L'obiettivo di Servizio di rilevamento e prevenzione delle intrusioni NSX (IDS/IPS) è monitorare il traffico di rete negli host e negli Edge per cercare attività dannose confrontando il traffico con un set di firme noto. L'obiettivo di Prevenzione malware NSX è estrarre i file dal traffico di rete negli host e negli Edge e analizzare questi file per cercare comportamenti dannosi.

Panoramica del servizio di rilevamento e prevenzione delle intrusioni NSX

NSX IDS/IPS monitora il traffico di rete in un host per cercare attività sospette confrontando il traffico con le firme. Una firma specifica un modello per un tipo di intrusione di rete che deve essere rilevata e segnalata. Ogni volta che viene trovato un modello di traffico corrispondente a una firma, viene eseguita un'azione predefinita, ad esempio la generazione di un avviso o il blocco del traffico, che non raggiunge la destinazione.

L'implementazione di IDS viene eseguita tramite i metodi seguenti:
  • Firme basate sulla conoscenza: le firme basate sulla conoscenza integrano una conoscenza o un modello specifico che corrisponde a un tipo noto di attacco. In questo approccio, IDS tenta di rilevare le intrusioni basate su sequenze di istruzioni dannose già note specificate nelle firme. In questo modo, le firme basate sulla conoscenza sono limitate agli attacchi già noti e non possono coprire minacce specifiche o zero-day.
  • Rilevamento basato sul comportamento: il rilevamento basato sul comportamento tenta di identificare un comportamento anomalo individuando eventi di interesse diversi o inusuali rispetto a una base di confronto o al traffico normale.

    Questi eventi sono denominati informazioni e sono costituiti da eventi che analizzano attività insolite in una rete che non sono necessariamente dannose ma che possono fornire informazioni preziose quando si sta indagando su una violazione. Le firme vengono combinate con la logica di rilevamento personalizzata che può essere aggiornata senza dover ricompilare o modificare il motore IDS. Il rilevamento basato sul comportamento introduce un nuovo livello di gravità delle intrusioni IDS, ovvero "sospetto".

NSX supporta la funzionalità IDS/IPS nel firewall distribuito e nel firewall del gateway. NSX IDS/IPS sulla funzionalità Firewall del gateway solo sui gateway di livello 1.
Multi-tenancy
A partire da NSX 4.1.1, la multi-tenancy è supportata anche per NSX IDS/IPS. Con la multi-tenancy, è possibile configurare più tenant in una singola distribuzione NSX. La multi-tenancy consente di isolare la sicurezza e la configurazione della rete tra i tenant. Per la multi-tenancy di NSX IDS/IPS sono applicabili le condizioni seguenti:
  • Le impostazioni di gestione delle firme e NSX IDS/IPS sono disponibili solo per il progetto predefinito e non per i progetti personalizzati.
  • Tra i progetti non è presente alcun isolamento della configurazione.
  • I profili e le regole possono essere gestiti dal progetto predefinito e dal progetto personalizzato.
  • Una regola creata nel progetto predefinito non avrà alcun contesto di tenancy.
  • Un utente può creare regole in progetti personalizzati che avranno il contesto di tenancy.
  • Un evento attivato per un progetto personalizzato avrà il contesto della tenancy.
  • Per i progetti personalizzati, nel dashboard di monitoraggio di NSX IDS/IPS verranno visualizzati solo gli eventi attivati per tale progetto.
Per ulteriori informazioni sulla multi-tenancy, vedere Multi-tenancy di NSX.

Panoramica di Prevenzione malware NSX

Prevenzione malware NSX è in grado di rilevare e bloccare file dannosi noti e sconosciuti. I file dannosi sconosciuti vengono denominati anche minacce zero-day. Per rilevare i malware, Prevenzione malware NSX utilizza una combinazione delle tecniche seguenti:
  • Rilevamento basato su hash dei file dannosi noti
  • Analisi locale dei file sconosciuti
  • Analisi cloud dei file sconosciuti

Il limite massimo supportato per le dimensioni dei file per l'analisi malware è 64 MB.

