セキュリティ ポリシーは、セキュリティ グループに適用可能な一連の ゲスト イントロスペクション、ファイアウォール、およびネットワーク イントロスペクション サービスです。セキュリティ ポリシーが表示される順序は、ポリシーに関連付けられた重みによって決まります。デフォルトでは、新しいポリシーには、テーブルの最上位になるように最も大きい重みが割り当てられます。ただし、デフォルトの推奨される重みを変更して、新しいポリシーに割り当てられた順序を変更できます。

前提条件

次のように設定されていることを確認します。
  • 必要な VMware 組み込みサービス(分散ファイアウォール、ゲスト イントロスペクションなど)がインストールされている。
  • 必要なパートナー サービスが NSX Manager サービスに登録されている。
  • デフォルトの適用先設定が Service Composer のファイアウォール ルールに設定されている。Service Composer ファイアウォールの適用先設定の編集 を参照してください。

RDSH の Identity Firewall にセキュリティ ポリシー フレームワークを作成する場合は、次の条件を満たす必要があります。

  • Active Directory サーバが NSX Manager に統合されている必要があります。
  • ホストで分散ファイアウォールを有効にし、NSX 6.4.0 にアップグレードする必要があります。
  • ゲスト マシンで、更新された VMware Tools が実行されている必要があります。
  • ゲスト イントロスペクション サービス仮想マシンのバージョンが 6.4 以降でなければなりません。
  • ファイアウォール ルールの新しいセクションにルールを作成する必要があります。
  • ルールで [送信元でユーザー ID を有効にする] を選択する必要があります。
  • リモート デスクトップ アクセスのルールでは、[適用先] フィールドを使用できません。
  • RDSH の IDFW では ICMP がサポートされていません。

手順

  1. vSphere Web Client で、[ネットワークとセキュリティ (Networking & Security)] > [セキュリティ (Security)] > [Service Composer] の順に移動します。
  2. [セキュリティ ポリシー (Security Policies)] タブをクリックします。
  3. 新しいセキュリティ ポリシーを作成するには、次の手順に従います。
    • NSX 6.4.1 では、[追加 (Add)] をクリックします。
    • NSX 6.4.0 では、[セキュリティ ポリシーの作成 (Create Security Policy)]追加)アイコンをクリックします。
  4. [セキュリティ ポリシーの作成] または [新しいセキュリティ ポリシー] ダイアログ ボックスで、セキュリティ ポリシーの名前を入力します。
  5. セキュリティ ポリシーの説明を入力します。 説明は 255 文字以下にする必要があります。
    NSX では、ポリシーにデフォルトの重み(最大の重み + 1000)が割り当てられます。たとえば、既存のポリシーの最大の重みが 1200 の場合、新しいポリシーには重み 2200 が割り当てられます。

    セキュリティ ポリシーはその重みに応じて適用されます。つまり、重みが大きいポリシーは重みが小さいポリシーよりも優先順位が高くなります。

  6. 作成しているポリシーで別のセキュリティ ポリシーからサービスを受け取るには、[セキュリティ ポリシーの継承 (Inherit security policy)] を選択します。親ポリシーを選択します。
    新しいポリシーでは、親ポリシーからすべてのサービスが継承されます。
  7. [次へ (Next)] をクリックします。
  8. [ゲスト イントロスペクション サービス] ページで、[追加 (Add)] または [ゲスト イントロスペクション サービスの追加 (Add Guest Introspection Service)]追加アイコン)アイコンをクリックします。
    1. [ゲスト イントロスペクション サービスの追加] ダイアログ ボックスで、サービスの名前と説明を入力します。
    2. サービスを適用するか、ブロックするかを指定します。
      セキュリティ ポリシーを継承する場合に、親ポリシーからのサービスをブロックするように選択することもできます。

      サービスを適用する場合、サービスとサービス プロファイルを選択する必要があります。サービスをブロックする場合、ブロックするサービスのタイプを選択する必要があります。

