Préparation du centre de données pour NSX IDS/IPS et pour Protection contre les programmes malveillants NSX

Vous pouvez configurer les fonctionnalités NSX IDS/IPS et Protection contre les programmes malveillants NSX dans l'environnement NSX uniquement lorsque votre centre de données utilise une licence appropriée.

Pour plus d'informations sur les licences requises pour exécuter la solution NSX Advanced Threat Prevention, reportez-vous à la section Licences de sécurité dans Types de licences.

La préparation du centre de données pour une instance de détection/prévention des intrusions pour NSX et la fonctionnalité Protection contre les programmes malveillants NSX implique plusieurs étapes. Pour effectuer ces étapes, vous pouvez utiliser l'assistant Configuration de la protection contre les programmes malveillants/IDS/IPS.

L'assistant de configuration est semblable à un processus d'intégration qui vous guide à travers une séquence d'étapes de préparation du centre de données pour ces deux fonctionnalités de sécurité. Pour exécuter cet assistant, accédez à la section Sécurité > IDS/IPS et protection contre les programmes malveillants.

Si NSX détecte que les licences appropriées ne sont pas ajoutées, la page affiche le texte suivant :

La licence actuelle ne prend pas en charge les fonctionnalités IDS/IPS et Protection contre les programmes malveillants.

Si NSX détecte que des licences appropriées sont ajoutées, la page affiche les boutons Démarrer la configuration et Ignorer la configuration.

Pour commencer l'assistant de configuration, cliquez sur Démarrer la configuration. Suivez les instructions à l'écran et cette documentation pour effectuer les étapes de l'assistant.

Si vous souhaitez enregistrer votre progression à tout moment et quitter l'assistant, cliquez sur Retour à la page principale. Par la suite, vous pouvez poursuivre la configuration là où vous vous étiez arrêté.
Pour réinitialiser l'assistant de configuration et redémarrer à partir du début, cliquez sur Annuler. L'annulation de la configuration supprime les sélections que vous avez effectuées dans l'assistant, mais pas les déploiements que vous avez effectués dans l'assistant. Par exemple, si vous avez effectué le déploiement de NSX Application Platform et de la machine virtuelle de service Protection contre les programmes malveillants NSX sur des clusters d'hôtes avant de réinitialiser l'assistant, ces déploiements sont conservés.
Pour ne pas utiliser l'assistant de configuration et plutôt configurer les deux fonctionnalités de sécurité ultérieurement, cliquez sur Ignorer la configuration. NSX Manager n'affiche plus cet assistant. Par la suite, vous pouvez accéder à Sécurité > IDS/IPS et protection contre les programmes malveillants > Paramètres et configurer le centre de données pour les deux fonctionnalités. Pour plus d'informations sur l'utilisation de la page Paramètres d'IDS/IPS et de protection contre les programmes malveillants, reportez-vous à la section Configuration de NSX IDS/IPS et des paramètres Protection contre les programmes malveillants NSX.

Par défaut, toutes les cases des cartes des fonctionnalités IDS/IPS et Protection contre les programmes malveillants sont cochées à des fins de configuration. Vous pouvez modifier les sélections, si nécessaire. Lorsque vous êtes prêt à continuer, cliquez sur Suivant. Vos sélections déterminent les onglets affichés dans l'assistant, comme expliqué dans le tableau suivant.

Note : NSX Application Platform est une condition préalable pour Protection contre les programmes malveillants NSX mais pas pour NSX IDS/IPS.

Fonctionnalités sélectionnées	Onglets affichés
IDS/IPS sur le trafic est-ouest ou IDS/IPS sur le trafic nord-sud	Configurer le proxy NSX Gérer les signatures Activer les nœuds
Protection contre les programmes malveillants uniquement sur le trafic est-ouest	Configurer le proxy NSX Déployer NSX Application Platform Déployer la VM de service
Protection contre les programmes malveillants uniquement sur le trafic nord-sud	Configurer le proxy NSX Déployer NSX Application Platform Activer les nœuds
Protection contre les programmes malveillants sur le trafic est-ouest et le trafic nord-sud	Configurer le proxy NSX Déployer NSX Application Platform Déployer la VM de service Activer les nœuds
Toutes les fonctionnalités sélectionnées	Les cinq onglets de l'assistant s'affichent tous

