Le tableau des règles de pare-feu met en œuvre la stratégie Sécurité NSX que vous pouvez créer à l'aide de l'interface utilisateur graphique de NSX Manager ou de l'infrastructure REST API.

Voici les étapes générales à comprendre et préparer pour la définition de la stratégie de sécurité.
  • VM Inventory Collection : vous pouvez identifier et organiser une liste de toutes les charges de travail virtualisées hébergées sur les nœuds de transport NSX-T. L'inventaire est collecté dynamiquement et enregistré par NSX Manager en tant que nœuds, ESXi ou KVM ajoutés en tant que nœuds de transport NSX-T. Pour afficher une liste d'inventaires, accédez au menu Inventaire > Machines virtuelles.
  • Tag : NSX-T permet de baliser une machine virtuelle, un segment et un port de segment. Pour marquer chacun de ces objets, accédez à la page de l'objet approprié ou accédez à Inventaire > Balises. Les objets peuvent contenir une ou plusieurs balises. Par exemple, une VM peut comporter Tag = PROD, Tag = HR-APP ou Tag = WEB-Tier.
  • Group Workloads : vous pouvez utiliser la construction de groupement logique NSX-T avec des critères d'appartenance dynamique ou statique basés sur le nom de la VM, les balises, le segment, le port de segment, les adresses IP ou d'autres attributs.
  • Define Security Policy : vous pouvez définir la stratégie de sécurité à l'aide du tableau de règles de pare-feu distribué disponible sur Sécurité > Pare-feu distribué. Vous pouvez organiser la stratégie en fonction de catégories prédéfinies telles qu'Ethernet, l'urgence, l'infrastructure, l'environnement et l'application.

Pour plus d'informations, reportez-vous au Guide d'administration de NSX-T Data Center.

Ajouter des balises

Vous pouvez sélectionner des balises existantes disponibles dans l'inventaire ou créer des balises à ajouter à un objet.

Procédure

  1. Avec des privilèges d'administrateur, connectez-vous à NSX Manager.
  2. Modifiez un objet pour les balises. Les objets peuvent être des machines virtuelles, des segments ou des ports de segment. Vous pouvez utiliser l'inventaire de chaque objet pour marquer l'objet ou accéder à Inventaire > Balises pour créer et attribuer des balises.
    Pour marquer les objets directement, par exemple des machines virtuelles, cliquez sur Inventaire > Machines virtuelles. En regard de la machine virtuelle que vous souhaitez modifier, cliquez sur le menu Actions, puis sur Modifier.
  3. Dans le menu déroulant Balise, entrez un nom de balise. Lorsque vous avez terminé, cliquez sur Ajouter un ou plusieurs éléments.
    La longueur maximale du nom de balise est de 256 caractères.

    Si des balises existent dans l'inventaire, le menu déroulant Balise affiche une liste de toutes les balises disponibles et leur étendue. La liste des balises disponibles inclut les balises définies par l'utilisateur, les balises définies par le système et les balises détectées. Vous pouvez sélectionner une balise existante dans le menu déroulant et l'ajouter à la machine virtuelle.

  4. (Facultatif) Entrez une étendue de balise.
    Par exemple, supposons que vous souhaitiez baliser des machines virtuelles en fonction de leur système d'exploitation (Windows, Mac, Linux). Créez trois balises, telles que Windows, Linux et Mac, et définissez l'étendue de chaque balise sur Système d'exploitation.
    La longueur maximale de l'étendue est de 128 caractères.

    Si vous avez sélectionné une balise existante dans l'inventaire, l'étendue de la balise sélectionnée est appliquée automatiquement. Sinon, vous pouvez entrer une étendue pour la nouvelle balise que vous créez.

  5. Cliquez sur l'icône +.
    La balise est ajoutée à la machine virtuelle.
  6. (Facultatif) Répétez les étapes 3 à 5 pour ajouter d'autres balises à la machine virtuelle.
  7. Cliquez sur Enregistrer.

Ajouter des groupes

Les groupes comprennent différents objets, ajoutés à la fois statiquement et dynamiquement, et pouvant faire office de source et de destination pour une règle de pare-feu.

Procédure

  1. Sélectionnez Inventaire > Groupes dans le panneau de navigation.
  2. Cliquez sur Ajouter un groupe et entrez un nom de groupe.
  3. Cliquez sur Définir.
  4. Dans la fenêtre Définir les membres, sélectionnez le Type de groupe.
    Tableau 1.
    Type de groupe Description
    Générique

    Ce type de groupe est la sélection par défaut. Une définition de groupe générique peut se composer d'une combinaison de critères d'appartenance, de membres ajoutés manuellement, d'adresses IP, d'adresses MAC et de groupes Active Directory.