    3. サービスのブロックを選択する場合、サービスのタイプを選択します。
    4. ゲスト イントロスペクション サービスの適用を選択する場合、[]サービス名を選択します。
      選択したサービスのデフォルトのサービス プロファイルが表示されます。これには、関連付けられたベンダー テンプレートでサポートされているサービス機能タイプの情報が含まれます。
    5. [状態 (State)] で、選択したゲスト イントロスペクション サービスを有効にするか、無効にするかを指定します。

      ゲスト イントロスペクション サービスを、後で有効にするサービスのプレースホルダとして追加できます。これは、サービスをオンデマンドで追加する必要がある場合に(新しいアプリケーションなど)特に便利です。

    6. ゲスト イントロスペクション サービスを適用するかどうかを選択します(オーバーライドできません)。選択したサービス プロファイルで複数のサービス機能タイプがサポートされている場合、これは、デフォルトで [強制 (Enforce)] に設定されており、変更できません。

      セキュリティ ポリシーで ゲスト イントロスペクション サービスを適用する場合、このセキュリティ ポリシーを継承する他のポリシーでは、他の子ポリシーより前にこのポリシーを適用する必要があります。このサービスが適用されていない場合、継承の選択により、子ポリシーが適用された後に親ポリシーが追加されます。

    7. [OK] をクリックします。
    上記の手順に従ってさらにゲスト イントロスペクションサービスを追加できます。ゲスト イントロスペクション サービスは、サービス テーブルの上にあるアイコンを使用して管理できます。

    NSX 6.4.0 では、このページのサービスをエクスポートまたはコピーするには、[ゲスト イントロスペクション サービス] ページの右下にある エクスポート アイコンをクリックします。

  9. [次へ (Next)] をクリックします。
  10. [ファイアウォール] ページで、このセキュリティ ポリシーが適用されるセキュリティ グループのファイアウォール ルールを定義します。

    RDSH の Identity Firewall にセキュリティ ポリシーを作成するときは、[送信元でユーザー ID を有効にする] を選択する必要があります。この設定を行うと、コンテキストを識別するために TCP 接続の状態が追跡されるため、ステートレス ファイアウォールの有効化オプションが無効になります。ポリシーの更新中に、このフラグを変更することはできません。[送信元でユーザー ID を有効にする] を選択してセキュリティ ポリシーを作成する場合、継承は使用できません。

    1. 次のオプション パラメータを有効にするチェック ボックスをクリックします。
      オプション 説明
      送信元でユーザー ID を有効にする

      RDSH の Identity Firewall を使用する場合は、[送信元でユーザー ID を有効にする] を選択する必要があります。この設定を行うと、コンテキストを識別するために TCP 接続の状態が追跡されるため、ステートレス ファイアウォールの有効化オプションが無効になります。

      TCP Strict を有効にする 各ファイアウォール セクションに TCP Strict を設定できます。
      ステートレス ファイアウォールを有効にする 各ファイアウォール セクションでステートレス ファイアウォールを有効にします。
    2. [追加 (Add)] または[ファイアウォール ルールの追加 (Add Firewall Rule)]追加アイコン)アイコンをクリックします。
    3. 追加するファイアウォール ルールの名前と説明を入力します。
    4. [許可 (Allow)][ブロック (Block)] または [拒否 (Reject)] を選択して、選択された宛先へのトラフィックをルールで許可、ブロック、拒否するのかを示します。
    5. ルールの送信元を選択します。デフォルトでは、ルールは、このポリシーが適用されるセキュリティ グループから受信するトラフィックに適用されます。デフォルトの送信元を変更するには、[選択 (Select)] または [変更 (Change)] をクリックし、適切なセキュリティ グループを選択します。
    6. ルールの宛先を選択します。
      注: [送信元] または [宛先](あるいはその両方)が、このポリシーの適用対象セキュリティ グループである必要があります。
      たとえば、デフォルトの送信元でルールを作成し、[宛先] に Payroll を指定し、 [宛先の無効化 (Negate Destination)] を選択したとします。次に、このセキュリティ ポリシーを Engineering というセキュリティ グループに適用します。これにより、Engineering は Payroll サーバを除くすべてにアクセスできるようになります。
    7. ルールを適用するサービスまたはサービス グループ、あるいはその両方を選択します。
    8. [有効 (Enabled)] または [無効 (Disabled)] を選択してルールの状態を指定します。
    9. このルールに一致するセッションをログに記録するには、[ログ (Log)] を選択します。
      ログを有効にするとパフォーマンスに影響が出る場合があります。
    10. ファイアウォール ルールを追加または編集するときに、追加するテキストを [タグ (Tag)] テキスト ボックスに入力します。
    11. [OK] をクリックします。
    上記の手順に従ってさらにファイアウォール ルールを追加できます。ファイアウォール ルールは、ファイアウォール テーブルの上にあるアイコンを使用して管理できます。

