Vous pouvez configurer les fonctionnalités NSX IDS/IPS et Protection contre les programmes malveillants NSX dans l'environnement NSX-T Data Center uniquement lorsque votre centre de données utilise une licence appropriée.
Pour plus d'informations sur les licences requises pour exécuter la solution NSX Advanced Threat Prevention, reportez-vous à la section Licences de sécurité dans Types de licences.
La préparation du centre de données pour une instance de détection/prévention des intrusions pour NSX et la fonctionnalité Protection contre les programmes malveillants NSX implique plusieurs étapes. Pour effectuer ces étapes, vous pouvez utiliser l'assistant Configuration de la protection contre les programmes malveillants/IDS/IPS.
L'assistant de configuration est semblable à un processus d'intégration qui vous guide à travers une séquence d'étapes de préparation du centre de données pour ces deux fonctionnalités de sécurité. Pour exécuter cet assistant, accédez à la section
.Si NSX-T détecte que les licences appropriées ne sont pas ajoutées, la page affiche le texte suivant :
La licence actuelle ne prend pas en charge les fonctionnalités IDS/IPS et Protection contre les programmes malveillants.
Si NSX-T détecte que des licences appropriées sont ajoutées, la page affiche les boutons Démarrer la configuration et Ignorer la configuration.
Pour commencer l'assistant de configuration, cliquez sur Démarrer la configuration. Suivez les instructions à l'écran et cette documentation pour effectuer les étapes de l'assistant.
- Si vous souhaitez enregistrer votre progression à tout moment et quitter l'assistant, cliquez sur Retour à la page principale. Par la suite, vous pouvez poursuivre la configuration là où vous vous étiez arrêté.
- Pour réinitialiser l'assistant de configuration et redémarrer à partir du début, cliquez sur Annuler. L'annulation de la configuration supprime les sélections que vous avez effectuées dans l'assistant, mais pas les déploiements que vous avez effectués dans l'assistant. Par exemple, si vous avez effectué le déploiement de NSX Application Platform et de la machine virtuelle de service Protection contre les programmes malveillants NSX sur des clusters d'hôtes avant de réinitialiser l'assistant, ces déploiements sont conservés.
- Pour ne pas utiliser l'assistant de configuration et plutôt configurer les deux fonctionnalités de sécurité ultérieurement, cliquez sur Ignorer la configuration. NSX Manager n'affiche plus cet assistant. Par la suite, vous pouvez accéder à et configurer le centre de données pour les deux fonctionnalités. Pour plus d'informations sur l'utilisation de la page Paramètres d'IDS/IPS et de protection contre les programmes malveillants, reportez-vous à la section Configuration de NSX IDS/IPS et des paramètres Protection contre les programmes malveillants NSX.
Fonctionnalités sélectionnées | Onglets affichés |
---|---|
IDS/IPS sur le trafic est-ouest ou IDS/IPS sur le trafic nord-sud (dans NSX-T Data Center 3.2.0, cette fonctionnalité n'était disponible qu'en mode tech preview. À partir de NSX-T Data Center 3.2.1, la fonctionnalité est disponible pour les environnements de production et dispose d'une prise en charge complète.) |
Configurer le proxy NSX Gérer les signatures Activer les nœuds |
Protection contre les programmes malveillants uniquement sur le trafic est-ouest |
Configurer le proxy NSX Déployer NSX Application Platform Déployer la VM de service |
Protection contre les programmes malveillants uniquement sur le trafic nord-sud |
Configurer le proxy NSX Déployer NSX Application Platform Activer les nœuds |
Protection contre les programmes malveillants sur le trafic est-ouest et le trafic nord-sud | Configurer le proxy NSX Déployer NSX Application Platform Déployer la VM de service Activer les nœuds |
Toutes les fonctionnalités sélectionnées |
Les cinq onglets de l'assistant s'affichent tous |
Configurer le serveur proxy NSX pour la connectivité Internet
NSX IDS/IPS n'a pas nécessairement besoin d'une connexion Internet pour fonctionner. NSX IDS/IPS utilise des signatures pour détecter et empêcher les intrusions. Si votre environnement NSX-T Data Center dispose d'une connectivité Internet, NSX Manager peut télécharger automatiquement les dernières signatures de détection des intrusions directement depuis Internet ou via un serveur proxy NSX. Si la connectivité Internet n'est pas configurée dans votre environnement NSX, vous pouvez utiliser des API pour télécharger manuellement le fichier (.zip) du bundle de signatures de détection des intrusions NSX, puis charger le bundle de signatures vers NSX Manager. Pour en savoir plus sur le téléchargement manuel des signatures, reportez-vous à la section Téléchargement et chargement des signatures de détection des intrusions NSX hors ligne.
