È possibile configurare NSX IDS/IPS e le funzionalità di Prevenzione malware NSX nell'ambiente di NSX solo quando il data center utilizza una licenza appropriata.
Per informazioni sulle licenze necessarie per eseguire la soluzione NSX Advanced Threat Prevention, vedere la sezione relativa alle licenze per la sicurezza di Tipi di licenza.
La preparazione di un data center per la prevenzione/rilevamento delle intrusioni NSX e Prevenzione malware NSX comporta più passaggi. Per eseguire questa procedura, è possibile utilizzare la procedura guidata Configurazione di IDS/IPS e prevenzione malware.
L'installazione guidata è come un processo di onboarding che guida l'utente attraverso una sequenza di passaggi per preparare il data center per queste due funzionalità di sicurezza. Per eseguire questa procedura guidata, passare a
.Se NSX rileva che non sono state aggiunte le licenze appropriate, la pagina visualizza il testo seguente:
IDS/IPS e prevenzione malware non è supportato con la licenza corrente.
Se NSX rileva che sono state aggiunte le licenze appropriate, nella pagina vengono visualizzati i pulsanti Avvia configurazione e Ignora configurazione.
Per iniziare la configurazione guidata, fare clic su Avvia configurazione. Seguire le istruzioni visualizzate sullo schermo e la presente documentazione per completare i passaggi descritti nella procedura guidata.
- Se si desidera salvare l'avanzamento in qualsiasi fase e uscire dalla procedura guidata, fare clic su Torna alla pagina principale. In un secondo momento, è possibile continuare la configurazione da dove si era rimasti.
- Se si desidera reimpostare l'installazione guidata e ripartire dall'inizio, fare clic su Annulla. Se si annulla la configurazione, vengono rimosse le selezioni effettuate nella procedura guidata, ma non vengono rimosse tutte le distribuzioni completate nella procedura guidata. Ad esempio, se la distribuzione di NSX Application Platform e la macchina virtuale del servizio Prevenzione malware NSX sui cluster host prima di reimpostare la procedura guidata, queste distribuzioni vengono conservate.
- Se non si desidera utilizzare l'installazione guidata e si preferisce configurare autonomamente le due funzionalità di sicurezza in un secondo momento, fare clic su Ignora configurazione. NSX Manager non mostra di nuovo questa procedura guidata. In un secondo momento, è possibile passare a e configurare il data center per entrambe le funzionalità. Per informazioni sull'utilizzo della pagina Impostazioni IDS/IPS prevenzione malware, vedere Configurazione di NSX IDS/IPS e impostazioni di Prevenzione malware NSX.
Funzionalità selezionate | Schede visualizzate |
---|---|
IDS/IPS nel traffico est-ovest oppure IDS/IPS nel traffico nord-sud |
Configura proxy NSX Gestisci firme Abilita nodi |
Prevenzione malware solo nel traffico est-ovest |
Configura proxy NSX Distribuisci NSX Application Platform Distribuisci macchina virtuale servizio |
Prevenzione malware solo nel traffico nord-sud |
Configura proxy NSX Distribuisci NSX Application Platform Abilita nodi |
Prevenzione malware sia nel traffico est-ovest sia nel traffico nord-sud | Configura proxy NSX Distribuisci NSX Application Platform Distribuisci macchina virtuale servizio Abilita nodi |
Tutte le funzionalità selezionate |
Vengono visualizzate tutte le cinque schede nella procedura guidata |
Configurare il server proxy NSX per la connettività Internet
NSX IDS/IPS non richiede necessariamente una connessione Internet per funzionare. NSX IDS/IPS utilizza le firme per rilevare e impedire le intrusioni. Se l'ambiente NSX dispone della connettività Internet, NSX Manager può scaricare automaticamente le firme di rilevamento delle intrusioni più recenti direttamente da Internet o tramite un server proxy NSX. Se la connettività Internet non è configurata nell'ambiente NSX, è possibile utilizzare le API per scaricare manualmente il file del bundle delle firme del rilevamento delle intrusioni (.zip) di NSX e quindi caricare il bundle delle firme in NSX Manager. Per ulteriori informazioni sul caricamento manuale delle firme, vedere Download e caricamento offline delle firme del rilevamento delle intrusioni di NSX.
Prevenzione malware NSX utilizza inoltre le firme per rilevare e impedire i malware. Tuttavia, NSX Manager può scaricare le firme più recenti solo quando nell'ambiente NSX è disponibile la connettività Internet. Non è possibile caricare manualmente le firme più recenti in NSX Manager. Prevenzione malware NSX invia i file anche al servizio cloud NSX Advanced Threat Prevention per un'analisi dettagliata dei file cloud. I file vengono inviati al cloud da NSX Application Platform e non da NSX Manager. NSX Application Platform non supporta la configurazione del server proxy e richiede l'accesso diretto a Internet.
- Schema (HTTP o HTTPS)
- Indirizzo IP dell'host
- Numero di porta
- Nome utente e password
Distribuisci NSX Application Platform
Prevenzione malware NSX richiede la distribuzione di alcuni microservizi in NSX Application Platform. È innanzitutto necessario distribuire NSX Application Platform e quindi attivare la funzionalità Prevenzione malware NSX. Una volta attivata questa funzionalità, i microservizi necessari per Prevenzione malware NSX vengono distribuiti nella piattaforma.
