NSX Cloud の検疫ポリシー機能を使用すると、NSX が管理するワークロード仮想マシンに対する脅威を検出できます。

2 つの仮想マシン管理モードによって、検疫ポリシーの実装方法が異なります。

表 1. NSX 強制モードNative Cloud 強制モード での検疫ポリシーの実装
検疫ポリシーに関連する設定 NSX 強制モード の場合 Native Cloud 強制モード の場合
デフォルトの状態 NSX Tools を使用して PCG を展開すると無効になります。これは、PCG の展開画面で有効にできます。検疫ポリシーを有効または無効にする方法 を参照してください。 常に有効。無効にできません。
各モードに自動生成される固有のセキュリティ グループ 良好な状態の NSX 管理対象仮想マシンには vm-underlay-sg セキュリティ グループが割り当てられます。 NSX Manager の分散ファイアウォール ポリシーと一致する NSX 管理対象ワークロード仮想マシンには、nsx-<NSX GUID> セキュリティ グループが作成され、適用されます
両方のモードに共通の自動生成されるパブリック クラウド セキュリティ グループ:
[gw] セキュリティ グループは、AWS または Microsoft Azure のそれぞれの PCG インターフェイスに適用されます。
  • gw-mgmt-sg
  • gw-uplink-sg
  • gw-vtep-sg
[vm] セキュリティ グループは、現在の状態と検疫ポリシーの設定(有効または無効)に応じて、NSX 管理対象の仮想マシンに適用されます。
  • default-vnet-<vnet-id>-sg (Microsoft Azure)、default (AWS)
    注: AWS で、 default セキュリティ グループがすでに存在します。これは、 NSX Cloud によって作成されません。

NSX 強制モード の一般的な推奨事項:

[既存環境]への展開を無効で開始する場合: 検疫ポリシーは、デフォルトで無効です。パブリック クラウド環境に仮想マシンが設定済みの場合は、ワークロード仮想マシンのオンボーディングが完了するまで、検疫ポリシーを無効モードにします。これにより、既存の仮想マシンが自動的に隔離されないようにします。

[新規] 展開を有効で開始する場合:新規の展開では、検疫ポリシーを有効にして、仮想マシンの脅威の検出を NSX Cloud で管理することが推奨されます。