In quest'esempio, l'obiettivo è creare un criterio di protezione con regole del firewall Prevenzione Malware Distribuito che rileva e impedisce file eseguibili portabili dannosi su Windows macchine virtuali del carico di lavoro che eseguono server di database e server Web nell'organizzazione.

È possibile utilizzare il Prevenzione malware distribuita NSX servizio in NSX-T Data Center per soddisfare quest'obiettivo. Per questo esempio si raggruppano le macchine virtuali dei carichi di lavoro dei server di database e dei server Web utilizzando un criterio di appartenenza dinamica basato sui tag.

Ipotesi:

  • I tag necessari per il raggruppamento delle macchine virtuali del carico di lavoro vengono aggiunti già nell'inventario di NSX-T, come indicato di seguito:
    • Nome tag: DB, Ambito: Server
    • Nome tag: WEB, Ambito: Server
  • Il tag DB viene assegnato a tre carichi di lavoro del database (Macchine virtuali Windows ): Macchina virtuale1, Macchina virtuale2 e Macchina virtuale 3.
  • Il tag WEB viene assegnato a tre carichi di lavoro dell'applicazione (Macchine virtuali Windows ): Macchina virtuale4, Macchina virtuale5 e Macchina virtuale 6.
  • Analisi dei file cloud l'opzione è selezionata nel profilo di Prevenzione malware.

Prerequisiti

Prevenzione malware NSX La macchina virtuale di servizio viene distribuita vSphere su cluster host in cui sono in esecuzione le macchine virtuali del carico di lavoro. Per istruzioni dettagliate, vedere Distribuzione di un Prevenzione malware distribuita NSX servizio.

Procedura

  1. Dal browser accedere a un NSX Manager all'indirizzo https://nsx-manager-ip-address.
  2. Organizzare le macchine virtuali dei carichi di lavoro del database e le macchine virtuali del carico di lavoro dell'applicazione in due Gruppi.
    1. Passare a Inventario > Gruppi.
    2. Fare clic su Aggiungi gruppo.
    3. Creare due gruppi con un criterio di appartenenza dinamica basato su tag e con macchina virtuale come membri, come illustrato nelle schermate seguenti.

      : criterio dinamico per il gruppo di server DB in base a un tag assegnato alla macchina virtuale.

      : criterio dinamico per il gruppo di server Web in base a un tag assegnato alla macchina virtuale.
    4. Nella pagina Gruppi , per ogni gruppo fare clic su Visualizza membrie verificare che i membri effettivi siano visualizzati.
      Nome gruppo Membri effettivi
      Server DB Macchina virtuale1, Macchina virtuale2, Macchina virtuale3
      Server Web Macchina virtuale4, Macchina virtuale5, Macchina virtuale6
  3. Passare a Sicurezza > IDS/IPS e prevenzione malware > Regole distribuite.
  4. Fare clic su Aggiungi criterio per creare una sezione e immettere un nome per il criterio.
    Per esempio, inserire Regole per la prevenzione malware.
  5. Fare clic su Aggiungi regola e configurare le impostazioni della regola.
    1. Immettere un nome per la regola.
      Per esempio immettere Proteggi-Server-Web-DB.
    2. Nelle colonne Origini, Destinazionie Servizi, mantenere Qualsiasi.
    3. Nella colonna Profili di sicurezza , selezionare il profilo Prevenzione malware da utilizzare per questa regola.
    4. Nella colonna Applicato a , selezionare i gruppi Server DB e Web-Server creati in precedenza.
    5. Nella colonna Modalità , selezionare Rileva e Impedisci.
  6. Pubblicare la regola.

risultati

Viene eseguito il push della regola nell'host.

Quando i file Windows Portable Executable (PE) sono rilevati nelle macchine virtuali del carico di lavoro, gli eventi dei file vengono generati e visualizzati nel dashboard Prevenzione malware. Se il file è benigno, viene scaricato nella macchina virtuale del carico di lavoro. Se il file è un malware noto (il file corrisponde alle firme note dei file malware in NSX-T) e la modalità Rileva e previeni è specificata nella regola, il file dannoso viene bloccato nella macchina virtuale del carico di lavoro.

Se il file è un malware sconosciuto (minaccia da giorno zero) e viene rilevato per la prima volta nel Data Center, viene scaricato nella macchina virtuale del carico di lavoro. Dopo che NSX-T ha determinato il file come dannoso utilizzando l'analisi locale del file o l'analisi dei file cloud, l'identificazione viene distribuita agli altri host ESXi e NSX Edge nel Data Center, che vengono attivati per Prevenzione malware NSX. Quando il file con lo stesso hash viene rilevato di nuovo in una delle macchine virtuali del carico di lavoro protette da Prevenzione malware NSX, viene applicato il criterio di protezione e il file dannoso viene bloccato nelle macchine virtuali del carico di lavoro.