Identity Firewall (IDFW) 機能を使用すると、NSX 管理者は Active Directory ユーザーベースの分散ファイアウォール (DFW) ルールを作成できます。
IDFW は、仮想デスクトップ (VDI)、リモート デスクトップ セッション(RDSH サポート)、物理マシンで使用できます。複数のユーザーによる同時ログインや、要件に基づくアプリケーションへのユーザー アクセスを可能にし、独立したユーザー環境を維持できます。VDI 管理システムは、VDI 仮想マシンへのアクセス権を付与するユーザーを制御します。NSX は、送信元の仮想マシン (VM) から宛先サーバへのアクセスを制御します。ここでは IDFW が有効になっています。RDSH を使用して、管理者は Active Directory (AD) 内のさまざまなユーザーを含むセキュリティ グループを作成し、そのユーザーのロールに基づいてアプリケーション サーバへのアクセスを許可または拒否します。たとえば、人事およびエンジニアリングは同じ RDSH サーバに接続し、このサーバから異なるアプリケーションにアクセスできます。
ファイアウォール ルールを適用するため、Active Directory (AD) ユーザーがログインするデスクトップを IDFW が識別できるようにする必要があります。IDFW がログイン検出に使用する方法には、ゲスト イントロスペクション (GI) とイベント ログ スクレイピングの 2 つがあります。ゲスト イントロスペクションは、IDFW 仮想マシンを実行する ESXi クラスタに展開します。ネットワーク イベントがユーザーによって生成されると、仮想マシンにインストールされたゲスト エージェントは、ゲスト イントロスペクション フレームワークを介して NSX Manager に情報を転送します。第 2 のオプションは、Active Directory イベント ログ スクレイパです。イベント ログ スクレイピングにより、物理デバイスの IDFW が有効になります。NSX Manager で、Active Directory ドメイン コントローラのインスタンスにポイントするように Active Directory イベント ログ スクレイパを構成します。これにより、NSX Manager は Active Directory セキュリティ イベント ログからイベントを取得できるようになります。
仮想マシンでイベント ログ スクレイピングを使用できますが、Active Directory ログ スクレイパとゲスト イントロスペクションの両方を使用すると、ゲスト イントロスペクションがイベント ログ スクレイピングよりも優先されます。ゲスト イントロスペクションは VMware Tools を使用して有効になります。完全なVMware Tools インストールと IDFW を使用している場合、ゲスト イントロスペクションはイベント ログ スクレイピングよりも優先されます。
IDFW は、サポート対象のオペレーティング システムが実行されている仮想マシンでも使用できます。「Identity Firewall でサポートされる構成」を参照してください。
IDFW は、ファイアウォール ルールでのみ、送信元でユーザー ID を処理します。ユーザー ID が処理される送信元で送信されたトラフィックのみが IDFW ルールの対象となります。ID ベースのグループは、分散ファイアウォール ルールとゲートウェイ ファイアウォール ルールの宛先として使用できません。
ID ベースのファイアウォール ルールは、Active Directory (AD) グループのメンバーシップによって決定されます。IDFW ルールを機能させるために、Active Directory ユーザーを含む OU と、そのユーザーが存在する Active Directory グループを含む OU の両方を、[同期する部門名] に追加する必要があります。サポートされている IDFW 構成およびプロトコルについては、「Identity Firewall でサポートされる構成」を参照してください。
フェデレーション環境のグローバル マネージャでは、IDFW ルールはサポートされません。ローカル マネージャで IDFW ルールを作成することで、フェデレーション サイトのローカルで IDFW を使用できます。
IDFW ポリシー グループと DFW ルールの一致ロジック
- ポリシー グループのメンバーとして Active Directory グループのみを持つ同種のグループ。
- 仮想マシンや IP アドレスなど、Active Directory グループに加えて他のメンバーが存在する可能性がある異種グループ。
異種 ID ポリシー グループの有効なメンバーは、次のロジックを使用して見つけることができます:[すべての非 Active Directory メンバーのユニオン セット] と [メンバー Active Directory グループに属する Active Directory ユーザーがログインする仮想マシンのセット] の AND 演算(すなわち交差)。
- 目的:一部の仮想マシンを Active Directory グループと静的にペアリングする場合、Active Directory グループに属する Active Directory ユーザーがログインするときに、ポリシーを静的仮想マシン メンバーに適用することを目的とします。
- 該当しない送信元の例:メンバー Active Directory グループの 1 つに属する Active Directory ユーザーがログインするが、ポリシー グループの静的メンバーではない仮想マシン。ポリシー グループの静的メンバーであるが、ログインしたユーザーがポリシー グループのメンバーではない Active Directory グループに属している仮想マシン。
- 目的:特定の Active Directory ユーザーがログインするときに、名前が基準と一致する仮想マシンにのみセキュリティ ポリシーを適用します。
- 該当しない送信元の例:Active Directory ユーザーがログインするが、名前の基準に一致しない仮想マシン。名前の基準が一致するが、ログインしたユーザーがメンバー Active Directory グループの 1 つに属していない仮想マシン。