L'obiettivo di Servizio di rilevamento e prevenzione delle intrusioni NSX (IDS/IPS) è monitorare il traffico di rete negli host e negli Edge per cercare attività dannose confrontando il traffico con un set di firme noto. L'obiettivo di Prevenzione malware NSX è estrarre i file dal traffico di rete negli host e negli Edge e analizzare questi file per cercare comportamenti dannosi.

Panoramica del servizio di rilevamento e prevenzione delle intrusioni NSX

NSX IDS/IPS monitora il traffico di rete in un host per cercare attività sospette confrontando il traffico con le firme. Una firma specifica un modello per un tipo di intrusione di rete che deve essere rilevata e segnalata. Ogni volta che viene trovato un modello di traffico corrispondente a una firma, viene eseguita un'azione predefinita, ad esempio la generazione di un avviso o il blocco del traffico, che non raggiunge la destinazione.

L'implementazione di IDS viene eseguita tramite i metodi seguenti:
  • Firme basate sulla conoscenza: le firme basate sulla conoscenza integrano una conoscenza o un modello specifico che corrisponde a un tipo noto di attacco. In questo approccio, IDS tenta di rilevare le intrusioni basate su sequenze di istruzioni dannose già note specificate nelle firme. In questo modo, le firme basate sulla conoscenza sono limitate agli attacchi già noti e non possono coprire minacce specifiche o zero-day.
  • Rilevamento basato sul comportamento: il rilevamento basato sul comportamento tenta di identificare un comportamento anomalo individuando eventi di interesse diversi o inusuali rispetto a una base di confronto o al traffico normale.

    Questi eventi sono denominati informazioni e sono costituiti da eventi che analizzano attività insolite in una rete che non sono necessariamente dannose ma che possono fornire informazioni preziose quando si sta indagando su una violazione. Le firme vengono combinate con la logica di rilevamento personalizzata che può essere aggiornata senza dover ricompilare o modificare il motore IDS. Il rilevamento basato sul comportamento introduce un nuovo livello di gravità delle intrusioni IDS, ovvero "sospetto".

NSX supporta la funzionalità IDS/IPS nel firewall distribuito e nel firewall del gateway. NSX IDS/IPS sulla funzionalità Firewall del gateway solo sui gateway di livello 1.

Panoramica di Prevenzione malware NSX

Prevenzione malware NSX è in grado di rilevare e bloccare file dannosi noti e sconosciuti. I file dannosi sconosciuti vengono denominati anche minacce zero-day. Per rilevare i malware, Prevenzione malware NSX utilizza una combinazione delle tecniche seguenti:
  • Rilevamento basato su hash dei file dannosi noti
  • Analisi locale dei file sconosciuti
  • Analisi cloud dei file sconosciuti

In tutte le versioni di NSX 4.x, il limite massimo supportato per le dimensioni del file ai fini dell'analisi malware è 64 MB.

Prevenzione malware distribuita NSX
  • Nella versione NSX 4.0, il rilevamento e la prevenzione di malware nel firewall distribuito sono supportati solo per gli endpoint guest di Windows (macchine virtuali), che sono in esecuzione nei cluster di host vSphere preparati per NSX.

    Solo i file eseguibili di tipo PE di Windows sono supportati per l'analisi locale e l'analisi cloud. Altre categorie di file non sono supportate da Prevenzione malware distribuita NSX

  • A partire da NSX 4.0.1.1, il rilevamento e la prevenzione di malware nel firewall distribuito sono supportati per gli endpoint guest sia Windows che Linux (macchine virtuali), in esecuzione nei cluster di host vSphere preparati per NSX.

    Sono supportate l'analisi locale e cloud di tutte le categorie di file malware. Per visualizzare l'elenco delle categorie di file supportate, vedere Categorie di file supportate per Prevenzione malware NSX.

Prevenzione malware NSX sul firewall gateway

In NSX 4.0 o versioni successive, è supportato solo il rilevamento di malware nel firewall del gateway. Sono supportate l'analisi locale e cloud di tutte le categorie di file malware. Per visualizzare l'elenco delle categorie di file supportate, vedere l'argomento con collegamenti ipertestuali menzionato nella sezione Prevenzione malware distribuita NSX.

Figura 1. Mappa concettuale di Prevenzione malware NSX

Mappa concettuale di Prevenzione malware NSX.

Nel traffico nord-sud, la funzionalità Prevenzione malware NSX utilizza il motore IDS/IPS negli NSX Edge per estrarre o intercettare i file che stanno accedendo al data center. Nel traffico est-ovest, questa funzionalità utilizza le funzionalità della piattaforma NSX Guest Introspection (GI). Se il file ignora l'analisi di NSX Edge e raggiunge l'host, il file viene estratto dall'agente thin GI sulle macchine virtuali guest.

Per rilevare e impedire malware nelle macchine virtuali guest, è necessario installare l'agente thin NSX Guest Introspection nelle macchine virtuali guest e distribuire il servizio Prevenzione malware distribuita NSX nei cluster di host vSphere preparati per NSX. Quando questo servizio viene distribuito, viene installata una macchina virtuale del servizio (SVM) in ogni host del cluster di vSphere e Prevenzione malware NSX è abilitato nel cluster host.

I driver dell'agente thin di NSX Guest Introspection per Windows sono inclusi in VMware Tools. Per visualizzare le versioni di VMware Tools supportate per la versione di NSX, vedere la matrice di interoperabilità dei prodotti VMware. Per visualizzare l'elenco dei sistemi operativi guest Windows supportati per una versione specifica di VMware Tools, consultare le note di rilascio di tale versione nella documentazione di VMware Tools.

Nota: Le versioni del sistema operativo guest Windows 11 e Windows 2022 sono supportate con VMware Tools 12.0.6 o versioni successive.

L'agente thin Guest Introspection per Linux è disponibile come parte dei pacchetti specifici del sistema operativo (OSP). I pacchetti sono ospitati nel portale dei pacchetti di VMware. L'installazione di open-vm-tools o degli strumenti della macchina virtuale non è necessaria per Linux. Per visualizzare l'elenco delle versioni del sistema operativo guest Linux supportate, vedere la sezione Prerequisiti in Installazione dell'agente thin Guest Introspection per l'antivirus nelle macchine virtuali Linux.

Eventi file di Prevenzione malware NSX

Gli eventi file vengono generati quando i file sono estratti dal motore IDS su NSX Edge nel traffico nord-sud e dall'agente di NSX Guest Introspection negli endpoint delle macchine virtuali nel traffico orizzontale distribuito.

La funzionalità Prevenzione malware NSX ispeziona i file estratti per stabilire se sono innocuoi, dannosi o sospetti. Ogni ispezione univoca di un file viene contata come singolo evento file in NSX. In altre parole, un evento file fa riferimento a un'ispezione file univoca.

Per informazioni sul monitoraggio degli eventi file di Prevenzione malware NSX tramite l'interfaccia utente, vedere Monitoraggio degli eventi file.

Per informazioni sul monitoraggio degli eventi file tramite le API degli eventi file di Prevenzione malware NSX, vedere la documentazione nel portale Documentazione di VMware Developer.