L'objectif de Service de détection et de prévention des intrusions de NSX (IDS/IPS) est de surveiller le trafic réseau sur les hôtes et les dispositifs Edge à la recherche d'une éventuelle activité malveillante en comparant le trafic avec un ensemble connu de signatures. L'objectif de Protection contre les programmes malveillants NSX est d'extraire des fichiers du trafic réseau sur les hôtes et les dispositifs Edge, et d'analyser le comportement malveillant éventuel de ces fichiers.

Présentation du service de détection et de prévention des intrusions de NSX

NSX IDS/IPS surveille l'éventuelle activité suspecte du trafic réseau sur un hôte en comparant le trafic avec les signatures. Une signature spécifie un modèle pour un type d'intrusion réseau qui doit être détecté et signalé. Chaque fois qu'un modèle de trafic correspondant à une signature est trouvé, une action prédéfinie est effectuée, telle que générer une alerte ou empêcher le trafic d'atteindre sa destination.

NSX Data Center prend en charge la capacité IDS/IPS sur les pare-feu suivants :
  • Pare-feu distribué : avant NSX Data Center 3.2, la mise en œuvre d'IDS était limitée aux signatures basées sur les connaissances. Les signatures basées sur les connaissances intègrent des connaissances ou des modèles spécifiques qui correspondent à un type connu d'attaque. Dans cette approche, IDS tente de détecter les intrusions en fonction de séquences d'instructions malveillantes déjà connues spécifiées dans les signatures. Par conséquent, les signatures basées sur les connaissances sont limitées aux attaques déjà connues et qui ne peuvent pas couvrir les menaces ciblées ou de type zero-day.

    À partir de NSX Data Center 3.2, IDS prend également en charge la détection basée sur le comportement. Ce type de détection tente d'identifier un comportement anormal en mettant en évidence des événements intéressants différents ou inhabituels par rapport à une ligne de base ou un trafic normal.

    Ces événements sont appelés informatifs ou info et se composent d'événements qui mettent en évidence des activités inhabituelles dans un réseau qui ne sont pas nécessairement malveillantes, mais qui peuvent fournir des informations précieuses lors de l'examen d'une violation. Les signatures sont regroupées avec une logique de détection personnalisée qui peut être mise à jour sans devoir recompiler ou modifier le moteur IDS. La détection basée sur le comportement ajoute un nouveau niveau « suspect » de gravité des intrusions IDS.

  • Pare-feu de passerelle : à partir de NSX Data Center 3.2, IDS/IPS est également disponible sur le pare-feu de passerelle.
    Important : Dans NSX-T Data Center 3.2, NSX IDS/IPS sur le pare-feu de passerelle est disponible en mode aperçu tech. Utilisez cette fonctionnalité uniquement à des fins expérimentales.

Présentation de Protection contre les programmes malveillants NSX

Protection contre les programmes malveillants NSX peut détecter et bloquer les fichiers malveillants connus et inconnus. Les fichiers malveillants inconnus sont également appelés menaces de type zero-day. Pour détecter les programmes malveillants, Protection contre les programmes malveillants NSX utilise une combinaison des techniques suivantes :
  • Détection basée sur le hachage des fichiers malveillants connus
  • Analyse locale de fichiers inconnus
  • Analyse cloud de fichiers inconnus
Note : Dans NSX-T Data Center 3.2, Protection contre les programmes malveillants NSX prend en charge les capacités suivantes :
  • Sur le pare-feu de passerelle, seule la détection des logiciels malveillants est prise en charge. L'analyse locale et l'analyse cloud des fichiers de programmes malveillants sont prises en charge. Pour afficher la liste des catégories de fichiers prises en charge, reportez-vous à la section Catégories de fichiers prises en charge pour Protection contre les programmes malveillants NSX.
  • Sur le pare-feu distribué, la détection des programmes malveillants et la protection contre ces programmes sont prises en charge uniquement pour les points de terminaison invités Windows (VM) exécutés sur des clusters d'hôtes vSphere préparés pour NSX. Seuls les fichiers exécutables portables Windows (PE) sont pris en charge pour l'analyse locale et l'analyse cloud. Les autres catégories de fichiers ne sont actuellement pas prises en charge par Protection contre les programmes malveillants distribués NSX.
  • La limite de taille de fichier maximale prise en charge est de 64 Mo.

Présentation conceptuelle de la protection contre les programmes malveillants NSX dans NSX-T Data Center.

Sur le trafic nord-sud, la fonctionnalité Protection contre les programmes malveillants NSX utilise le moteur IDS/IPS sur les dispositifs NSX Edge pour extraire ou intercepter les fichiers entrant dans le centre de données. Sur le trafic est-ouest, cette fonctionnalité utilise les capacités de la plate-forme NSX Guest Introspection (GI). Si le fichier contourne la surveillance sur le dispositif NSX Edge et atteint l'hôte, il est extrait par l'agent léger GI sur les VM invitées Windows.

Pour détecter et bloquer les programmes malveillants sur les VM invitées Windows, vous devez déployer le service Protection contre les programmes malveillants distribués NSX sur les clusters d'hôtes vSphere préparés pour NSX. Lorsque ce service est déployé, une machine virtuelle de service (SVM) est installée sur chaque hôte du cluster vSphere tandis que Protection contre les programmes malveillants NSX est activé sur le cluster d'hôtes.