Configurer le serveur proxy NSX pour la connectivité Internet

NSX IDS/IPS n'a pas nécessairement besoin d'une connexion Internet pour fonctionner. NSX IDS/IPS utilise des signatures pour détecter et empêcher les intrusions. Si votre environnement NSX dispose d'une connectivité Internet, NSX Manager peut télécharger automatiquement les dernières signatures de détection des intrusions directement depuis Internet ou via un serveur proxy NSX. Si la connectivité Internet n'est pas configurée dans votre environnement NSX, vous pouvez utiliser des API pour télécharger manuellement le fichier (.zip) du bundle de signatures de détection des intrusions NSX, puis charger le bundle de signatures vers NSX Manager. Pour en savoir plus sur le téléchargement manuel des signatures, reportez-vous à la section Téléchargement et chargement des signatures de détection des intrusions NSX hors ligne.

Protection contre les programmes malveillants NSX utilise également des signatures pour détecter et empêcher les programmes malveillants. Cependant, NSX Manager peut télécharger les dernières signatures uniquement lorsque votre environnement NSX dispose d'une connectivité Internet. Vous ne pouvez pas charger manuellement les dernières signatures dans NSX Manager. Protection contre les programmes malveillants NSX envoie également des fichiers au service cloud NSX Advanced Threat Prevention pour une analyse détaillée des fichiers cloud. Les fichiers sont envoyés vers le cloud par le NSX Application Platform et non par NSX Manager. NSX Application Platform ne prend pas en charge la configuration du serveur proxy et nécessite un accès direct à Internet.

Si NSX Manager accède à Internet via un serveur proxy NSX, cliquez sur le lien Accéder au serveur proxy NSX et spécifiez les paramètres suivants :

Schéma (HTTP ou HTTPS)
Adresse IP de l'hôte
Numéro de port
Nom d'utilisateur et mot de passe

Déployer NSX Application Platform

Protection contre les programmes malveillants NSX nécessite le déploiement de certains microservices dans NSX Application Platform. Vous devez d'abord déployer NSX Application Platform, puis activer la fonctionnalité Protection contre les programmes malveillants NSX. Une fois cette fonctionnalité activée, les microservices requis pour Protection contre les programmes malveillants NSX sont déployés dans la plate-forme.

Pour résumer, vous devez effectuer les tâches suivantes dans l'ordre indiqué :

Note : Le contrôle de version de la fonctionnalité Protection contre les programmes malveillants NSX dans NSX Application Platform correspond au numéro de version de NSX Application Platform et non au numéro de version du produit NSX.

Déployer une machine virtuelle de service

Pour le trafic est-ouest dans le centre de données, vous devez déployer le service Protection contre les programmes malveillants distribués NSX sur les clusters d'hôtes vSphere préparés pour NSX. Lorsque ce service est déployé, une machine virtuelle de service (SVM) est installée sur chaque hôte du cluster vSphere tandis que Protection contre les programmes malveillants NSX est activé sur le cluster d'hôtes.

Un graphique en anneau sur cette page affiche le nombre de clusters d'hôtes dans le centre de données dans lequel le service Protection contre les programmes malveillants distribués NSX est déployé et non déployé.

Pour obtenir des instructions détaillées sur le déploiement du service Protection contre les programmes malveillants distribués NSX sur un cluster d'hôtes, reportez-vous à la section Déployer le service Protection contre les programmes malveillants distribués NSX.

Une fois le déploiement du service effectué sur les clusters d'hôtes, revenez à cette page de l'assistant, puis cliquez sur Suivant pour continuer.

Note : La haute disponibilité n'est pas prise en charge pour la machine virtuelle de service du service Protection contre les programmes malveillants distribués NSX.

Gérer les signatures

Lorsque la connectivité Internet est configurée dans votre centre de données, NSX Manager vérifie la disponibilité de nouvelles signatures de détection des intrusions sur le cloud toutes les 20 minutes, par défaut. Lorsqu'une nouvelle mise à jour est disponible, une bannière s'affiche sur la page avec un lien Mettre à jour maintenant.

Si le centre de données ne dispose pas d'une connectivité Internet, vous pouvez télécharger manuellement le fichier de bundle de signatures IDS (.zip), puis charger le fichier dans NSX Manager. Pour des instructions détaillées, reportez-vous à la section Téléchargement et chargement des signatures de détection des intrusions NSX hors ligne.

