Prevenzione malware NSX in un firewall distribuito utilizza il framework NSX Guest Introspection (GI). Per rilevare e bloccare i malware negli endpoint (macchine virtuali) guest Windows, è necessario distribuire il servizio Prevenzione malware distribuita NSX sui cluster host ESXi preparati per NSX.

Quando si distribuisce il servizio in un cluster host, in ogni host del cluster viene distribuita un'istanza della macchina virtuale del servizio Prevenzione malware NSX (SVM). Attualmente, viene distribuita una SVM di dimensioni fisse che richiede le seguenti risorse su ogni host del cluster:
  • 4 vCPU
  • 6 GB di RAM
  • 80 GB di spazio su disco
Nota: Nel traffico distribuito est-ovest, il rilevamento e la prevenzione del malware sono supportati solo per i file eseguibili di tipo PE di Windows estratti dall'agente thin GI nelle macchine virtuali del carico di lavoro (endpoint). Altre categorie di file non sono attualmente supportate da Prevenzione malware distribuita NSX. Il limite massimo delle dimensioni dei file supportato è 64 MB.

Prima di distribuire il servizio Prevenzione malware distribuita NSX nei cluster host, è necessario completare i prerequisiti illustrati nelle sezioni seguenti. Se alcuni prerequisiti sono già stati completati, ignorarli e procedere con i prerequisiti in sospeso.

Aggiunta di una licenza appropriata in NSX-T Data Center

Per utilizzare la funzionalità Prevenzione malware NSX, NSX-T Data Center deve utilizzare una licenza appropriata. Per informazioni sulle licenze che supportano Prevenzione malware NSX, vedere Requisiti di sistema di NSX IDS/IPS e Prevenzione malware NSX.

Per aggiungere una licenza:
  1. In NSX Manager, passare a Sistema > Licenze > Aggiungi licenza.
  2. Immettere una chiave di licenza.

Verificare che tutti gli host siano gestiti da vCenter Server

La funzionalità Prevenzione malware NSX è supportata solo sui cluster host vSphere gestiti da uno o più vCenter Server.

Per verificare che gli host siano gestiti da vCenter Server, eseguire i passaggi descritti nella tabella seguente.

Versione NSX-T Data Center Procedura

3.2.2
  1. In NSX Manager, passare a Sistema > Infrastruttura > Host.
  2. Verificare di essere nella scheda Cluster > Nodi cluster.

    Viene visualizzato l'elenco dei cluster host vSphere. Verificare che l'elenco includa i cluster host desiderati per l'abilitazione della protezione dal malware.

3.2.1 o versioni precedenti
  1. In NSX Manager, passare a Sistema > Infrastruttura > Nodi > Nodi di trasporto host.
  2. Nel menu a discesa Gestiti da, selezionare il vCenter Server che gestisce il cluster host vSphere in cui si desidera distribuire la SVM di Prevenzione malware NSX.

    Viene visualizzato l'elenco dei cluster host vSphere. Verificare che l'elenco includa i cluster host desiderati per l'abilitazione della protezione dal malware.

Configurazione degli host come nodi di trasporto

Applicare un profilo del nodo di trasporto ai cluster host vSphere per configurare gli host vSphere come nodi di trasporto dell'host.

Per istruzioni dettagliate, vedere gli argomenti seguenti della Guida all'installazione di NSX-T Data Center:

Generazione di una coppia di chiavi pubblica-privata per l'accesso SSH alla SVM

Per scaricare il file di registro dalla macchina virtuale per la risoluzione dei problemi, è necessario l'accesso SSH di sola lettura alla SVM di Prevenzione malware NSX.

L'accesso SSH all'utente amministratore della SVM è basato su chiave (coppia di chiavi pubblica-privata). Una chiave pubblica è necessaria quando si distribuisce il servizio in un cluster di host ESXi, mentre una chiave privata è necessaria quando si desidera avviare una sessione SSH nella SVM.