    Lorsque vous définissez des critères d'appartenance dans le groupe, les membres sont ajoutés dynamiquement au groupe en fonction d'un ou de plusieurs critères. Les membres ajoutés manuellement incluent des objets, tels que des ports de segment, des ports distribués, des groupes de ports distribués, des VIF, des machines virtuelles, etc.

    Adresses IP uniquement

    Ce type de groupe contient uniquement des adresses IP (IPv4 ou IPv6).

    Une fois qu'un groupe de type Adresses IP uniquement est réalisé dans NSX-T Data Center, vous ne pouvez pas modifier le type de groupe sur Générique. Cependant, si le type de groupe est Générique, vous pouvez modifier le type de groupe pour Adresses IP uniquement. Dans ce cas, seules les adresses IP sont conservées dans le groupe. Tous les critères d'appartenance et les autres définitions de groupe sont perdus.

  5. Sur la page Critères de membre, cliquez sur Ajouter un critère pour ajouter dynamiquement des membres au groupe en fonction d'un ou de plusieurs critères d'appartenance.
  6. Cliquez sur Membres pour ajouter des membres statiques au groupe.
  7. (Facultatif) Cliquez sur Adresses IP/MAC pour ajouter des adresses IP et MAC en tant que membres du groupe. Les adresses IPv4, IPv6 et de multidiffusion sont prises en charge.
    Cliquez sur Action > Importer pour importer des adresses IP/MAC à partir d'un fichier .txt ou .csv contenant des valeurs d'adresses IP/MAC séparées par des virgules.
  8. Cliquez sur Groupes AD pour ajouter des groupes Active Directory. Cela est utilisé pour le pare-feu d'identité. Les groupes disposant de membres Active Directory peuvent être utilisés dans la source d'une règle de pare-feu distribué pour le pare-feu d'identité. Les groupes peuvent contenir à la fois des membres AD et des membres de calcul.
  9. (Facultatif) Entrez une description et une balise.
  10. Cliquez sur Appliquer.
    Les groupes sont répertoriés, et une option permettant d'en afficher les membres et l'emplacement d'utilisation est mise à disposition.

Stratégie de pare-feu distribué

Un pare-feu distribué est fourni avec les catégories prédéfinies pour les règles de pare-feu. Les catégories vous permettent d'organiser les stratégies de sécurité.

Les catégories sont évaluées de gauche à droite (Ethernet > Urgence > Infrastructure > Environnement > Application) et les règles de pare-feu distribué dans la catégorie sont évaluées de haut en bas.

Tableau 2. Catégories de règle de pare-feu distribué
Ethernet

Il est recommandé d'inclure des règles de couche 2 pour cette catégorie

Urgence

Il est recommandé d'inclure des règles de mise en quarantaine et d'autorisation pour cette catégorie

Infrastructure

Il est recommandé d'inclure des règles qui définissent l'accès aux services partagés. Par exemple :

  • AD
  • DNS
  • NTP
  • DHCP
  • Sauvegarde
  • Serveurs de gestion
Environnement

Il est recommandé d'inclure des règles entre les zones. Par exemple :

  • Production et développement
  • PCI et non-PCI
  • Règles inter-unités commerciales
Application

Il est recommandé d'inclure des règles entre :

  • Applications
  • Niveaux d'application
  • Micro-services

Ajouter une stratégie de pare-feu distribué

Un pare-feu distribué permet de surveiller l'ensemble du trafic est-ouest sur vos machines virtuelles.

Procédure

  1. Avec des privilèges d'administrateur, connectez-vous à NSX Manager.
  2. Sélectionnez Sécurité > Pare-feu distribué dans le panneau de navigation.
  3. Assurez-vous d'être dans la catégorie prédéfinie souhaitée et cliquez sur Ajouter une stratégie.
  4. Entrez un Nom pour la nouvelle section de stratégie.
  5. (Facultatif) Utilisez Appliqué à pour appliquer les règles de la stratégie à un groupe sélectionné. Par défaut, le champ de la stratégie Appliqué à est défini sur DFW et les règles de stratégie sont appliquées à toutes les charges de travail. Lorsque Appliqué à est défini sur un groupe, le niveau de stratégie Appliqué à est prioritaire sur l'état Appliqué à au niveau de la règle.
    Note : Les groupes comprenant uniquement des adresses IP, des adresses MAC ou des groupes Active Directory ne peuvent pas être utilisés dans la zone de texte Appliqué à.

    La colonne Appliqué à définit l'étendue de la mise en application pour chaque stratégie. Elle est utilisée principalement pour l'optimisation des ressources sur les hôtes ESXi et KVM. Elle permet de définir une stratégie ciblée pour des zones, des locataires ou des applications spécifiques, sans interférer avec d'autres stratégies définies pour d'autres applications, locataires et zones.