Gestion des signatures

Les tâches de gestion des signatures sont facultatives. Si nécessaire, vous pouvez les effectuer ultérieurement en accédant à Sécurité > IDS/IPS et protection contre les programmes malveillants > Paramètres > IDS/IPS.

Pour afficher la version des signatures ou pour ajouter une autre version des signatures en plus de la version par défaut, cliquez sur Afficher et modifier.
Actuellement, deux versions de signatures sont conservées. Chaque fois qu'une modification est apportée au numéro d'identification de validation de la version, une nouvelle version est téléchargée.
Pour télécharger automatiquement les signatures de détection des intrusions depuis le cloud et les appliquer aux hôtes et aux dispositifs Edge du centre de données, activez l'option Mise à jour automatique.
Lorsque cette option est désactivée, le téléchargement automatique des signatures s'arrête. Vous pouvez télécharger manuellement le fichier de bundle des signatures IDS (.zip), puis charger le fichier vers NSX Manager.
Pour afficher l'état du téléchargement des signatures sur les nœuds de transport, cliquez sur le lien dans le champ État.

Pour exclure globalement des signatures spécifiques ou pour modifier leur action en alerte, abandon ou refus, cliquez sur Afficher et gérer l'ensemble de signatures.

Sélectionnez une Action pour la signature, puis cliquez sur Enregistrer. Les modifications apportées aux paramètres globaux de gestion des signatures s'appliquent à tous les profils IDS/IPS. Cependant, si vous mettez à jour les paramètres de signature dans un profil IDS/IPS, les paramètres du profil sont prioritaires.

Le tableau suivant décrit la signification de chaque action de signature.

Action	Description
Alerte	Une alerte est générée et aucune action préventive automatique n'est effectuée.
Annuler	Une alerte est générée et les paquets incriminés sont abandonnés.
Rejeter	Une alerte est générée et les paquets incriminés sont abandonnés. Pour les flux TCP, un paquet de réinitialisation TCP est généré par IDS et envoyé à la source et à la destination de la connexion. Pour les autres protocoles, un paquet d'erreur ICMP est envoyé à la source et à la destination de la connexion.

Activer les nœuds pour IDS/IPS et la protection conte les programmes malveillants

Dans la section Activer les hôtes et les clusters pour le trafic est-ouest, procédez comme suit :

Activez NSX IDS/IPS sur les hôtes ESXi autonomes.
Sélectionnez les clusters d'hôtes ESXi sur lesquels vous souhaitez activer NSX IDS/IPS sur le trafic est-ouest.
Si le service Protection contre les programmes malveillants distribués NSX n'est pas déjà déployé sur les clusters d'hôtes ESXi, cliquez sur le lien Défini dans le déploiement de la VM de service dans la colonne Protection contre les programmes malveillants. Pour obtenir des instructions sur le déploiement de service Protection contre les programmes malveillants distribués NSX sur un cluster d'hôtes, reportez-vous à la section Déployer le service Protection contre les programmes malveillants distribués NSX.

Note :

N'activez pas NSX Distributed IDS/IPS dans un environnement qui utilise l'équilibreur de charge distribué. NSX ne prend pas en charge IDS/IPS avec un équilibreur de charge distribué.
Pour que NSX Distributed IDS/IPS fonctionne, le pare-feu distribué (DFW) doit être activé. Si le trafic est bloqué par une règle DFW, IDS/IPS ne peut pas voir le trafic.

Dans la section Activez les passerelles pour le trafic nord-sud, effectuez les configurations suivantes :

Sélectionnez les passerelles de niveau 1 sur lesquelles vous souhaitez activer NSX IDS/IPS sur le trafic nord-sud.
Sélectionnez les passerelles de niveau 1 sur lesquelles vous souhaitez activer Protection contre les programmes malveillants NSX sur le trafic nord-sud.

Important : Sur le trafic nord-sud, NSX prend en charge les éléments suivants :

La fonctionnalité Protection contre les programmes malveillants NSX, uniquement sur les passerelles de niveau 1.
La fonctionnalité NSX IDS/IPS sur le pare-feu de passerelle uniquement sur les passerelles de niveau 1.