Preparazione del data center per NSX IDS/IPS e Prevenzione malware NSX

È possibile configurare NSX IDS/IPS e le funzionalità di Prevenzione malware NSX nell'ambiente di NSX-T Data Center solo quando il data center utilizza una licenza appropriata.

Per informazioni sulle licenze necessarie per eseguire la soluzione NSX Advanced Threat Prevention, vedere la sezione relativa alle licenze per la sicurezza di Tipi di licenza.

La preparazione di un data center per la prevenzione/rilevamento delle intrusioni NSX e Prevenzione malware NSX comporta più passaggi. Per eseguire questa procedura, è possibile utilizzare la procedura guidata Configurazione di IDS/IPS e prevenzione malware.

L'installazione guidata è come un processo di onboarding che guida l'utente attraverso una sequenza di passaggi per preparare il data center per queste due funzionalità di sicurezza. Per eseguire questa procedura guidata, passare a Sicurezza > IDS/IPS e prevenzione malware.

Se NSX-T rileva che non sono state aggiunte le licenze appropriate, la pagina visualizza il testo seguente:

IDS/IPS e prevenzione malware non è supportato con la licenza corrente.

Se NSX-T rileva che sono state aggiunte le licenze appropriate, nella pagina vengono visualizzati i pulsanti Avvia configurazione e Ignora configurazione.

Per iniziare la configurazione guidata, fare clic su Avvia configurazione. Seguire le istruzioni visualizzate sullo schermo e la presente documentazione per completare i passaggi descritti nella procedura guidata.

Se si desidera salvare l'avanzamento in qualsiasi fase e uscire dalla procedura guidata, fare clic su Torna alla pagina principale. In un secondo momento, è possibile continuare la configurazione da dove si era rimasti.
Se si desidera reimpostare l'installazione guidata e ripartire dall'inizio, fare clic su Annulla. Se si annulla la configurazione, vengono rimosse le selezioni effettuate nella procedura guidata, ma non vengono rimosse tutte le distribuzioni completate nella procedura guidata. Ad esempio, se la distribuzione di NSX Application Platform e la macchina virtuale del servizio Prevenzione malware NSX sui cluster host prima di reimpostare la procedura guidata, queste distribuzioni vengono conservate.
Se non si desidera utilizzare l'installazione guidata e si preferisce configurare autonomamente le due funzionalità di sicurezza in un secondo momento, fare clic su Ignora configurazione. NSX Manager non mostra di nuovo questa procedura guidata. In un secondo momento, è possibile passare a Sicurezza > IDS/IPS e prevenzione malware > Impostazioni e configurare il data center per entrambe le funzionalità. Per informazioni sull'utilizzo della pagina Impostazioni IDS/IPS prevenzione malware, vedere Configurazione di NSX IDS/IPS e impostazioni di Prevenzione malware NSX.

Per impostazione predefinita, tutte le caselle di controllo nelle schede delle funzionalità IDS/IPS e prevenzione malware sono selezionate per la configurazione. Se necessario, è possibile modificare le selezioni. Per procedere, fare clic su Avanti. Le selezioni effettuate determinano le schede mostrate nella procedura guidata, come illustrato nella tabella seguente.

Nota: NSX Application Platform è un prerequisito per Prevenzione malware NSX, ma non per NSX IDS/IPS.

Funzionalità selezionate	Schede visualizzate
IDS/IPS nel traffico est-ovest oppure IDS/IPS sul traffico nord-sud (in NSX-T Data Center 3.2.0, questa funzionalità era disponibile solo in modalità anteprima tecnica. A partire da NSX-T Data Center 3.2.1, la funzionalità è disponibile per gli ambienti di produzione e dispone del supporto completo.)	Configura proxy NSX Gestisci firme Abilita nodi
Prevenzione malware solo nel traffico est-ovest	Configura proxy NSX Distribuisci NSX Application Platform Distribuisci macchina virtuale servizio
Prevenzione malware solo nel traffico nord-sud	Configura proxy NSX Distribuisci NSX Application Platform Abilita nodi
Prevenzione malware sia nel traffico est-ovest sia nel traffico nord-sud	Configura proxy NSX Distribuisci NSX Application Platform Distribuisci macchina virtuale servizio Abilita nodi
Tutte le funzionalità selezionate	Vengono visualizzate tutte le cinque schede nella procedura guidata

