Prevenzione malware NSX in un firewall distribuito utilizza il framework NSX Guest Introspection (GI). Per rilevare e bloccare i malware negli endpoint (macchine virtuali) guest, è necessario distribuire il servizio Prevenzione malware distribuita NSX sui cluster di host ESXi preparati per NSX.
- 4 vCPU
- 6 GB di RAM
- 80 GB di spazio su disco
Prima di distribuire il servizio Prevenzione malware distribuita NSX nei cluster host, è necessario completare i prerequisiti illustrati nelle sezioni seguenti. Se alcuni prerequisiti sono già stati completati, ignorarli e procedere con i prerequisiti in sospeso.
Aggiunta di una licenza appropriata in NSX
Per utilizzare la funzionalità Prevenzione malware NSX, NSX deve utilizzare una licenza appropriata. Per informazioni sulle licenze che supportano Prevenzione malware NSX, vedere Requisiti di sistema di NSX IDS/IPS e Prevenzione malware NSX.
- In NSX Manager, passare a .
- Immettere una chiave di licenza.
Verificare che tutti gli host siano gestiti da VMware vCenter
La funzionalità Prevenzione malware NSX è supportata solo sui cluster host vSphere gestiti da uno o più vCenter Server.
- In NSX Manager, passare a .
- Assicurarsi di essere nella scheda Cluster.
Viene visualizzato un elenco dei cluster di host vSphere. Verificare che l'elenco includa i cluster di host desiderati per l'abilitazione della protezione dal malware.
Configurazione degli host come nodi di trasporto
Applicare un profilo del nodo di trasporto ai cluster host vSphere per configurare gli host vSphere come nodi di trasporto dell'host.
Generazione di una coppia di chiavi pubblica-privata per l'accesso SSH alla SVM
Per scaricare il file di registro dalla macchina virtuale per la risoluzione dei problemi, è necessario l'accesso SSH di sola lettura alla SVM di Prevenzione malware NSX.
L'accesso SSH all'utente amministratore della SVM è basato su chiave (coppia di chiavi pubblica-privata). Una chiave pubblica è necessaria quando si distribuisce il servizio in un cluster di host ESXi, mentre una chiave privata è necessaria quando si desidera avviare una sessione SSH nella SVM.
È possibile generare la coppia di chiavi pubblica-privata utilizzando uno strumento di generazione della chiave SSH. Tuttavia, la chiave pubblica deve seguire un formato specifico, come descritto nella sottosezione seguente. Esempi di strumenti di generazione della chiave SSH sono: ssh-keygen, generatore di chiavi PuTTY e così via. Le dimensioni delle chiavi supportate sono 1024 bit, 2048 bit e 4096 bit.
- Formato della chiave pubblica
-
La chiave pubblica deve rispettare il formato seguente:
Esempio:
ssh-rsa A1b2C3d4E5+F6G7XxYyZzaB67896C4g5xY9+H65aBUyIZzMnJ7329y94t5c%6acD+oUT83iHTR870973TGReXpO67U= rsa-key-20121022
Se si utilizza il generatore di chiavi PuTTY, assicurarsi che la chiave pubblica venga copiata direttamente dall'interfaccia utente. Se esiste una coppia di chiavi, caricare prima il file della chiave privata nell'interfaccia utente del generatore di chiavi PuTTY, quindi copiare la chiave pubblica visualizzata nella casella di testo Chiave. Evitare la copia del contenuto da un file di chiave pubblica. I contenuti copiati possono avere un formato diverso e potrebbero non funzionare per la SVM.
Se si genera la coppia di chiavi utilizzando l'utilità ssh-keygen nei sistemi Linux, il formato della chiave include sempre ssh-rsa nella chiave pubblica. Pertanto, nei sistemi Linux è possibile copiare i contenuti da un file di chiave pubblica.
- Pratica consigliata
-
La distribuzione del servizio Prevenzione malware distribuita NSX viene eseguita a livello di un cluster di host. Quindi, una coppia di chiavi è collegata a un cluster di host. È possibile creare una nuova coppia di chiavi pubblica-privata per una distribuzione del servizio in ciascun cluster oppure utilizzare una singola coppia di chiavi per le distribuzioni del servizio in tutti i cluster.
Se si intende utilizzare una coppia di chiavi pubblica-privata diversa per la distribuzione del servizio in ciascun cluster, assicurarsi che le coppie di chiavi siano denominate correttamente per l'identificazione semplice.
È buona prassi identificare ogni distribuzione del servizio con un "ID del cluster di elaborazione" e specificare l'ID del cluster nel nome della coppia di chiavi. Si supponga, ad esempio, che l'ID del cluster sia "1234-abcd". Per questo cluster, è possibile specificare il nome della distribuzione del servizio come "MPS-1234-abcd" e denominare la coppia di chiavi per accedere alla distribuzione del servizio come "id_rsa_1234_abcd.pem". Questa prassi semplifica la gestione e l'associazione delle chiavi per ogni distribuzione del servizio.
Importante: Archiviare la chiave privata in modo sicuro. La perdita della chiave privata può causare la perdita dell'accesso SSH alla SVM di Prevenzione malware NSX.
Distribuisci NSX Application Platform
NSX Application Platform è una moderna piattaforma di microservizi che ospita diverse funzionalità di NSX che raccolgono, inseriscono e correlano i dati del traffico di rete.
Per istruzioni dettagliate sulla distribuzione della piattaforma, consultare la pubblicazione Distribuzione e gestione di VMware NSX Application Platform all'indirizzo https://docs.vmware.com/it/VMware-NSX/index.html. Nel riquadro di navigazione a sinistra in questo link, espandere la versione 4.0 o successiva e quindi fare clic sul nome della pubblicazione.
Attivazione della funzionalità Prevenzione malware NSX
Per istruzioni dettagliate, vedere Attivazione di Prevenzione malware NSX.
Quando questa funzionalità viene attivata, i microservizi necessari per Prevenzione malware NSX avviano l'esecuzione in NSX Application Platform.
- In NSX Manager, passare a .
- Scorrere la pagina verso il basso finché non viene visualizzata la sezione Funzionalità.
- Verificare che la scheda della funzionalità Prevenzione malware NSX indichi lo Stato come Attivo.
Se lo stato è Inattivo, attendere che lo stato diventi Attivo, quindi procedere con il passaggio successivo.
Verifica della configurazione hardware della macchina virtuale nelle macchine virtuali guest
- Accedere al vSphere Client.
- Andare su Host e cluster e passare al cluster.
- Fare clic sulle macchine virtuali nel cluster, una alla volta.
- Nella pagina Riepilogo, espandere il riquadro Hardware della macchina virtuale ed esaminare le informazioni di compatibilità della macchina virtuale. La versione della macchina virtuale deve essere 9 o successiva.
Installazione del driver NSX File Introspection
Il driver NSX File Introspection è incluso in VMware Tools per Windows. Tuttavia, questo driver non fa parte dell'installazione predefinita di VMware Tools. Per installare questo driver, è necessario eseguire un'installazione personalizzata o completa e selezionare il driver NSX File Introspection.
Il driver File Introspection per Linux è disponibile come parte dei pacchetti specifici del sistema operativo (OSP). I pacchetti sono ospitati nel portale dei pacchetti di VMware. L'amministratore dell'azienda o della sicurezza (amministratore non NSX) può installare l'agente thin Guest Introspection nelle macchine virtuali Linux guest esterne a NSX. L'installazione di open-vm-tools o degli strumenti della macchina virtuale non è necessaria per Linux.