware-NSX-T-Data-Center/index.html. Dans le volet de navigation de gauche de ce lien, développez 3.2 ou version ultérieure, puis cliquez sur le nom de la publication.

Activer la fonctionnalité Protection contre les programmes malveillants NSX

Pour des instructions détaillées, reportez-vous à la section Activer Protection contre les programmes malveillants NSX.

Lorsque cette fonctionnalité est activée, les microservices requis pour Protection contre les programmes malveillants NSX s'exécutent dans NSX Application Platform.

Avant de passer à l'étape suivante, vérifiez l'état de la fonctionnalité Protection contre les programmes malveillants NSX sur NSX Application Platform. Suivez la procédure :
  1. Dans NSX Manager, accédez à Système > NSX Application Platform.
  2. Faites défiler la page vers le bas jusqu'à ce que la section Fonctionnalités s'affiche.
  3. Vérifiez que la fiche de la fonctionnalité Protection contre les programmes malveillants NSX affiche l'État comme Actif.

Si l'état est Inactif, attendez que l'état devienne Actif, puis passez à l'étape suivante.

Vérifier la configuration matérielle sur les VM invitées

Vérifiez que la version 9 ou ultérieure de la configuration matérielle de VM s'exécute sur les VM invitées Windows. Suivez la procédure :
  1. Connectez-vous à vSphere Client.
  2. Accédez à Hôtes et clusters, puis accédez au cluster.
  3. Cliquez sur les VM du cluster, une à la fois.
  4. Sur la page Résumé, développez le volet Matériel de VM et observez les informations de compatibilité de la VM. Le numéro de version de la VM doit être 9 ou supérieur.
Par exemple :
Volet Matériel de VM avec informations de compatibilité mises en évidence.

Installer le pilote d'introspection de fichiers NSX

Le pilote d'introspection de fichiers NSX est inclus dans VMware Tools pour Windows. Toutefois, ce pilote ne fait pas partie de l'installation par défaut de VMware Tools. Pour installer ce pilote, vous devez effectuer une installation personnalisée ou complète et sélectionner le pilote d'introspection de fichiers NSX.

Pour des instructions détaillées, reportez-vous à la section Installer l'agent léger Guest Introspection sur les machines virtuelles Windows.

Télécharger le fichier OVA de la machine virtuelle de service Protection contre les programmes malveillants NSX

  1. Dans un navigateur Web, ouvrez la page Télécharger VMware NSX-T Data Center™ et connectez-vous avec votre ID VMware.
  2. Téléchargez le fichier OVA. (VMware-NSX-Malware-Prevention-appliance-3.2.0.0-build_namber.ova)
  3. Extrayez le fichier OVA à l'aide de la commande suivante :
    tar -xvf filename.ova

    Remplacez filename par le nom exact du fichier OVA que vous avez téléchargé à l'étape précédente.

    Notez que les quatre fichiers suivants sont disponibles dans le répertoire racine dans lequel le fichier OVA est extrait.

    • Fichier OVF (.ovf)
    • Fichier manifeste (.mf)
    • Fichier de certificat (.cert)
    • Fichier de disque de machine virtuelle (.vmdk)
  4. Copiez tous les fichiers extraits sur un serveur Web qui répond aux conditions préalables suivantes :
    • Le serveur Web doit disposer d'un accès non authentifié sur HTTP.
    • Le serveur Web doit être accessible à NSX Manager, à tous les hôtes ESXi sur lesquels vous prévoyez de déployer la SVM Protection contre les programmes malveillants NSX et à l'instance de vCenter Server enregistrée sur NSX-T.
    • Les types MIME des fichiers extraits doivent être ajoutés au serveur Web. Pour plus d'informations sur l'ajout de types MIME au serveur Web, reportez-vous à la documentation de votre serveur Web.
      Extension de fichier Type MIME

      .ovf

      application/vmware

      .vmdk

      application/octet-stream

      .mf

      text/cache-manifest

      .cert

      application/x-x509-user-cert

Note : Vous pouvez déployer le serveur Web sur le même réseau que celui sur lequel les dispositifs NSX Manager, les hôtes ESXi et le dispositif vCenter Server sont déployés. Le serveur Web ne nécessite pas d'accès à Internet.

Enregistrer le service Protection contre les programmes malveillants distribués NSX

Exécutez l'API POST suivante :
POST https://{nsx-manager-ip}/napp/api/v1/malware-prevention/svm-spec
Dans le corps de la demande de cette API POST, spécifiez les informations suivantes :
  • Chemin d'accès complet au fichier OVF sur le serveur Web
  • Nom de la spécification de déploiement (la SVM est identifiée par ce nom sur vCenter Server)
  • Numéro de version SVM
Exemple de corps de demande :
{
    "ovf_url" : "http://{webserver-ip}/{path-to-ovf-file}/{filename}.ovf",
    "deployment_spec_name" : "NSX_Distributed_MPS",
    "svm_version" : "3.2"
}

Pour plus d'informations sur cette API, y compris un exemple de réponse, reportez-vous à la documentation de l'API de protection contre les programmes malveillants sur le portail VMware Developer Documentation.

Vérifiez que le nom du service est répertorié sur la page Catalogue. Suivez la procédure :
  1. Dans NSX Manager, accédez à Système > Déploiements de service > Catalogue.
  2. Vérifiez que le Service de protection contre les programmes malveillants VMware NSX est répertorié sur la page.