  6. Pour configurer les paramètres de stratégie suivants, cliquez sur l'icône d'engrenage.
  7. Cliquez sur Publier. Il est possible d'ajouter plusieurs stratégies et de les publier simultanément.
    La nouvelle stratégie s'affiche à l'écran.
  8. Sélectionnez une section de stratégie et cliquez sur Ajouter une règle, puis entrez un nom de règle.
  9. Dans la colonne Sources, cliquez sur l'icône de modification et sélectionnez la source de la règle. Les groupes possédant des membres Active Directory peuvent être utilisés pour la zone de texte source d'une règle IDFW.
  10. Dans la colonne Destinations, cliquez sur l'icône de modification et sélectionnez la destination de la règle. La destination correspond à n'importe laquelle si elle n'est pas définie.
  11. Dans la colonne Services, cliquez sur l'icône de modification et sélectionnez les services. Le service correspond à Quelconque s'il n'est pas défini.
  12. La colonne Profils n'est pas disponible lorsque vous ajoutez une règle à la catégorie Ethernet. Pour toutes les autres catégories de règle de la colonne Profils, cliquez sur l'icône de modification et sélectionnez un profil de contexte, ou cliquez sur Ajouter un nouveau profil de contexte. Reportez-vous à la section #GUID-654F5332-2978-49F8-BE83-297E5C69C22F.
    Ce paramètre est utilisé pour le filtrage d'ID d'application L7 et le filtrage de nom de domaine complet.
  13. Cliquez sur Appliquer pour appliquer le profil de contexte à la règle.
  14. Utilisez Appliqué à pour appliquer la règle à un groupe sélectionné. Lors de la création d'une règle DFW à l'aide de Guest Introspection, assurez-vous que le champ Appliqué à s'applique au groupe de destination. Par défaut, la colonne Appliqué à est définie sur DFW et la règle est appliquée à toutes les charges de travail. Si la stratégie et les règles qu'elle contient ont Appliqué à défini sur un groupe, alors le niveau de stratégie Appliqué à est prioritaire par rapport à Appliqué à au niveau de la règle.
    Note : Les groupes comprenant uniquement des adresses IP, des adresses MAC ou des groupes Active Directory ne peuvent pas être utilisés dans la zone de texte Appliqué à.
  15. Dans la colonne Action, sélectionnez une action.
    Option Description
    Autoriser Autorise le trafic L3 ou L2 avec la source, la destination et le protocole spécifiés à passer par le contexte de pare-feu actuel. Les paquets qui correspondent à la règle, et qui sont acceptés, traversent le système comme si le pare-feu n'était pas présent.
    Annuler Abandonne des paquets avec la source, la destination et le protocole spécifiés. L'abandon d'un paquet est une action silencieuse sans notification aux systèmes source ou de destination. L'abandon d'un paquet entraîne une nouvelle tentative de connexion jusqu'à ce que le seuil de nouvelles tentatives soit atteint.
    Refuser Rejette des paquets avec la source, la destination et le protocole spécifiés. Le refus d'un paquet est une manière plus appropriée de refuser un paquet, car il envoie un message de destination inaccessible à l'expéditeur. Si le protocole est TCP, un message TCP RST est envoyé. Les messages ICMP avec du code interdit par l'administrateur sont envoyés pour les connexions UDP, ICMP et autres connexions IP. L'avantage d'utiliser Refuser est que l'application d'envoi est informée après une seule tentative que la connexion ne peut pas être établie.
    Accéder à l'application À partir de NSX-T Data Center 3.1. Cette action est uniquement disponible pour la catégorie Environnement.

    Permet au trafic qui correspond aux règles de catégorie d'environnement de continuer pour que les règles de catégorie d'application s'appliquent. Utilisez cette action lorsque le trafic correspond aux règles de catégorie d'environnement et se ferme, mais que vous souhaitez que les règles de catégorie d'application s'appliquent.

    Par exemple, s'il existe une règle de catégorie d'environnement avec l'action Autoriser pour une source spécifique et une règle de catégorie d'application avec l'action Annuler pour la même source, les paquets qui correspondent à la catégorie d'environnement sont autorisés à traverser le pare-feu et les autres règles ne sont plus appliquées. Avec l'action Accéder à l'application, les paquets correspondent à la règle de catégorie d'environnement, mais continuent aux règles de catégorie d'application. Résultat, ces paquets sont abandonnés.

  16. Cliquez sur le bouton bascule État pour activer ou désactiver la règle.
  17. Cliquez sur l'icône d'engrenage pour configurer les options de règle suivantes :
    Option Description
    Journalisation La journalisation est désactivée par défaut. Les journaux sont stockés dans le fichier /var/log/dfwpktlogs.log sur des hôtes ESXi et KVM.
    Direction Fait référence à la direction du trafic selon le point de vue de l'objet de destination. IN signifie que seul le trafic vers l'objet est vérifié, OUT signifie que seul le trafic provenant de l'objet est vérifié et In-Out signifie que le trafic dans les deux sens est vérifié.
    Protocole IP Appliquez la règle sur le protocole IPv4, IPv6 ou IPv4-IPv6 à la fois.
    Étiquette de journal

    L'étiquette de journal est transportée dans le journal du pare-feu lorsque la journalisation est activée.

