Con le funzionalità di IDFW (Identity Firewall), un amministratore di NSX può creare regole DFW (Distributed Firewall) Active Directory basate sull'utente.
È possibile utilizzare IDFW per sessioni di desktop virtuali (VDI), di desktop remoti (supporto RDSH) e macchine fisiche consentendo l'accesso simultaneo da parte di più utenti, l'accesso all'applicazione utente in base ai requisiti e la possibilità di mantenere ambienti utente indipendenti. I sistemi di gestione VDI controllano quali utenti possono accedere alle macchine virtuali VDI. NSX controlla l'accesso ai server di destinazione dalla macchina virtuale di origine in cui è abilitato IDFW. Con RDSH, gli amministratori creano gruppi di sicurezza con utenti diversi in Active Directory (AD) e consentono o negano a tali utenti l'accesso a un server delle applicazioni in base al loro ruolo. Ad esempio, Risorse umane e Ingegneria possono connettersi allo stesso server RDSH e accedere ad applicazioni diverse da quel server.
IDFW deve sapere a quale desktop un utente Active Directory (AD) accede per applicare le regole firewall. Ci sono due metodi che IDFW utilizza per il rilevamento degli accessi: Guest Introspection (GI) e/o lo scraping del registro eventi. Guest Introspection viene distribuito sui cluster ESXi in cui sono in esecuzione macchine virtuali IDFW. Quando gli eventi di rete vengono generati da un utente, un agente guest installato nella macchina virtuale inoltra le informazioni tramite il framework Guest Introspection a NSX Manager. La seconda opzione è la Active Directory programmatore del registro eventi. Lo scraping del registro eventi abilita IDFW per i dispositivi fisici. Configurare il gestore del registro eventi Active Directory in NSX Manager in modo che punti a un'istanza del controller di dominio Active Directory. NSX Manager estrarrà quindi gli eventi dal registro eventi di sicurezza AD.
Per le macchine virtuali è possibile utilizzare l'analisi degli eventi del relativo registro, tuttavia quando si utilizza sia il programma di analisi AD sia Guest Introspection, quest'ultimo avrà la precedenza sullo scraping del registro eventi. Guest Introspection è abilitata tramite VMware Tools e se si utilizza l'installazione completa di VMware Tools e IDFW, Guest Introspection avrà la precedenza sullo scraping del registro eventi.
IDFW può essere utilizzato anche su macchine virtuali con sistemi operativi supportati. Vedere Configurazioni supportate dal firewall di identità.
IDFW elabora l'identità dell'utente all'origine solo nelle regole del firewall. Solo il traffico proveniente dall'origine in cui viene elaborata l'identità utente sarà soggetto alle regole IDFW. I gruppi basati su identità non possono essere utilizzati come destinazione nelle regole del firewall distribuito e del firewall del gateway.
Le regole firewall basate sull'identità sono determinate dall'appartenenza a un gruppo Active Directory (AD). L'Unità organizzativa con un utente AD e l'Unità organizzativa con il gruppo AD in cui si trova l'utente devono essere entrambe aggiunte in Unità organizzative da sincronizzare affinché le regole IDFW funzionino. Per le configurazioni IDFW e i protocolli supportati, vedere Configurazioni supportate dal firewall di identità.
Le regole IDFW non sono supportate nei Global Manager in un ambiente di federazione. IDFW può comunque essere utilizzato in locale nei siti federati creando regole IDFW nei Local Manager.
Gruppi di criteri IDFW e logica di corrispondenza della regola DFW
- Gruppi omogenei con solo gruppi AD come membri del gruppo di criteri.
- Gruppi eterogenei in cui possono essere presenti altri membri oltre ai gruppi AD, ad esempio macchine virtuali e indirizzi IP.
È possibile trovare i membri effettivi di un gruppo eterogeneo di criteri di identità utilizzando la seguente logica:[Set di unione di tutti i membri non AD] AND. per esempio intersezione con [Set di macchine virtuali in cui accedono gli utenti AD appartenenti ai gruppi AD membri].
- Intento: quando si associano alcune macchine virtuali in modo statico insieme a gruppi AD, lo scopo è applicare il criterio ai membri delle macchine virtuali statiche quando un utente AD appartenente ai gruppi AD vi accede.
- Esempi di origine non applicabili: macchine virtuali in cui un utente AD appartenente a uno dei gruppi AD membri esegue l'accesso, ma che NON sono membri statici del gruppo di criteri. Macchine virtuali che sono membri statici del gruppo di criteri, ma l'utente che accede appartiene a gruppi AD NON membri del gruppo di criteri.
- Finalità: applicare un criterio di sicurezza SOLO alle macchine virtuali il cui nome corrisponde ai criteri quando un utente AD specifico accede a tali macchine.
- Esempi di origine non applicabili: macchine virtuali in cui l'utente AD accede ma che non corrispondono ai criteri del nome. Macchine virtuali in cui i criteri del nome corrispondono, ma l'utente che accede non appartiene a uno dei gruppi AD membri.