Prevenzione malware distribuita NSX

Il rilevamento e la prevenzione di malware nel firewall distribuito sono supportati per gli endpoint guest sia Windows che Linux (macchine virtuali), in esecuzione nei cluster di host vSphere preparati per NSX.

Sono supportate l'analisi locale e cloud di tutte le categorie di file malware. Per visualizzare l'elenco delle categorie di file supportate, vedere Categorie di file supportate per Prevenzione malware NSX.

Prevenzione malware NSX sul firewall gateway

Nel Firewall gateway è supportato solo il rilevamento di malware. Sono supportate l'analisi locale e cloud di tutte le categorie di file malware. Per visualizzare l'elenco delle categorie di file supportate, vedere l'argomento con collegamenti ipertestuali menzionato nella sezione Prevenzione malware distribuita NSX.

Figura 1. Mappa concettuale di Prevenzione malware NSX

Mappa concettuale di Prevenzione malware NSX.

Nel traffico nord-sud, la funzionalità Prevenzione malware NSX utilizza il motore IDS/IPS negli NSX Edge per estrarre o intercettare i file che stanno accedendo al data center. Nel traffico est-ovest, questa funzionalità utilizza le funzionalità della piattaforma NSX Guest Introspection (GI). Se il file ignora l'analisi di NSX Edge e raggiunge l'host, il file viene estratto dall'agente thin GI sulle macchine virtuali guest.

Per rilevare e impedire malware nelle macchine virtuali guest, è necessario installare l'agente thin NSX Guest Introspection nelle macchine virtuali guest e distribuire il servizio Prevenzione malware distribuita NSX nei cluster di host vSphere preparati per NSX. Quando questo servizio viene distribuito, viene installata una macchina virtuale del servizio (SVM) in ogni host del cluster di vSphere e Prevenzione malware NSX è abilitato nel cluster host.

I driver dell'agente thin di NSX Guest Introspection per Windows sono inclusi in VMware Tools. Per visualizzare le versioni di VMware Tools supportate per la versione di NSX, vedere la matrice di interoperabilità dei prodotti VMware. Per visualizzare l'elenco dei sistemi operativi guest Windows supportati per una versione specifica di VMware Tools, consultare le note di rilascio di tale versione nella documentazione di VMware Tools.

Nota: Le versioni del sistema operativo guest Windows 11 e Windows 2022 sono supportate con VMware Tools 12.0.6 o versioni successive.

L'agente thin Guest Introspection per Linux è disponibile come parte dei pacchetti specifici del sistema operativo (OSP). I pacchetti sono ospitati nel portale dei pacchetti di VMware. L'installazione di open-vm-tools o degli strumenti della macchina virtuale non è necessaria per Linux. Per visualizzare l'elenco delle versioni del sistema operativo guest Linux supportate, vedere la sezione Prerequisiti in Installazione dell'agente thin Guest Introspection per l'antivirus nelle macchine virtuali Linux.

Eventi file di Prevenzione malware NSX

Gli eventi file vengono generati quando i file sono estratti dal motore IDS su NSX Edge nel traffico nord-sud e dall'agente di NSX Guest Introspection negli endpoint delle macchine virtuali nel traffico orizzontale distribuito.

La funzionalità Prevenzione malware NSX ispeziona i file estratti per stabilire se sono innocuoi, dannosi o sospetti. Ogni ispezione univoca di un file viene contata come singolo evento file in NSX. In altre parole, un evento file fa riferimento a un'ispezione file univoca.

Per informazioni sul monitoraggio degli eventi file di Prevenzione malware NSX tramite l'interfaccia utente, vedere Monitoraggio degli eventi file.

Per informazioni sul monitoraggio degli eventi file tramite le API degli eventi file di Prevenzione malware NSX, vedere la documentazione nel portale Documentazione di VMware Developer.