Dans cet exemple, votre objectif est de créer une stratégie de sécurité avec des règles de pare-feu de protection contre les programmes malveillants qui détectent et empêchent des fichiers exécutables portables malveillants sur des machines virtuelles de charge de travail Windows qui exécutent des serveurs de base de données et des serveurs Web dans votre organisation.

Vous pouvez utiliser le service Protection contre les programmes malveillants distribués NSX dans NSX pour atteindre cet objectif. Pour cet exemple, vous allez regrouper les machines virtuelles de charge de travail des serveurs de base de données et des serveurs Web à l'aide d'un critère d'appartenance dynamique basé sur des balises.

Hypothèses :

  • Les balises requises pour le regroupement des machines virtuelles de charge de travail sont déjà ajoutées dans l'inventaire NSX, comme suit :
    • Nom de balise : Base de données, Étendue : Serveurs
    • Nom de balise : WEB, Étendue : Serveurs
  • La balise de base de données est attribuée à trois charges de travail de base de données (machines virtuelles Windows) : VM1, VM2 et VM3.
  • La balise WEB est attribuée à trois charges de travail d'application (machines virtuelles Windows) : VM4, VM5 et VM6
  • L'option Analyse de fichier cloud est sélectionnée dans le profil de protection contre les programmes malveillants.

Conditions préalables

La machine virtuelle du service Prévention des logiciels malveillants de NSX est déployée sur les clusters d'hôtes vSphere sur lesquels les machines virtuelles de charge de travail sont en cours d'exécution. Pour des instructions détaillées, reportez-vous à la section Déployer le service de protection contre les programmes malveillants distribués NSX.

Procédure

  1. À partir de votre navigateur, connectez-vous à une instance de NSX Manager sur https://nsx-manager-ip-address.
  2. Organisez les machines virtuelles de charge de travail de base de données et les machines virtuelles de charge de travail d'application en deux groupes.
    1. Accédez à Inventaire > Groupes.
    2. Cliquez sur Ajouter un groupe.
    3. Créez deux groupes avec un critère d'appartenance dynamique basé sur des balises et avec Machine virtuelle en tant que membre, comme indiqué dans les captures d'écran suivantes.

      - Critère dynamique pour le groupe de serveurs de base de données basé sur une balise attribuée à la machine virtuelle.

      - Critère dynamique pour le groupe de serveurs Web basé sur une balise attribuée à la machine virtuelle.
    4. Sur la page Groupes, pour chaque groupe, cliquez sur Afficher les membres et vérifiez que les membres effectifs sont affichés.
      Nom de groupe Membres effectifs
      Serveurs de base de données VM1, VM2, VM3
      Serveurs Web VM4, VM5, VM6
  3. Accédez à Sécurité > IDS/IPS et protection contre les programmes malveillants > Règles distribuées.
  4. Cliquez sur Ajouter une stratégie pour créer une section et entrez un nom pour la stratégie.
    Par exemple, entrez Malware-Prevention-Rules.
  5. Cliquez sur Ajouter une règle et configurez les paramètres de la règle.
    1. Entrez un nom pour la règle.
      Par exemple, entrez Protect-DB-Web-Servers.
    2. Dans les colonnes Sources, Destinations et Services, conservez Quelconque.
    3. Dans la colonne Profils de sécurité, sélectionnez le profil de protection contre les programmes malveillants à utiliser pour cette règle.
    4. Dans la colonne Appliqué à, sélectionnez les groupes DB-Servers et Web-Servers que vous avez créés précédemment.
    5. Dans la colonne Mode, sélectionnez Détecter et empêcher.
  6. Publier la règle.

Résultats

La règle est envoyée à l'hôte.

Lorsque des fichiers exécutables portables Windows (PE) sont détectés sur les machines virtuelles de charge de travail, des événements de fichiers sont générés et affichés dans le tableau de bord Protection contre les programmes malveillants. Si le fichier est inoffensif, il est téléchargé sur la machine virtuelle de charge de travail. Si le fichier est un logiciel malveillant connu (le fichier correspond aux signatures de fichiers de programmes malveillants connus dans NSX) et que le mode Détection et prévention est spécifié dans la règle, le fichier malveillant est bloqué sur la machine virtuelle de charge de travail.

Si le fichier est un logiciel malveillant inconnu (menace de jour zéro) et détecté pour la première fois dans le centre de données, il est téléchargé sur la machine virtuelle de charge de travail. Une fois que NSX a déterminé que le verdict est malveillant à l'aide de l'analyse de fichiers locale ou de l'Analyse de fichier cloud, le fichier est distribué aux autres hôtes ESXi et dispositifs NSX Edge du centre de données, qui sont activés pour Prévention des logiciels malveillants de NSX. Lorsque le fichier avec le même hachage est détecté de nouveau sur l'une quelconque des machines virtuelles de charge de travail protégées par Prévention des logiciels malveillants de NSX, la stratégie de sécurité est appliquée et le fichier malveillant est bloqué sur les machines virtuelles de charge de travail.