Identity Firewall (IDFW) 機能を使用すると、NSX 管理者は Active Directory ユーザーベースの分散ファイアウォール (DFW) ルールを作成できます。

IDFW は、仮想デスクトップ (VDI) またはリモート デスクトップ セッション(RDSH サポート)で使用できます。複数のユーザーによる同時ログインや、要件に基づくアプリケーションへのユーザー アクセスを可能にし、独立したユーザー環境を維持できます。VDI 管理システムは、VDI 仮想マシンへのアクセス権を付与するユーザーを制御します。NSX-T は、送信元の仮想マシン (VM) から宛先サーバへのアクセスを制御します。ここでは IDFW が有効になっています。RDSH を使用して、管理者は Active Directory (AD) 内のさまざまなユーザーを含むセキュリティ グループを作成し、そのユーザーのロールに基づいてアプリケーション サーバへのアクセスを許可または拒否します。たとえば、人事およびエンジニアリングは同じ RDSH サーバに接続し、このサーバから異なるアプリケーションにアクセスできます。

IDFW は、サポート対象のオペレーティング システムが実行されている仮想マシンでも使用できます。Identity Firewall でサポートされる構成 を参照してください。

IDFW 構成のワークフローの概要は次のとおりです。ワークフローは、インフラストラクチャの準備から始まります。この段階では、NSX が Active Directory のユーザーおよびグループを利用できるようにするため、管理者が保護対象の各クラスタに必要なコンポーネントをインストールし、Active Directory の同期を設定します。次に、IDFW ルールを適用するため、Active Directory ユーザーがログインするデスクトップを IDFW が識別できるようにする必要があります。ネットワーク イベントがユーザーによって生成されると、仮想マシン上に VMware Tools でインストールされたシン エージェントは情報を収集して転送し、コンテキスト エンジンに送信します。この情報は、分散ファイアウォールに適用するために使用されます。

IDFW は、分散ファイアウォール ルールでのみ、送信元でユーザー ID を処理します。ID ベースのグループは、DFW ルールの宛先として使用できません。

注: IDFW は、ゲスト OS のセキュリティと整合性に依存します。悪意のあるローカル管理者がファイアウォール ルールを回避するために ID を偽装する方法は 1 つではありません。ユーザー ID 情報は、ゲスト仮想マシン内の NSX ゲスト イントロスペクション シン エージェントによって提供されます。セキュリティ管理者は、シン エージェントが各ゲスト仮想マシンにインストールされ、実行されていることを確認する必要があります。ログイン ユーザーには、エージェントの削除または停止を行う権限を付与してはなりません。

サポートされている IDFW 構成については、Identity Firewall でサポートされる構成を参照してください。

IDFW ワークフロー:
  1. ユーザーは仮想マシンにログインし、Skype や Outlook を起動してネットワーク接続を開始します。
  2. ユーザーのログイン イベントはシン エージェントによって検出され、接続情報と ID 情報が収集され、コンテキスト エンジンに送信されます。
  3. コンテキスト エンジンは、接続情報と ID 情報を該当するルール環境の分散ファイアウォールに転送します。