È possibile aggiungere componenti sicurezza di NSX alla tela di progettazione per rendere le loro impostazioni configurate disponibili per uno o più componenti macchina di vSphere nel blueprint.

Gruppi di sicurezza, tag di sicurezza e criteri di protezione sono configurati all'esterno di vRealize Automation nell'applicazione NSX.

Le impostazioni dei componenti di rete e sicurezza aggiunte alla tela di progettazione derivano dalla configurazione di NSX e richiedono l'esecuzione di una raccolta dei dati per l'inventario di NSX per i cluster vSphere. I componenti rete e sicurezza sono specifici di NSX e sono disponibili solo per l'uso con componenti macchina vSphere. Per informazioni sulla configurazione di NSX, consultare la guida di amministrazione di NSX.

È possibile aggiungere controlli di sicurezza ai blueprint configurando criteri di protezione e gruppi e tag di sicurezza per la risorsa di elaborazione vSphere in NSX. Dopo aver eseguito la raccolta dati, le configurazioni di sicurezza sono disponibili per essere selezionate in vRealize Automation.

Gruppo di sicurezza

Un gruppo di sicurezza è una raccolta di asset o di oggetti di raggruppamento provenienti dall'inventario di vSphere e mappata a un set di criteri di protezione, ad esempio regole firewall distribuite e integrazioni di servizi di sicurezza di terze parti, quali antivirus e rilevamento delle intrusioni. La funzione di raggruppamento consente di creare contenitori personalizzati a cui è possibile assegnare risorse, come ad esempio macchine virtuali e schede di rete, per garantire la protezione firewall distribuita. Dopo aver definito un gruppo, è possibile aggiungere il gruppo come origine o destinazione a una regola firewall per ottenere la protezione.

È possibile aggiungere gruppi di sicurezza NSX esistenti o su richiesta a un blueprint, oltre ai gruppi di sicurezza specificati nella prenotazione.

È possibile creare uno o più gruppi di sicurezza su richiesta. È possibile selezionare uno o più criteri di sicurezza da configurare in un gruppo di sicurezza.

I gruppi di sicurezza sono gestiti nella risorsa di origine. Per informazioni sulla gestione dei gruppi di sicurezza per i vari tipi di risorse, vedere la documentazione di NSX.

Se un blueprint contiene uno o più bilanciamenti del carico e per il blueprint è abilitato Isolamento app, i VIP del bilanciamento del carico vengono aggiunti come set di IP al gruppo di sicurezza di Isolamento app. Se un blueprint contiene un gruppo di sicurezza su richiesta associato a un livello di macchina che è anche associato a un bilanciamento del carico, il gruppo di sicurezza su richiesta include il livello di macchina e il set di IP con il VIP del bilanciamento del carico.

Tag di sicurezza

Un tag di sicurezza è un oggetto qualificatore o una voce di categorizzazione utilizzabile come meccanismo di raggruppamento. È possibile definire i criteri che devono essere rispettati da un oggetto per poter essere aggiunto al gruppo di sicurezza creato. Ciò rende possibile l'inclusione di macchine tramite la definizione di criteri di filtro con una serie di parametri supportati, che permettono di articolare le ricerche in base ai criteri desiderati. Ad esempio, è possibile aggiungere a un gruppo di sicurezza tutte le macchine che hanno un tag di sicurezza specifico.

È possibile aggiungere un tag di sicurezza alla tela di progettazione.

Criterio di protezione

Un criterio di protezione è un insieme di servizi di analisi di endpoint, firewall e rete che possono essere applicati a un gruppo di sicurezza. È possibile aggiungere criteri di protezione a una macchina virtuale vSphere utilizzando un gruppo di sicurezza su richiesta in un blueprint. Non è possibile aggiungere un criterio di protezione direttamente in una prenotazione. Dopo la raccolta dati, in un blueprint è possibile selezionare i criteri di protezione definiti in NSX per una risorsa di elaborazione.

Isolamento app

Quando è abilitato l'isolamento app, viene creato un criterio di protezione separato. L'isolamento app utilizza un firewall logico per bloccare tutto il traffico in ingresso e uscita da e verso le applicazioni nel blueprint. Le macchine componenti di cui viene eseguito il provisioning e che contengono un criterio di isolamento app possono comunicare tra loro ma non possono connettersi all'esterno del firewall, a meno che non vengano aggiunti al blueprint altri gruppi di sicurezza con criteri di protezione che consentono l'accesso.