È possibile generare la coppia di chiavi pubblica-privata utilizzando uno strumento di generazione della chiave SSH. Tuttavia, la chiave pubblica deve seguire un formato specifico, come descritto nella sottosezione seguente. Esempi di strumenti di generazione della chiave SSH sono: ssh-keygen, generatore di chiavi PuTTY e così via. Le dimensioni delle chiavi supportate sono 1024 bit, 2048 bit e 4096 bit.

Formato della chiave pubblica
La chiave pubblica deve rispettare il formato seguente:
Esempio: 
ssh-rsa A1b2C3d4E5+F6G7XxYyZzaB67896C4g5xY9+H65aBUyIZzMnJ7329y94t5c%6acD+oUT83iHTR870973TGReXpO67U= rsa-key-20121022

Se si utilizza il generatore di chiavi PuTTY, assicurarsi che la chiave pubblica venga copiata direttamente dall'interfaccia utente. Se esiste una coppia di chiavi, caricare prima il file della chiave privata nell'interfaccia utente del generatore di chiavi PuTTY, quindi copiare la chiave pubblica visualizzata nella casella di testo Chiave. Evitare la copia del contenuto da un file di chiave pubblica. I contenuti copiati possono avere un formato diverso e potrebbero non funzionare per la SVM.

Se si genera la coppia di chiavi utilizzando l'utilità ssh-keygen nei sistemi Linux, il formato della chiave include sempre ssh-rsa nella chiave pubblica. Pertanto, nei sistemi Linux è possibile copiare i contenuti da un file di chiave pubblica.

Pratica consigliata

La distribuzione del servizio Prevenzione malware distribuita NSX viene eseguita a livello di un cluster di host. Quindi, una coppia di chiavi è collegata a un cluster di host. È possibile creare una nuova coppia di chiavi pubblica-privata per una distribuzione del servizio in ciascun cluster oppure utilizzare una singola coppia di chiavi per le distribuzioni del servizio in tutti i cluster.

Se si intende utilizzare una coppia di chiavi pubblica-privata diversa per la distribuzione del servizio in ciascun cluster, assicurarsi che le coppie di chiavi siano denominate correttamente per l'identificazione semplice.

È buona prassi identificare ogni distribuzione del servizio con un "ID del cluster di elaborazione" e specificare l'ID del cluster nel nome della coppia di chiavi. Si supponga, ad esempio, che l'ID del cluster sia "1234-abcd". Per questo cluster, è possibile specificare il nome della distribuzione del servizio come "MPS-1234-abcd" e denominare la coppia di chiavi per accedere alla distribuzione del servizio come "id_rsa_1234_abcd.pem". Questa prassi semplifica la gestione e l'associazione delle chiavi per ogni distribuzione del servizio.

Importante: Archiviare la chiave privata in modo sicuro. La perdita della chiave privata può causare la perdita dell'accesso SSH alla SVM di Prevenzione malware NSX.

Distribuisci NSX Application Platform

NSX Application Platform è una moderna piattaforma di microservizi che ospita diverse funzionalità di NSX che raccolgono, inseriscono e correlano i dati del traffico di rete.

Per istruzioni dettagliate sulla distribuzione della piattaforma, consultare la pubblicazione Distribuzione e gestione di VMware NSX Application Platform all'indirizzo https://docs.vmware.com/it/VMware-NSX-T-Data-Center/index.html. Nel riquadro di navigazione a sinistra in questo link, espandere la versione 3.2 o successiva e quindi fare clic sul nome della pubblicazione.

Attivazione della funzionalità Prevenzione malware NSX

Per istruzioni dettagliate, vedere Attivazione di Prevenzione malware NSX.

Quando questa funzionalità viene attivata, i microservizi necessari per Prevenzione malware NSX avviano l'esecuzione in NSX Application Platform.

Prima di procedere con il passaggio successivo, verificare lo stato della funzionalità Prevenzione malware NSX in NSX Application Platform. Procedere come segue:
  1. In NSX Manager, passare a Sistema > NSX Application Platform.
  2. Scorrere la pagina verso il basso finché non viene visualizzata la sezione Funzionalità.
  3. Verificare che la scheda della funzionalità Prevenzione malware NSX indichi lo Stato come Attivo.

Se lo stato è Inattivo, attendere che lo stato diventi Attivo, quindi procedere con il passaggio successivo.