    NSX 6.4.0 で、このページのルールをエクスポートまたはコピーするには、[ファイアウォール] ページの右下にある エクスポート アイコンをクリックします。

    ここで追加したファイアウォール ルールは、ファイアウォール テーブルに表示されます。ファイアウォール テーブルの Service Composer ルールは編集しないことをお勧めします。緊急のトラブルシューティングを行う必要がある場合は、次のように、Service Composer ルールをファイアウォール ルールと再同期する必要があります。
    • NSX 6.4.1 以降では、[セキュリティ ポリシー] タブで [同期 (Synchronize)] を選択します。
    • NSX 6.4.0 では、[セキュリティ ポリシー] タブの [アクション (Actions)] メニューから [ファイアウォール ルールの同期 (Synchronize Firewall Rules)] を選択します。
  11. [次へ (Next)] をクリックします。
    [ネットワーク イントロスペクション サービス] ページには、VMware 仮想環境と統合した NetX サービスが表示されます。
  12. 次のオプション パラメータを有効にするチェック ボックスをクリックします。
    オプション 説明
    TCP Strict を有効にする 各ファイアウォール セクションに TCP Strict を設定できます。
    ステートレス ファイアウォールを有効にする 各ファイアウォール セクションでステートレス ファイアウォールを有効にします。
  13. [追加 (Add)] または [ネットワーク イントロスペクション サービスの追加 (Add Network Introspection Service)]追加アイコン)アイコンをクリックします。
    1. 追加するサービスの名前と説明を入力します。
    2. サービスにリダイレクトするかどうかを選択します。
    3. サービスの名前とプロファイルを選択します。
    4. 送信元と宛先を選択します。
    5. 追加するネットワーク サービスを選択します。
      選択したサービスに基づいて追加の選択を行うことができます。
    6. サービスを有効にするか、無効にするかを選択します。
    7. このルールに一致するセッションをログに記録するには、[ログ] を選択します。
    8. 追加するテキストを [タグ (Tag)]テキスト ボックスに入力します。
    9. [OK] をクリックします。
    上記の手順に従ってさらにネットワーク イントロスペクション サービスを追加できます。ネットワーク イントロスペクション サービスは、サービス テーブルの上にあるアイコンを使用して管理できます。

    NSX 6.4.0 では、このページのサービスをエクスポートまたはコピーするには、[ネットワーク イントロスペクション サービス] ページの右下にある エクスポート アイコンをクリックします。

    注: Service Composer ポリシーで使用されるサービス プロファイル用に手動で作成したバインドが上書きされます。
  14. [終了 (Finish)] をクリックします。
    セキュリティ ポリシーがポリシー テーブルに追加されます。ポリシーに関連付けられたサービスのサマリの表示、サービス エラーの表示、またはサービスの編集を行うには、ポリシー名をクリックし、適切なタブを選択します。

次のタスク

セキュリティ ポリシーをセキュリティ グループにマッピングします。