Distribuzione della macchina virtuale del servizio
Per il traffico est-ovest nel data center, è necessario distribuire il servizio Prevenzione malware distribuita NSX nei cluster host vSphere preparati per NSX. Quando questo servizio viene distribuito, viene installata una macchina virtuale del servizio (SVM) in ogni host del cluster di vSphere e Prevenzione malware NSX è abilitato nel cluster host.
Un grafico ad anello in questa pagina mostra il numero di cluster host nel data center in cui il servizio Prevenzione malware distribuita NSX è distribuito e non distribuito.
Per istruzioni dettagliate sulla distribuzione del servizio Prevenzione malware distribuita NSX in un cluster host, vedere Distribuzione del servizio di prevenzione malware distribuito NSX.
Una volta completata la distribuzione del servizio nei cluster host, tornare a questa pagina della procedura guidata e fare clic su Avanti per continuare.
Gestisci firme
Quando la connettività Internet è configurata nel data center, per impostazione predefinita NSX Manager verifica la disponibilità di nuove firme di rilevamento delle intrusioni nel cloud ogni 20 minuti. Quando è disponibile un nuovo aggiornamento, nella pagina viene visualizzato un banner con il collegamento Aggiorna ora.
Se il data center non dispone di connettività Internet, è possibile scaricare manualmente il file del bundle delle firme IDS (.zip), quindi caricarlo in NSX Manager. Per istruzioni dettagliate, vedere Download e caricamento offline delle firme del rilevamento delle intrusioni di NSX.
- Gestione delle firme
-
Le attività di gestione delle firme sono facoltative. Se necessario, è possibile eseguirle in un secondo momento passando a
.- Per visualizzare la versione della firma o aggiungere un'altra versione delle firme oltre a quella predefinita, fare clic su Visualizza e modifica.
Al momento vengono mantenute due versioni delle firme. Ogni volta che viene apportata una modifica al numero di identificazione del commit della versione, viene scaricata una nuova versione.
- Per scaricare automaticamente le firme di rilevamento delle intrusioni dal cloud e applicarle agli host e agli Edge nel data center, attivare l'interruttore Aggiornamento automatico.
Quando questa opzione è disattivata, il download automatico delle firme viene interrotto. È possibile scaricare manualmente il file del bundle delle firme IDS (.zip) e quindi caricarlo in NSX Manager.
- Per visualizzare lo stato del download delle firme nei nodi di trasporto, fare clic sul link nel campo Stato.
- Per escludere globalmente firme specifiche o per modificare l'azione per avvisare, rimuovere o rifiutare, fare clic su Visualizza e gestisci il set di firme.
Selezionare un'Azione per la firma e fare clic su Salva. Le modifiche apportate nelle impostazioni di gestione delle firme globali sono applicabili a tutti i profili IDS/IPS. Tuttavia, se si aggiornano le impostazioni della firma in un profilo IDS/IPS, le impostazioni del profilo hanno la precedenza.
La tabella seguente illustra il significato di ciascuna azione di firma.
Azione Descrizione Avviso
Viene generato un avviso e non viene eseguita alcuna azione preventiva automatica.
Elimina
Viene generato un avviso e i pacchetti danneggiati vengono eliminati.
Rifiuta
Viene generato un avviso e i pacchetti danneggiati vengono eliminati. Per i flussi TCP, un pacchetto di reimpostazione TCP viene generato da IDS e inviato all'origine e alla destinazione della connessione. Per gli altri protocolli, un pacchetto di errore ICMP viene inviato all'origine e alla destinazione della connessione.
- Per visualizzare la versione della firma o aggiungere un'altra versione delle firme oltre a quella predefinita, fare clic su Visualizza e modifica.
Abilitazione dei nodi per IDS/IPS e prevenzione malware
Nella sezione Attiva host e cluster per il traffico est-ovest, eseguire le seguenti configurazioni:
- Attivare NSX IDS/IPS negli host ESXi autonomi.
- Selezionare i cluster di host ESXi in cui si desidera attivare NSX IDS/IPS nel traffico est-ovest.
- Se il servizio Prevenzione malware distribuita NSX non è già distribuito nei cluster di host ESXi, fare clic sul collegamento Definito nella distribuzione della macchina virtuale del servizio nella colonna Prevenzione malware. Per istruzioni sulla distribuzione del servizio Prevenzione malware distribuita NSX in un cluster di host, vedere Distribuzione del servizio di prevenzione malware distribuito NSX.
- Non abilitare NSX Distributed IDS/IPS in un ambiente che utilizza il bilanciamento del carico distribuito. NSX non supporta IDS/IPS con bilanciamento del carico distribuito.
- Per consentire il funzionamento di NSX Distributed IDS/IPS, è necessario abilitare il firewall distribuito (DFW). Se il traffico è bloccato da una regola DFW, IDS/IPS non può visualizzarlo.
- Selezionare i gateway in cui si desidera attivare NSX IDS/IPS nel traffico nord-sud.
- Selezionare i gateway di livello 1 in cui si desidera attivare Prevenzione malware NSX per il traffico nord-sud.
- Prevenzione malware NSX solo sui gateway di livello 1.
- L'IDS/IPS NSX nel firewall del gateway nei gateway di livello 0 e di livello 1.