Verifica della configurazione hardware della macchina virtuale nelle macchine virtuali guest

Verificare che la versione 9 o successiva della configurazione hardware della macchina virtuale sia in esecuzione nelle macchine virtuali guest Windows. Procedere come segue:
  1. Accedere al vSphere Client.
  2. Andare su Host e cluster e passare al cluster.
  3. Fare clic sulle macchine virtuali nel cluster, una alla volta.
  4. Nella pagina Riepilogo, espandere il riquadro Hardware della macchina virtuale ed esaminare le informazioni di compatibilità della macchina virtuale. La versione della macchina virtuale deve essere 9 o successiva.
Ad esempio:
riquadro Hardware macchina virtuale con informazioni di compatibilità evidenziate.

Installazione del driver NSX File Introspection

Il driver NSX File Introspection è incluso in VMware Tools per Windows. Tuttavia, questo driver non fa parte dell'installazione predefinita di VMware Tools. Per installare questo driver, è necessario eseguire un'installazione personalizzata o completa e selezionare il driver NSX File Introspection.

Per istruzioni dettagliate, vedere Installazione dell'agente thin Guest Introspection in macchine virtuali Windows.

Download del file OVA della macchina virtuale del servizio Prevenzione malware NSX

  1. In un browser Web, aprire la pagina Scarica VMware NSX-T Data Center™ e accedere con il proprio ID VMware.
  2. Scarica il file OVA. (VMware-NSX-Malware-Prevention-appliance-3.2.0.0-build_namber.ova)
  3. Avviare il file OVA con il comando seguente:
    tar -xvf filename.ova

    Sostituire il nome del file con il nome esatto del file OVA scaricato nel passaggio precedente.

    Tenere presente che i seguenti quattro file sono disponibili nella directory root in cui viene estratto il file OVA.

    • File OVF (.ovf)
    • File manifesto (.mf)
    • File del certificato (.cert)
    • File del disco della macchina virtuale (.vmdk)
  4. Copiare tutti i file estratti in un server Web che soddisfi i seguenti prerequisiti:
    • Il server Web deve disporre dell'accesso non autenticato su HTTP.
    • Il server Web deve essere accessibile a NSX Manager, a tutti gli host ESXi in cui si intende distribuire la SVM di Prevenzione malware NSX e a vCenter Server registrato in NSX-T.
    • I tipi MIME per i file estratti devono essere aggiunti al server Web. Per informazioni sull'aggiunta di tipi MIME al server Web, vedere la documentazione del server Web.
      Estensione dei file Tipo MIME

      .ovf

      application/vmware

      .vmdk

      application/octet-stream

      .mf

      text/cache-manifest

      .cert

      application/x-x509-user-cert
Nota: È possibile distribuire il server Web nella stessa rete in cui sono distribuite le appliance NSX Manager, gli host ESXi e l'appliance vCenter Server. Il server Web non richiede l'accesso a Internet.

Registrazione del servizio Prevenzione malware distribuita NSX

Eseguire il seguente dell'API POST: 
POST https://{nsx-manager-ip}/napp/api/v1/malware-prevention/svm-spec
Nel corpo della richiesta di questa API POST, specificare i seguenti dettagli:
  • Percorso completo del file OVF sul server Web
  • Nome della specifica di distribuzione (la SVM è identificata da questo nome in vCenter Server)
  • Numero di versione SVM
Corpo della richiesta di esempio: 
{
    "ovf_url" : "http://{webserver-ip}/{path-to-ovf-file}/{filename}.ovf",
    "deployment_spec_name" : "NSX_Distributed_MPS",
    "svm_version" : "3.2"
}

Per ulteriori informazioni su questa API, inclusa una risposta di esempio, vedere la documentazione relativa all'API Prevenzione malware nel portale della documentazione per lo sviluppatore di VMware.

Verificare che il nome del servizio sia elencato nella pagina Catalogo. Procedere come segue:
  1. In NSX Manager, passare a Sistema > Distribuzioni servizi > Catalogo.
  2. Verificare che il servizio di prevenzione malware distribuito VMware NSX sia elencato nella pagina.