È possibile aggiungere componenti sicurezza di NSX for vSphere alla tela di progettazione per rendere le loro impostazioni configurate disponibili per uno o più componenti macchina di vSphere nel blueprint.

Gruppi di sicurezza, tag di sicurezza e criteri di protezione sono configurati all'esterno di vRealize Automation nell'applicazione NSX.

Le impostazioni dei componenti di rete e sicurezza aggiunte al blueprint derivano dalla configurazione di NSX for vSphere e NSX-T. Per informazioni sulla configurazione di NSX, vedere Administration Guide nella documentazione del prodotto NSX for vSphere o nella documentazione del prodotto NSX-T, a seconda dell'applicazione utilizzata.

È possibile aggiungere controlli di sicurezza ai blueprint configurando criteri di protezione e gruppi e tag di sicurezza per la risorsa di elaborazione vSphere in NSX. Dopo aver eseguito la raccolta dati, le configurazioni di sicurezza sono disponibili per essere selezionate in vRealize Automation.

Per una strategia di sicurezza di NSX for vSphere di esempio, consultare questo post del blog su vRealize e NSX.

Gruppi di sicurezza esistenti e su richiesta per NSX for vSphere

Un gruppo di sicurezza è una raccolta di asset o di oggetti di raggruppamento provenienti dall'inventario di vSphere e mappata a un set di criteri di protezione, ad esempio regole firewall distribuite e integrazioni di servizi di sicurezza di terze parti, quali antivirus e rilevamento delle intrusioni. La funzione di raggruppamento consente di creare contenitori personalizzati a cui è possibile assegnare risorse, come ad esempio macchine virtuali e schede di rete, per garantire la protezione firewall distribuita. Dopo aver definito un gruppo, è possibile aggiungere il gruppo come origine o destinazione a una regola firewall per ottenere la protezione.

È possibile aggiungere gruppi di sicurezza vSphere esistenti o su richiesta a un blueprint, oltre ai gruppi di sicurezza specificati nella prenotazione.

È possibile creare uno o più gruppi di sicurezza su richiesta. È possibile selezionare uno o più criteri di sicurezza da configurare in un gruppo di sicurezza.

Un criterio di protezione è un insieme di servizi di analisi di endpoint, firewall e rete che possono essere applicati a un gruppo di sicurezza. È possibile aggiungere criteri di protezione a una macchina virtuale vSphere utilizzando un gruppo di sicurezza su richiesta in un blueprint. Non è possibile aggiungere un criterio di protezione direttamente in una prenotazione. Dopo la raccolta dati, in un blueprint è possibile selezionare i criteri di protezione definiti in NSX for vSphere per una risorsa di elaborazione.

I gruppi di sicurezza sono gestiti nella risorsa di origine. Per informazioni sulla gestione dei gruppi di sicurezza per i vari tipi di risorse, vedere la documentazione di NSX for vSphere.

Nota:

Quando è abilitato l'isolamento app, viene creato un criterio di protezione separato. L'isolamento app utilizza un firewall logico per bloccare tutto il traffico in ingresso e uscita da e verso le applicazioni nel blueprint. Le macchine componenti di cui viene eseguito il provisioning e che contengono un criterio di isolamento app possono comunicare tra loro ma non possono connettersi all'esterno del firewall, a meno che non vengano aggiunti al blueprint altri gruppi di sicurezza con criteri di protezione che consentono l'accesso.

Se un blueprint contiene un bilanciamento del carico ed è abilitato l'isolamento app, i VIP del bilanciamento del carico vengono aggiunti come set di IP al gruppo di sicurezza dell'isolamento app. Se un blueprint contiene un gruppo di sicurezza su richiesta associato a un livello macchina associato a un bilanciamento del carico, il gruppo di sicurezza su richiesta include il livello macchina, il set di IP e i VIP.

Tag di sicurezza esistenti per NSX for vSphere

È possibile aggiungere componenti tag di sicurezza esistenti per NSX for vSphere. Un tag di sicurezza è un oggetto qualificatore o una voce di categorizzazione utilizzabile come meccanismo di raggruppamento. È possibile definire i criteri che devono essere rispettati da un oggetto per poter essere aggiunto al gruppo di sicurezza creato. Ciò rende possibile l'inclusione di macchine tramite la definizione di criteri di filtro con una serie di parametri supportati, che permettono di articolare le ricerche in base ai criteri desiderati. Ad esempio, è possibile aggiungere a un gruppo di sicurezza tutte le macchine che hanno un tag di sicurezza specifico.