  18. Cliquez sur Publier. Il est possible d'ajouter plusieurs règles à la fois et de les publier ensemble.
  19. État de réalisation des chemins de données de la stratégie avec les détails des nœuds de transport affichés sur le côté droit de la table des stratégies.

Ajouter une stratégie IDS/IPS distribuée

Les règles d'IDS/IPS sont créées de la même manière que les règles de pare-feu distribué (DFW). Commencez par créer une stratégie IDS, puis des règles pour cette stratégie.

Procédure

  1. Accédez à Sécurité > IDS/IPS > Règles de pare-feu distribuées.
  2. Cliquez sur Ajouter une stratégie pour créer une stratégie et entrez un nom pour celle-ci.
  3. Cliquez sur l'icône d'engrenage pour configurer les paramètres de stratégie requis.
    Option Description
    Avec état Un pare-feu avec état surveille l'état des connexions actives et utilise ces informations pour déterminer les paquets à autoriser via le pare-feu.
    Verrouillé La stratégie peut être verrouillée pour empêcher plusieurs utilisateurs de modifier les mêmes sections. Vous devez inclure un commentaire lors du verrouillage d'une section.

    Certains rôles, tels que l'administrateur d'entreprise, disposent d'informations d'identification d'accès complet et ne peuvent pas être verrouillés.

  4. Cliquez sur Ajouter une règle pour ajouter une règle et entrez un nom pour celle-ci.
  5. Configurez la source, la destination et les services pour déterminer le trafic qui nécessite l'inspection IDS. IDS prend en charge tous les types de groupes pour la source et la destination.
  6. Dans la colonne Profils de sécurité, sélectionnez le profil requis pour la règle.
  7. Dans la colonne Appliqué à, sélectionnez l'option appropriée pour limiter l'étendue des règles. Par défaut, la colonne Appliqué à est définie sur DFW et la règle est appliquée à toutes les charges de travail. Vous pouvez également appliquer les règles ou les stratégies aux groupes sélectionnés. Les groupes comprenant uniquement des adresses IP, des adresses MAC ou des groupes Active Directory ne peuvent pas être utilisés dans la zone de texte Appliqué à.
  8. Sélectionnez le mode requis parmi les options suivantes :
    • Détecter uniquement : détecte les intrusions contre les signatures et ne prend aucune mesure.
    • Détecter et empêcher : détecte les intrusions contre les signatures et prend des mesures pour les annuler ou les rejeter, comme spécifié dans la signature via le profil ou le paramétrage global.
  9. Cliquez sur l'icône d'engrenage pour configurer les options de règles suivantes.
    Option Description
    Journalisation La journalisation est désactivée par défaut. Les journaux sont stockés dans le fichier /var/log/dfwpktlogs.log sur des hôtes ESXi et KVM.
    Direction Fait référence à la direction du trafic selon le point de vue de l'objet de destination. IN signifie que seul le trafic vers l'objet est vérifié. OUT signifie que seul le trafic provenant de l'objet est vérifié. Entrant/Sortant signifie que le trafic est vérifié dans les deux sens.
    Protocole IP Appliquez la règle sur le protocole IPv4, IPv6 ou IPv4-IPv6 à la fois.
    Étiquette de journal L'étiquette de journal est transportée dans le journal du pare-feu lorsque la journalisation est activée.
  10. Cliquez sur Publier. Lorsque les règles sont correctement transférées vers l'hôte, l'état affiche Réussite.
  11. Cliquez sur l'icône de graphique pour afficher
    • l'état de la stratégie : les règles ont été correctement transférées vers les hôtes
    • l'état et les erreurs du nœud de transport
    Pour connaître la configuration avancée de la stratégie, reportez-vous au Guide d'administration de NSX-T Data Center.

Stratégie de pare-feu de passerelle

Vous pouvez configurer le pare-feu de passerelle en ajoutant des règles sous une section de stratégie de pare-feu qui appartient à une catégorie prédéfinie.

Procédure

  1. Accédez à Sécurité > Pare-feu de passerelle > Règles spécifiques à la passerelle.
  2. Sélectionnez Passerelle T0 et cliquez sur Ajouter une stratégie.
    Ajouter une stratégie GFW
  3. Ajoutez la règle.
  4. Ajoutez un service pour la règle.
  5. Fournissez des informations telles que la source, la destination, les services et la passerelle, puis sélectionnez une action.
  6. Publiez la stratégie et la règle.