Configurare il server proxy NSX per la connettività Internet

NSX IDS/IPS non richiede necessariamente una connessione Internet per funzionare. NSX IDS/IPS utilizza le firme per rilevare e impedire le intrusioni. Se l'ambiente NSX-T Data Center dispone della connettività Internet, NSX Manager può scaricare automaticamente le firme di rilevamento delle intrusioni più recenti direttamente da Internet o tramite un server proxy NSX. Se la connettività Internet non è configurata nell'ambiente NSX, è possibile utilizzare le API per scaricare manualmente il file del bundle delle firme del rilevamento delle intrusioni (.zip) di NSX e quindi caricare il bundle delle firme in NSX Manager. Per ulteriori informazioni sul caricamento manuale delle firme, vedere Download e caricamento offline delle firme del rilevamento delle intrusioni di NSX.

Prevenzione malware NSX utilizza inoltre le firme per rilevare e impedire i malware. Tuttavia, NSX Manager può scaricare le firme più recenti solo quando nell'ambiente NSX-T Data Center è disponibile la connettività Internet. Non è possibile caricare manualmente le firme più recenti in NSX Manager. Prevenzione malware NSX invia i file anche al servizio cloud NSX Advanced Threat Prevention per un'analisi dettagliata dei file cloud. I file vengono inviati al cloud da NSX Application Platform e non da NSX Manager. NSX Application Platform non supporta la configurazione del server proxy e richiede l'accesso diretto a Internet.

Se NSX Manager accede a Internet tramite un server proxy NSX, fare clic sul collegamento Passare a Server proxy NSX e specificare le impostazioni seguenti:

Schema (HTTP o HTTPS)
Indirizzo IP dell'host
Numero di porta
Nome utente e password

Distribuisci NSX Application Platform

Prevenzione malware NSX richiede la distribuzione di alcuni microservizi in NSX Application Platform. È innanzitutto necessario distribuire NSX Application Platform e quindi attivare la funzionalità Prevenzione malware NSX. Una volta attivata questa funzionalità, i microservizi necessari per Prevenzione malware NSX vengono distribuiti nella piattaforma.

Riassumendo, è necessario eseguire le seguenti attività nell'ordine specificato:

Nota: Il controllo delle versioni della funzionalità Prevenzione malware NSX in NSX Application Platform corrisponde al numero di versione di NSX Application Platform e non al numero di versione del prodotto NSX-T.

Distribuzione della macchina virtuale del servizio

Per il traffico est-ovest nel data center, è necessario distribuire il servizio Prevenzione malware distribuita NSX nei cluster host vSphere preparati per NSX. Quando questo servizio viene distribuito, viene installata una macchina virtuale del servizio (SVM) in ogni host del cluster di vSphere e Prevenzione malware NSX è abilitato nel cluster host.

Un grafico ad anello in questa pagina mostra il numero di cluster host nel data center in cui il servizio Prevenzione malware distribuita NSX è distribuito e non distribuito.

Per istruzioni dettagliate sulla distribuzione del servizio Prevenzione malware distribuita NSX in un cluster host, vedere Distribuzione di un Prevenzione malware distribuita NSX servizio.

Una volta completata la distribuzione del servizio nei cluster host, tornare a questa pagina della procedura guidata e fare clic su Avanti per continuare.

Nota: High Availability non è supportata per la macchina virtuale del servizio Prevenzione malware distribuita NSX.

Gestisci firme

Quando la connettività Internet è configurata nel data center, per impostazione predefinita NSX Manager verifica la disponibilità di nuove firme di rilevamento delle intrusioni nel cloud ogni 20 minuti. Quando è disponibile un nuovo aggiornamento, nella pagina viene visualizzato un banner con il collegamento Aggiorna ora.

Se il data center non dispone di connettività Internet, è possibile scaricare manualmente il file del bundle delle firme IDS (.zip), quindi caricarlo in NSX Manager. Per istruzioni dettagliate, vedere Download e caricamento offline delle firme del rilevamento delle intrusioni di NSX.

