In quest'esempio, l'obiettivo è creare un criterio di protezione con regole del firewall Prevenzione Malware Distribuito che rileva e impedisce file eseguibili portabili dannosi su Windows macchine virtuali del carico di lavoro che eseguono server di database e server Web nell'organizzazione.
È possibile utilizzare il Prevenzione malware distribuita NSX servizio in NSX per soddisfare quest'obiettivo. Per questo esempio si raggruppano le macchine virtuali dei carichi di lavoro dei server di database e dei server Web utilizzando un criterio di appartenenza dinamica basato sui tag.
Ipotesi:
- I tag necessari per il raggruppamento delle macchine virtuali del carico di lavoro vengono aggiunti già nell'inventario di NSX, come indicato di seguito:
- Nome tag: DB, Ambito: Server
- Nome tag: WEB, Ambito: Server
- Il tag DB viene assegnato a tre carichi di lavoro del database (Macchine virtuali Windows ): Macchina virtuale1, Macchina virtuale2 e Macchina virtuale 3.
- Il tag WEB viene assegnato a tre carichi di lavoro dell'applicazione (Macchine virtuali Windows ): Macchina virtuale4, Macchina virtuale5 e Macchina virtuale 6.
- Analisi dei file cloud l'opzione è selezionata nel profilo di Prevenzione malware.
Prerequisiti
Prevenzione malware NSX La macchina virtuale di servizio viene distribuita vSphere su cluster host in cui sono in esecuzione le macchine virtuali del carico di lavoro. Per istruzioni dettagliate, vedere Distribuzione di un Prevenzione malware distribuita NSX servizio.
Procedura
risultati
Viene eseguito il push della regola nell'host.
Quando i file Windows Portable Executable (PE) sono rilevati nelle macchine virtuali del carico di lavoro, gli eventi dei file vengono generati e visualizzati nel dashboard Prevenzione malware. Se il file è benigno, viene scaricato nella macchina virtuale del carico di lavoro. Se il file è un malware noto (il file corrisponde alle firme note dei file malware in NSX) e la modalità Rileva e previeni è specificata nella regola, il file dannoso viene bloccato nella macchina virtuale del carico di lavoro.
Se il file è un malware sconosciuto (minaccia da giorno zero) e viene rilevato per la prima volta nel Data Center, viene scaricato nella macchina virtuale del carico di lavoro. Dopo che NSX ha determinato il file come dannoso utilizzando l'analisi locale del file o l'analisi dei file cloud, l'identificazione viene distribuita agli altri host ESXi e NSX Edge nel Data Center, che vengono attivati per Prevenzione malware NSX. Quando il file con lo stesso hash viene rilevato di nuovo in una delle macchine virtuali del carico di lavoro protette da Prevenzione malware NSX, viene applicato il criterio di protezione e il file dannoso viene bloccato nelle macchine virtuali del carico di lavoro.