Con le funzionalità di IDFW (Identity Firewall), un amministratore di NSX può creare regole DFW (Distributed Firewall) Active Directory basate sull'utente.

È possibile utilizzare IDFW per sessioni di desktop virtuali (VDI), di desktop remoti (supporto RDSH) e macchine fisiche consentendo l'accesso simultaneo da parte di più utenti, l'accesso all'applicazione utente in base ai requisiti e la possibilità di mantenere ambienti utente indipendenti. I sistemi di gestione VDI controllano quali utenti possono accedere alle macchine virtuali VDI. NSX controlla l'accesso ai server di destinazione dalla macchina virtuale di origine in cui è abilitato IDFW. Con RDSH, gli amministratori creano gruppi di sicurezza con utenti diversi in Active Directory (AD) e consentono o negano a tali utenti l'accesso a un server delle applicazioni in base al loro ruolo. Ad esempio, Risorse umane e Ingegneria possono connettersi allo stesso server RDSH e accedere ad applicazioni diverse da quel server.

IDFW deve sapere a quale desktop un utente Active Directory (AD) accede per applicare le regole firewall. Ci sono due metodi che IDFW utilizza per il rilevamento degli accessi: Guest Introspection (GI) e/o lo scraping del registro eventi. Guest Introspection viene distribuito sui cluster ESXi in cui sono in esecuzione macchine virtuali IDFW. Quando gli eventi di rete vengono generati da un utente, un agente guest installato nella macchina virtuale inoltra le informazioni tramite il framework Guest Introspection a NSX Manager. La seconda opzione è la Active Directory programmatore del registro eventi. Lo scraping del registro eventi abilita IDFW per i dispositivi fisici. Configurare il gestore del registro eventi Active Directory in NSX Manager in modo che punti a un'istanza del controller di dominio Active Directory. NSX Manager estrarrà quindi gli eventi dal registro eventi di sicurezza AD.

Per le macchine virtuali è possibile utilizzare l'analisi degli eventi del relativo registro, tuttavia quando si utilizza sia il programma di analisi AD sia Guest Introspection, quest'ultimo avrà la precedenza sullo scraping del registro eventi. Guest Introspection è abilitata tramite VMware Tools e se si utilizza l'installazione completa di VMware Tools e IDFW, Guest Introspection avrà la precedenza sullo scraping del registro eventi.

IDFW può essere utilizzato anche su macchine virtuali con sistemi operativi supportati. Vedere Configurazioni supportate dal firewall di identità.

IDFW elabora l'identità dell'utente all'origine solo nelle regole del firewall. I gruppi basati su identità non possono essere utilizzati come destinazione nelle regole del firewall distribuito e del firewall del gateway.

Nota: IDFW si basa sulla sicurezza e sull'integrità del sistema operativo guest. Un amministratore locale malintenzionato può eseguire lo spoofing della propria identità in più modi per ignorare le regole firewall. Le informazioni sull'identità dell'utente vengono fornite dall'agente thin Guest Introspection NSX nelle macchine virtuali guest. Gli amministratori della sicurezza devono assicurarsi che l'agente thin sia installato e in esecuzione in ogni macchina virtuale guest. Gli utenti che hanno effettuato l'accesso non devono avere il privilegio di rimuovere o arrestare l'agente.

Per le configurazioni IDFW supportate, vedere Configurazioni supportate dal firewall di identità.

Si tenga presente che le regole IDFW non sono supportate nei Global Manager in un ambiente di federazione. IDFW può comunque essere utilizzato in locale nei siti federati creando regole IDFW nei Local Manager.