Gestione delle firme

Le attività di gestione delle firme sono facoltative. Se necessario, è possibile eseguirle in un secondo momento nella pagina Impostazioni IDS/IPS e prevenzione malware. (Sicurezza > IDS/IPS e prevenzione malware > Impostazioni > IDS/IPS).

Attivare l'opzione Aggiorna automaticamente le nuove versioni per applicare automaticamente le firme di rilevamento delle intrusioni agli host e agli Edge nel data center dopo che sono state scaricate dal cloud.
Quando questa opzione è disattivata, le firme si fermano alla versione indicata.
Fare clic su Visualizza e modifica versioni per aggiungere un'altra versione delle firme oltre a quella predefinita.
Al momento vengono mantenute due versioni delle firme. Ogni volta che viene apportata una modifica al numero di identificazione del commit della versione, viene scaricata una nuova versione.

Fare clic su Visualizza e gestisci il set di firme globale per modificare globalmente l'azione di firme specifiche per avvisare, rilasciare o rifiutare.

Selezionare un'Azione per la firma e fare clic su Salva. Le modifiche apportate nelle impostazioni di gestione delle firme globali sono applicabili a tutti i profili IDS/IPS. Tuttavia, se si aggiornano le impostazioni della firma in un profilo IDS/IPS, le impostazioni del profilo hanno la precedenza.

La tabella seguente illustra il significato di ciascuna azione di firma.

Azione	Descrizione
Avviso	Viene generato un avviso e non viene eseguita alcuna azione preventiva automatica.
Elimina	Viene generato un avviso e i pacchetti danneggiati vengono eliminati.
Rifiuta	Viene generato un avviso e i pacchetti danneggiati vengono eliminati. Per i flussi TCP, un pacchetto di reimpostazione TCP viene generato da IDS e inviato all'origine e alla destinazione della connessione. Per gli altri protocolli, un pacchetto di errore ICMP viene inviato all'origine e alla destinazione della connessione.

Abilitazione dei nodi per IDS/IPS e prevenzione malware

Nella sezione Attiva host e cluster per il traffico est-ovest, eseguire le seguenti configurazioni:

Attivare NSX IDS/IPS negli host ESXi autonomi.
Selezionare i cluster di host ESXi in cui si desidera attivare NSX IDS/IPS nel traffico est-ovest.
Se il servizio Prevenzione malware distribuita NSX non è già distribuito nei cluster di host ESXi, fare clic sul collegamento Definito nella distribuzione della macchina virtuale del servizio nella colonna Prevenzione malware. Per istruzioni sulla distribuzione del servizio Prevenzione malware distribuita NSX in un cluster di host, vedere Distribuzione di un Prevenzione malware distribuita NSX servizio.

Nota:

Non abilitare NSX Distributed IDS/IPS in un ambiente che utilizza il bilanciamento del carico distribuito. NSX non supporta IDS/IPS con bilanciamento del carico distribuito.
Per consentire il funzionamento di NSX Distributed IDS/IPS, è necessario abilitare il firewall distribuito (DFW). Se il traffico è bloccato da una regola DFW, IDS/IPS non può visualizzarlo.

Nella sezione Attiva gateway per il traffico nord-sud, eseguire le seguenti configurazioni:

Selezionare i gateway di livello 1 in cui si desidera attivare NSX IDS/IPS nel traffico nord-sud.
Selezionare i gateway di livello 1 in cui si desidera attivare Prevenzione malware NSX per il traffico nord-sud.

Importante: Nel traffico nord-sud, NSX-T Data Center 3.2 supporta:

Funzionalità Prevenzione malware NSX solo sui gateway di livello 1.
NSX IDS/IPS sulla funzionalità Firewall del gateway solo sui gateway di livello 1. In NSX-T Data Center 3.2.0, NSX IDS/IPS nel Firewall del gateway era disponibile solo in modalità anteprima tecnica. A partire da NSX-T Data Center 3.2.1, NSX IDS/IPS nel Firewall del gateway è disponibile per gli ambienti di produzione e dispone di supporto completo. Per ulteriori informazioni, vedere il Note di rilascio di NSX-T Data Center.