Identity Firewall (IDFW) 機能を使用すると、NSX 管理者は Active Directory ユーザー ベースの分散ファイアウォール (DFW) ルールを作成できます。
IDFW 構成のワークフローの概要は次のとおりです。ワークフローは、インフラストラクチャの準備から始まります。準備段階では、NSX が Active Directory のユーザーおよびグループを利用できるようにするため、管理者が保護対象の各クラスタに必要なコンポーネントをインストールし、Active Directory の同期を設定します。次に、分散ファイアウォール ルールを適用するため、Active Directory (AD) ユーザーがログインするデスクトップを IDFW が識別できるようにする必要があります。IDFW がログインを検出する方法は、ゲスト イントロスペクション (GI) および Active Directory イベント ログ スクレイパの 2 種類です。ゲスト イントロスペクションは、IDFW 仮想マシンを実行する ESXi クラスタに展開します。ネットワーク イベントがユーザーによって生成されると、仮想マシンにインストールされたゲスト エージェントは、ゲスト イントロスペクションフレームワークを介して NSX Manager に情報を転送します。第 2 のオプションは、Active Directory イベント ログ スクレイパです。NSX Manager で、Active Directory ドメイン コントローラのインスタンスにポイントするように Active Directory イベント ログ スクレイパを設定します。これにより、NSX Manager は Active Directory セキュリティ イベント ログからイベントを取得できるようになります。これらの方法のいずれか、または両方を使用できます。Active Directory ログ スクレイパと ゲスト イントロスペクション の両方が使用されている場合、ゲスト イントロスペクション が優先されます。Active Directory イベント ログ スクレイパと ゲスト イントロスペクション の両方を使用する場合は、これらが排他的に動作することに注意してください。つまり、片方が動作を停止しても、他方がバックアップとして動作を開始することはありません。
インフラストラクチャを準備したら、管理者は NSX セキュリティ グループを作成し、新しく使用可能になった Active Directory(ディレクトリ グループと呼ばれます)を追加します。続いて管理者は、ファイアウォール ルールが関連付けられたセキュリティ ポリシーを作成して、これらのポリシーを新規に作成したセキュリティ グループに適用します。この操作によって、ユーザーがデスクトップにログインすると、システムはイベントおよび使用されている IP アドレスを検出し、そのユーザーに関連付けられているファイアウォール ポリシーを検索して、これらのルールを適用します。これは、物理および仮想の両方のデスクトップで機能します。物理デスクトップについては、ユーザーが物理デスクトップにログインしたことを検出する目的でも、Active Directory イベント ログ スクレイパが必要となります。
Identity Firewall は、リモート デスクトップ セッション (RDSH) のマイクロセグメンテーションで使用できます。複数のユーザーが同時にログインしたり、要件に基づいてアプリケーションへのアクセスをユーザーに許可し、独立したユーザー環境を維持できます。リモート デスクトップ セッションで Identity Firewall を使用するには、Active Directory が必要です。
サポートされる Windows オペレーティング システムについては、Identity Firewall でサポートされるテスト済みの構成を参照してください。Linux ベースのオペレーティング システムでは、Identity Firewall はサポートされません。