Protection contre les programmes malveillants NSX utilise également des signatures pour détecter et empêcher les programmes malveillants. Cependant, NSX Manager peut télécharger les dernières signatures uniquement lorsque votre environnement NSX-T Data Center dispose d'une connectivité Internet. Vous ne pouvez pas charger manuellement les dernières signatures dans NSX Manager. Protection contre les programmes malveillants NSX envoie également des fichiers au service cloud NSX Advanced Threat Prevention pour une analyse détaillée des fichiers cloud. Les fichiers sont envoyés vers le cloud par le NSX Application Platform et non par NSX Manager. NSX Application Platform ne prend pas en charge la configuration du serveur proxy et nécessite un accès direct à Internet.
- Schéma (HTTP ou HTTPS)
- Adresse IP de l'hôte
- Numéro de port
- Nom d'utilisateur et mot de passe
Déployer NSX Application Platform
Protection contre les programmes malveillants NSX nécessite le déploiement de certains microservices dans NSX Application Platform. Vous devez d'abord déployer NSX Application Platform, puis activer la fonctionnalité Protection contre les programmes malveillants NSX. Une fois cette fonctionnalité activée, les microservices requis pour Protection contre les programmes malveillants NSX sont déployés dans la plate-forme.
Déployer une machine virtuelle de service
Pour le trafic est-ouest dans le centre de données, vous devez déployer le service Protection contre les programmes malveillants distribués NSX sur les clusters d'hôtes vSphere préparés pour NSX. Lorsque ce service est déployé, une machine virtuelle de service (SVM) est installée sur chaque hôte du cluster vSphere tandis que Protection contre les programmes malveillants NSX est activé sur le cluster d'hôtes.
Un graphique en anneau sur cette page affiche le nombre de clusters d'hôtes dans le centre de données dans lequel le service Protection contre les programmes malveillants distribués NSX est déployé et non déployé.
Pour obtenir des instructions détaillées sur le déploiement du service Protection contre les programmes malveillants distribués NSX sur un cluster d'hôtes, reportez-vous à la section Déployer le service Protection contre les programmes malveillants distribués NSX.
Une fois le déploiement du service effectué sur les clusters d'hôtes, revenez à cette page de l'assistant, puis cliquez sur Suivant pour continuer.
Gérer les signatures
Lorsque la connectivité Internet est configurée dans votre centre de données, NSX Manager vérifie la disponibilité de nouvelles signatures de détection des intrusions sur le cloud toutes les 20 minutes, par défaut. Lorsqu'une nouvelle mise à jour est disponible, une bannière s'affiche sur la page avec un lien Mettre à jour maintenant.
Si le centre de données ne dispose pas d'une connectivité Internet, vous pouvez télécharger manuellement le fichier de bundle de signatures IDS (.zip), puis charger le fichier dans NSX Manager. Pour des instructions détaillées, reportez-vous à la section Téléchargement et chargement des signatures de détection des intrusions NSX hors ligne.
- Gestion des signatures
-
Les tâches de gestion des signatures sont facultatives. Si nécessaire, vous pouvez les réaliser ultérieurement sur la page IDS/IPS et paramètres de protection contre les programmes malveillants. ( ).
