L'objectif de Service de détection et de prévention des intrusions de NSX (IDS/IPS) est de surveiller le trafic réseau sur les hôtes et les dispositifs Edge à la recherche d'une éventuelle activité malveillante en comparant le trafic avec un ensemble connu de signatures. L'objectif de Protection contre les programmes malveillants NSX est d'extraire des fichiers du trafic réseau sur les hôtes et les dispositifs Edge, et d'analyser le comportement malveillant éventuel de ces fichiers.
Présentation du service de détection et de prévention des intrusions de NSX
NSX IDS/IPS surveille l'éventuelle activité suspecte du trafic réseau sur un hôte en comparant le trafic avec les signatures. Une signature spécifie un modèle pour un type d'intrusion réseau qui doit être détecté et signalé. Chaque fois qu'un modèle de trafic correspondant à une signature est trouvé, une action prédéfinie est effectuée, telle que générer une alerte ou empêcher le trafic d'atteindre sa destination.
- Pare-feu distribué : avant NSX-T Data Center 3.2, la mise en œuvre d'IDS était limitée aux signatures basées sur les connaissances. Les signatures basées sur les connaissances intègrent des connaissances ou des modèles spécifiques qui correspondent à un type connu d'attaque. Dans cette approche, IDS tente de détecter les intrusions en fonction de séquences d'instructions malveillantes déjà connues spécifiées dans les signatures. Par conséquent, les signatures basées sur les connaissances sont limitées aux attaques déjà connues et qui ne peuvent pas couvrir les menaces ciblées ou de type zero-day.
À partir de NSX-T Data Center 3.2, IDS prend également en charge la détection basée sur le comportement. Ce type de détection tente d'identifier un comportement anormal en mettant en évidence des événements intéressants différents ou inhabituels par rapport à une ligne de base ou un trafic normal.
Ces événements sont appelés informatifs ou info et se composent d'événements qui mettent en évidence des activités inhabituelles dans un réseau qui ne sont pas nécessairement malveillantes, mais qui peuvent fournir des informations précieuses lors de l'examen d'une violation. Les signatures sont regroupées avec une logique de détection personnalisée qui peut être mise à jour sans devoir recompiler ou modifier le moteur IDS. La détection basée sur le comportement ajoute un nouveau niveau « suspect » de gravité des intrusions IDS.
- Pare-feu de passerelle : à partir de NSX-T Data Center 3.2, IDS/IPS est également disponible sur le pare-feu de passerelle.
Important : Dans NSX-T Data Center 3.2.0, NSX IDS/IPS sur le pare-feu de passerelle est disponible en mode tech preview uniquement. À partir de NSX-T Data Center 3.2.1, cette fonctionnalité est disponible pour les environnements de production et dispose d'une prise en charge complète. Pour plus d'informations, reportez-vous à Notes de mise à jour de NSX-T Data Center.
Présentation de Protection contre les programmes malveillants NSX
- Détection basée sur le hachage des fichiers malveillants connus
- Analyse locale de fichiers inconnus
- Analyse cloud de fichiers inconnus
- Sur le pare-feu de passerelle, seule la détection des logiciels malveillants est prise en charge. L'analyse locale et l'analyse cloud des fichiers de programmes malveillants sont prises en charge. Pour afficher la liste des catégories de fichiers prises en charge, reportez-vous à la section Catégories de fichiers prises en charge pour Protection contre les programmes malveillants NSX.
- Sur le pare-feu distribué, la détection des programmes malveillants et la protection contre ces programmes sont prises en charge uniquement pour les points de terminaison invités Windows (VM) exécutés sur des clusters d'hôtes vSphere préparés pour NSX. Seuls les fichiers exécutables portables Windows (PE) sont pris en charge pour l'analyse locale et l'analyse cloud. Les autres catégories de fichiers ne sont actuellement pas prises en charge par Protection contre les programmes malveillants distribués NSX.
- La limite de taille de fichier maximale prise en charge est de 64 Mo.
Sur le trafic nord-sud, la fonctionnalité Protection contre les programmes malveillants NSX utilise le moteur IDS/IPS sur les dispositifs NSX Edge pour extraire ou intercepter les fichiers entrant dans le centre de données. Sur le trafic est-ouest, cette fonctionnalité utilise les capacités de la plate-forme NSX Guest Introspection (GI). Si le fichier contourne la surveillance sur le dispositif NSX Edge et atteint l'hôte, il est extrait par l'agent léger GI sur les VM invitées Windows.
Pour détecter et empêcher les programmes malveillants sur des machines virtuelles invitées Windows, vous devez installer l'agent léger NSX Guest Introspection sur des machines virtuelles invitées Windows et déployer le service Protection contre les programmes malveillants distribués NSX sur des clusters d'hôtes vSphere préparés pour NSX-T Data Center. Lorsque ce service est déployé, une machine virtuelle de service (SVM) est installée sur chaque hôte du cluster vSphere tandis que Protection contre les programmes malveillants NSX est activé sur le cluster d'hôtes.
Les pilotes d'agent léger NSX Guest Introspection pour Windows sont inclus avec VMware Tools. Pour afficher les versions de VMware Tools prises en charge pour votre version de NSX-T Data Center, consultez la Matrice d'interopérabilité des produits VMware. Pour afficher la liste des systèmes d'exploitation invités Windows pris en charge pour une version spécifique de VMware Tools, consultez les notes de mise à jour de cette version dans la documentation de VMware Tools.
- Événements de fichier Protection contre les programmes malveillants NSX
-
Les événements de fichiers sont générés lorsque des fichiers sont extraits par le moteur IDS sur les dispositifs NSX Edge dans le trafic nord-sud et par l'agent NSX Guest Introspection sur les points de terminaison de machine virtuelle dans le trafic est-ouest distribué.
La fonctionnalité Protection contre les programmes malveillants NSX inspecte les fichiers extraits pour déterminer s'ils sont inoffensifs, malveillants ou suspects. Chaque inspection unique d'un fichier est comptée comme un événement de fichier unique dans NSX-T Data Center. En d'autres termes, un événement de fichier fait référence à une inspection de fichier unique.
Pour plus d'informations sur la surveillance des événements de fichiers Protection contre les programmes malveillants NSX à l'aide de l'interface utilisateur, reportez-vous à la section Surveillance des événements de fichiers.
Pour plus d'informations sur la surveillance des événements de fichiers à l'aide des API d'événements de fichier Protection contre les programmes malveillants NSX, reportez-vous à la documentation sur le portail VMware Developer Documentation.