Vous pouvez configurer les fonctionnalités NSX IDS/IPS et Protection contre les programmes malveillants NSX dans l'environnement NSX-T Data Center uniquement lorsque votre centre de données utilise une licence appropriée.

Pour plus d'informations sur les licences requises pour exécuter la solution NSX Advanced Threat Prevention, reportez-vous à la section Licences de sécurité dans Types de licences.

La préparation d'une instance de NSX-T Data Center pour la détection/prévention des intrusions NSX et la fonctionnalité Protection contre les programmes malveillants NSX implique plusieurs étapes. Pour effectuer ces étapes, vous pouvez utiliser l'assistant Configuration de la protection contre les programmes malveillants/IDS/IPS.

L'assistant de configuration est semblable à un processus d'intégration qui vous guide à travers une séquence d'étapes de préparation du centre de données pour ces deux fonctionnalités de sécurité. Pour exécuter cet assistant, accédez à la section Sécurité > IDS/IPS et protection contre les programmes malveillants.

Si NSX-T détecte que les licences appropriées ne sont pas ajoutées, la page affiche le texte suivant :

La licence actuelle ne prend pas en charge les fonctionnalités IDS/IPS et Protection contre les programmes malveillants.

Si NSX-T détecte que des licences appropriées sont ajoutées, la page affiche les boutons Démarrer la configuration et Ignorer la configuration.

Pour commencer l'assistant de configuration, cliquez sur Démarrer la configuration. Suivez les instructions à l'écran et cette documentation pour effectuer les étapes de l'assistant.

  • Si vous souhaitez enregistrer votre progression à tout moment et quitter l'assistant, cliquez sur Retour à la page principale. Par la suite, vous pouvez poursuivre la configuration là où vous vous étiez arrêté.
  • Pour réinitialiser l'assistant de configuration et redémarrer à partir du début, cliquez sur Annuler. L'annulation de la configuration supprime les sélections que vous avez effectuées dans l'assistant, mais pas les déploiements que vous avez effectués dans l'assistant. Par exemple, si vous avez effectué le déploiement de NSX Application Platform et de la machine virtuelle de service Protection contre les programmes malveillants NSX sur des clusters d'hôtes avant de réinitialiser l'assistant, ces déploiements sont conservés.
  • Pour ne pas utiliser l'assistant de configuration et plutôt configurer les deux fonctionnalités de sécurité ultérieurement, cliquez sur Ignorer la configuration. NSX Manager n'affiche plus cet assistant. Par la suite, vous pouvez accéder à Sécurité > IDS/IPS et protection contre les programmes malveillants > Paramètres et configurer le centre de données pour les deux fonctionnalités. Pour plus d'informations sur l'utilisation de la page Paramètres d'IDS/IPS et de protection contre les programmes malveillants, reportez-vous à la section Configuration de NSX IDS/IPS et des paramètres Protection contre les programmes malveillants NSX.
Par défaut, toutes les cases des cartes des fonctionnalités IDS/IPS et Protection contre les programmes malveillants sont cochées à des fins de configuration. Vous pouvez modifier les sélections, si nécessaire. Lorsque vous êtes prêt à continuer, cliquez sur Suivant. Vos sélections déterminent les onglets affichés dans l'assistant, comme expliqué dans le tableau suivant.
Fonctionnalités sélectionnées Onglets affichés

IDS/IPS sur le trafic est-ouest

ou

IDS/IPS sur le trafic nord-sud (mode tech preview)

Configurer le proxy NSX

Gérer les signatures

Activer les nœuds

Protection contre les programmes malveillants uniquement sur le trafic est-ouest

Configurer le proxy NSX

Déployer NSX Application Platform

Déployer la VM de service

Protection contre les programmes malveillants uniquement sur le trafic nord-sud

Configurer le proxy NSX

Déployer NSX Application Platform

Activer les nœuds

Protection contre les programmes malveillants sur le trafic est-ouest et le trafic nord-sud

Configurer le proxy NSX

Déployer NSX Application Platform

Déployer la VM de service

Activer les nœuds

Toutes les fonctionnalités sélectionnées

Les cinq onglets de l'assistant s'affichent tous

Configurer le serveur proxy NSX pour la connectivité Internet

Protection contre les programmes malveillants NSX ne peut fonctionner que lorsque votre dispositif NSX-T Data Center est connecté à Internet. NSX IDS/IPS peut fonctionner dans un réseau sans connectivité Internet, mais vous devrez mettre à jour manuellement les signatures IDS/IPS.

Cliquez sur le lien Aller au serveur proxy NSX et spécifiez les paramètres suivants :
  • Schéma (HTTP ou HTTPS)
  • Adresse IP de l'hôte
  • Numéro de port
  • Nom d'utilisateur et mot de passe

Déployer NSX Application Platform

Protection contre les programmes malveillants NSX nécessite le déploiement de certains microservices dans NSX Application Platform. Vous devez d'abord déployer NSX Application Platform, puis activer la fonctionnalité Protection contre les programmes malveillants NSX. Une fois cette fonctionnalité activée, les microservices requis pour Protection contre les programmes malveillants NSX sont déployés dans la plate-forme.

Pour résumer, vous devez effectuer les tâches suivantes dans l'ordre indiqué :
  1. Déployer NSX Application Platform
  2. Activer Protection contre les programmes malveillants NSX

Déployer une machine virtuelle de service

Pour le trafic est-ouest dans le centre de données, vous devez déployer le service Protection contre les programmes malveillants distribués NSX sur les clusters d'hôtes vSphere préparés pour NSX. Lorsque ce service est déployé, une machine virtuelle de service (SVM) est installée sur chaque hôte du cluster vSphere tandis que Protection contre les programmes malveillants NSX est activé sur le cluster d'hôtes.