- Activez l'option Mise à jour automatique des nouvelles versions pour appliquer automatiquement les signatures de détection des intrusions aux hôtes et aux dispositifs Edge du centre de données après leur téléchargement depuis le cloud.
Lorsque cette option est désactivée, les signatures sont arrêtées à la version répertoriée.
- Cliquez sur Afficher et modifier les versions pour ajouter une autre version des signatures, en plus de la version par défaut.
Actuellement, deux versions de signatures sont conservées. Chaque fois qu'une modification est apportée au numéro d'identification de validation de la version, une nouvelle version est téléchargée.
- Cliquez sur Afficher et gérer l'ensemble de signatures global pour modifier globalement l'action de signatures spécifiques en alerte, abandon ou rejet.
Sélectionnez une Action pour la signature, puis cliquez sur Enregistrer. Les modifications apportées aux paramètres globaux de gestion des signatures s'appliquent à tous les profils IDS/IPS. Cependant, si vous mettez à jour les paramètres de signature dans un profil IDS/IPS, les paramètres du profil sont prioritaires.
Le tableau suivant décrit la signification de chaque action de signature.
Action Description Alerte
Une alerte est générée et aucune action préventive automatique n'est effectuée.
Annuler
Une alerte est générée et les paquets incriminés sont abandonnés.
Rejeter
Une alerte est générée et les paquets incriminés sont abandonnés. Pour les flux TCP, un paquet de réinitialisation TCP est généré par IDS et envoyé à la source et à la destination de la connexion. Pour les autres protocoles, un paquet d'erreur ICMP est envoyé à la source et à la destination de la connexion.
- Activez l'option Mise à jour automatique des nouvelles versions pour appliquer automatiquement les signatures de détection des intrusions aux hôtes et aux dispositifs Edge du centre de données après leur téléchargement depuis le cloud.
Activer les nœuds pour IDS/IPS et la protection conte les programmes malveillants
Dans la section Activer les hôtes et les clusters pour le trafic est-ouest, procédez comme suit :
- Activez NSX IDS/IPS sur les hôtes ESXi autonomes.
- Sélectionnez les clusters d'hôtes ESXi sur lesquels vous souhaitez activer NSX IDS/IPS sur le trafic est-ouest.
- Si le service Protection contre les programmes malveillants distribués NSX n'est pas déjà déployé sur les clusters d'hôtes ESXi, cliquez sur le lien Défini dans le déploiement de la VM de service dans la colonne Protection contre les programmes malveillants. Pour obtenir des instructions sur le déploiement de service Protection contre les programmes malveillants distribués NSX sur un cluster d'hôtes, reportez-vous à la section Déployer le service Protection contre les programmes malveillants distribués NSX.
- N'activez pas NSX Distributed IDS/IPS dans un environnement qui utilise l'équilibreur de charge distribué. NSX ne prend pas en charge IDS/IPS avec un équilibreur de charge distribué.
- Pour que NSX Distributed IDS/IPS fonctionne, le pare-feu distribué (DFW) doit être activé. Si le trafic est bloqué par une règle DFW, IDS/IPS ne peut pas voir le trafic.
- Sélectionnez les passerelles de niveau 1 sur lesquelles vous souhaitez activer NSX IDS/IPS sur le trafic nord-sud.
- Sélectionnez les passerelles de niveau 1 sur lesquelles vous souhaitez activer Protection contre les programmes malveillants NSX sur le trafic nord-sud.
- La fonctionnalité Protection contre les programmes malveillants NSX, uniquement sur les passerelles de niveau 1.
- La fonctionnalité NSX IDS/IPS sur le pare-feu de passerelle uniquement sur les passerelles de niveau 1. Dans NSX-T Data Center 3.2.0, NSX IDS/IPS sur le pare-feu de passerelle est disponible en mode tech preview uniquement. À partir de NSX-T Data Center 3.2.1, NSX IDS/IPS sur le pare-feu de passerelle est disponible pour les environnements de production et dispose d'une prise en charge complète. Pour plus d'informations, reportez-vous à Notes de mise à jour de NSX-T Data Center.