Un graphique en anneau sur cette page affiche le nombre de clusters d'hôtes dans le centre de données dans lequel le service Protection contre les programmes malveillants distribués NSX est déployé et non déployé.

Pour obtenir des instructions détaillées sur le déploiement du service Protection contre les programmes malveillants distribués NSX sur un cluster d'hôtes, reportez-vous à la section Déployer le service Protection contre les programmes malveillants distribués NSX.

Une fois le déploiement du service effectué sur les clusters d'hôtes, revenez à cette page de l'assistant, puis cliquez sur Suivant pour continuer.

Gérer les signatures

Lorsque la connectivité Internet est configurée dans votre centre de données, NSX Manager vérifie la disponibilité de nouvelles signatures de détection des intrusions sur le cloud toutes les 20 minutes, par défaut. Lorsqu'une nouvelle mise à jour est disponible, une bannière s'affiche sur la page avec un lien Mettre à jour maintenant.

Si le centre de données ne dispose pas d'une connectivité Internet, vous pouvez télécharger manuellement le fichier de bundle de signatures IDS (.zip), puis charger le fichier dans NSX Manager. Pour des instructions détaillées, reportez-vous à la section Téléchargement et chargement des signatures de détection des intrusions NSX hors ligne.

Gestion des signatures

Les tâches de gestion des signatures sont facultatives. Si nécessaire, vous pouvez les réaliser ultérieurement sur la page IDS/IPS et paramètres de protection contre les programmes malveillants. (Sécurité > IDS/IPS et protection contre les programmes malveillants > Paramètres > IDS/IPS).

  • Activez l'option Mise à jour automatique des nouvelles versions pour appliquer automatiquement les signatures de détection des intrusions aux hôtes et aux dispositifs Edge du centre de données après leur téléchargement depuis le cloud.

    Lorsque cette option est désactivée, les signatures sont arrêtées à la version répertoriée.

  • Cliquez sur Afficher et modifier les versions pour ajouter une autre version des signatures, en plus de la version par défaut.

    Actuellement, deux versions de signatures sont conservées. Chaque fois qu'une modification est apportée au numéro d'identification de validation de la version, une nouvelle version est téléchargée.

  • Cliquez sur Afficher et gérer l'ensemble de signatures global pour modifier globalement l'action de signatures spécifiques en alerte, abandon ou rejet.

    Sélectionnez une Action pour la signature, puis cliquez sur Enregistrer. Les modifications apportées aux paramètres globaux de gestion des signatures s'appliquent à tous les profils IDS/IPS. Cependant, si vous mettez à jour les paramètres de signature dans un profil IDS/IPS, les paramètres du profil sont prioritaires.

    Le tableau suivant décrit la signification de chaque action de signature.

    Action Description

    Alerte

    Une alerte est générée et aucune action préventive automatique n'est effectuée.

    Annuler

    Une alerte est générée et les paquets incriminés sont abandonnés.

    Refuser

    Une alerte est générée et les paquets incriminés sont abandonnés. Pour les flux TCP, un paquet de réinitialisation TCP est généré par IDS et envoyé à la source et à la destination de la connexion. Pour les autres protocoles, un paquet d'erreur ICMP est envoyé à la source et à la destination de la connexion.

Activer les nœuds pour IDS/IPS et la protection conte les programmes malveillants

Dans la section Activer les hôtes et les clusters pour le trafic est-ouest, procédez comme suit :

  • Activez NSX IDS/IPS sur les hôtes ESXi autonomes.
  • Sélectionnez les clusters d'hôtes ESXi sur lesquels vous souhaitez activer NSX IDS/IPS sur le trafic est-ouest.
  • Si le service Protection contre les programmes malveillants distribués NSX n'est pas déjà déployé sur les clusters d'hôtes ESXi, cliquez sur le lien Défini dans le déploiement de la VM de service dans la colonne Protection contre les programmes malveillants. Pour obtenir des instructions sur le déploiement de service Protection contre les programmes malveillants distribués NSX sur un cluster d'hôtes, reportez-vous à la section Déployer le service Protection contre les programmes malveillants distribués NSX.
Note :
  • N'activez pas NSX Distributed IDS/IPS dans un environnement qui utilise l'équilibreur de charge distribué. NSX Data Center ne prend pas en charge IDS/IPS avec un équilibreur de charge distribué.
  • Pour que NSX Distributed IDS/IPS fonctionne, le pare-feu distribué (DFW) doit être activé. Si le trafic est bloqué par une règle DFW, IDS/IPS ne peut pas voir le trafic.
Dans la section Activez les passerelles pour le trafic nord-sud, effectuez les configurations suivantes :
  • Sélectionnez les passerelles de niveau 1 sur lesquelles vous souhaitez activer NSX IDS/IPS sur le trafic nord-sud.
  • Sélectionnez les passerelles de niveau 1 sur lesquelles vous souhaitez activer Protection contre les programmes malveillants NSX sur le trafic nord-sud.
Important : Sur le trafic nord-sud, NSX-T Data Center 3.2 prend en charge :
  • La fonctionnalité Protection contre les programmes malveillants NSX, uniquement sur les passerelles de niveau 1.
  • La fonctionnalité NSX IDS/IPS sur le pare-feu de passerelle uniquement sur les passerelles de niveau 1 en mode aperçu tech. Utilisez-le uniquement à des fins expérimentales.