Identity Firewall を使用すると、Active Directory ユーザー グループに基づいて分散ファイアウォール ルールを構成できます。

Identity Firewall を使用すると、Active Directory ユーザー グループに基づいて分散ファイアウォール ルールを構成できます。 ユーザー コンテキストは送信元で処理されます。ファイアウォール ルールを適用するため、Active Directory ユーザーがログインする仮想デスクトップを IDFW が識別できるようにする必要があります。ユーザー ID は、宛先ではなく、ファイアウォール ルールの送信元として使用できます。ログイン検出には、次の 2 つの方法があります。
  • ゲスト イントロスペクション (GI)
  • イベント ログのスクレイピング

ゲスト イントロスペクションを使用したブロック ルール構成

  • Identity Firewall を有効にします。[セキュリティ] > [ 分散ファイアウォール ] > [ 設定] > [Identity Firewall 設定] の順に移動します。
  • IDFW を有効にすると、特定のクラスタまたはすべてのスタンドアローン ホストで有効にすることができます。この例では、コンピュート クラスタで IDFW を有効にします。
  • [システム] > [Identity Firewall の Active Directory] の順に移動して、Active Directory ドメインを追加します。Active Directory のユーザーまたはグループは、ファイアウォール ルールの送信元フィールドで使用されます。
  • [インベントリ] > [グループ] の順に移動し、[グループの追加] をクリックして、グループを作成します。この例では、Active Directory グループのメンバーを含む [Developers] というグループを作成します。このグループは、ファイアウォール ルールの送信元フィールドで使用されます。
  • Developers Active Directory グループに属するユーザーの SSH トラフィックをブロックする IDFW ポリシーを作成します。ルール定義:<Developers Active Directory グループのユーザー> が <TCP 22/SSH の宛先> にアクセスすると、拒否されます。[Developers] グループを送信元、アクションを [拒否] としてファイアウォール ルールを作成します。
    ルール名 送信元 宛先 サービス コンテキスト プロファイル 適用先 アクション
    Developers の SSH をブロック Developers 任意 SSH 分散ファイアウォール (DFW) 拒否

ゲスト イントロスペクションを使用した許可ルール構成

  • Identity Firewall を有効にします。[セキュリティ] > [ 分散ファイアウォール ] > [ 設定] > [Identity Firewall 設定] の順に移動します。
  • IDFW を有効にすると、特定のクラスタまたはすべてのスタンドアローン ホストで有効にすることができます。この例では、コンピュート クラスタで IDFW を有効にします。
  • [システム] > [Identity Firewall の Active Directory] の順に移動して、Active Directory ドメインを追加します。Active Directory のユーザーまたはグループは、ファイアウォール ルールの送信元フィールドで使用されます。
  • [インベントリ] > [グループ] の順に移動し、[グループの追加] をクリックして、グループを作成します。この例では、Active Directory グループ メンバーを含む [NSX] というグループを作成します。このグループは、ファイアウォール ルールの送信元フィールドで使用されます。
  • 仮想マシン名の基準に基づいて、Web という名前の動的セキュリティ グループを作成します。
  • 2 つのファイアウォール ルールを作成します。1 つはユーザーのグループから宛先へのトラフィックを許可し、もう 1 つは同じ宛先への他のすべてのユーザーをブロックします。次の例では、IDFW ルールという名前の最初のルールには、送信元として NSX グループがあり、ユーザーがログインする仮想マシンにファイアウォール ルールが適用されています。IDFW ユーザー コンテキストは送信元で処理されるため、このファイアウォール ルールはグループ Web のメンバーに適用されません。次の 2 番目のファイアウォール ルールは、他のすべての送信元からのユーザーをドロップします。
    ルール名 送信元 宛先 サービス コンテキスト プロファイル 適用先 アクション
    IDFW ルール NSX Web HTTPS なし user-vm-01 許可
    すべてを拒否 任意 任意 任意 なし user-vm-01 ドロップ

イベント ログ スクレイピングを使用した許可/拒否ルール構成

  • 前提条件 - 最初に物理ワークロードを NSX トランスポート ノードとして準備する必要があります。このアプローチでは、物理サーバを NSX インベントリの一部にすることができます。NSX インベントリの一部になると、DFW の [適用先] フィールドで使用できます。『NSX インストール ガイド』の「NSX トランスポート ノードとしての物理サーバの準備」を参照してください。
  • Identity Firewall を有効にします。[セキュリティ] > [ 分散ファイアウォール ] > [ 設定] > [Identity Firewall 設定] の順に移動します。
  • IDFW を有効にすると、特定のクラスタまたはすべてのスタンドアローン ホストで有効にすることができます。この例では、コンピュート クラスタで IDFW を有効にします。
  • [システム] > [Identity Firewall の Active Directory] の順に移動して、Active Directory ドメインを追加します。IDFW Active Directory に [イベント ログ サーバ] を構成します。Active Directory のユーザーまたはグループは、ファイアウォール ルールの送信元フィールドで使用されます。
  • [セキュリティ] > [全般設定] > [Identity Firewall イベント ログ ソース] > [ の順に移動して、イベント ログ スクレイピングをオンにします。]イベント ログ スクレイピングを使用する場合は、すべてのデバイスで NTP が正しく構成されていることを確認します。イベント ログ スクレイピングにより、物理デバイスの IDFW が有効になります。仮想マシンではイベント ログ スクレイピングを使用できますが、ゲスト イントロスペクションはイベント ログ スクレイピングよりも優先されます。
  • [インベントリ] > [グループ] の順に移動し、[グループの追加] をクリックして、グループを作成します。このグループは、ファイアウォール ルールの送信元フィールドで使用されます。
  • 仮想マシン名の基準に基づいて、Web という名前の動的セキュリティ グループを作成します。
  • 2 つのファイアウォール ルールを作成します。1 つはユーザーのグループから宛先へのトラフィックを許可し、もう 1 つは同じ宛先への他のすべてのユーザーをブロックします。次の例では、IDFW ルールという名前の最初のルールには、送信元として NSX グループがあり、ユーザーがログインする JS-Physical にファイアウォール ルールが適用されています。IDFW ユーザー コンテキストは送信元で処理されるため、このファイアウォール ルールはグループ Web のメンバーに適用されません。次の 2 番目のファイアウォール ルールは、他のすべての送信元からのユーザーをドロップします。
    ルール名 送信元 宛先 サービス コンテキスト プロファイル 適用先 アクション
    IDFW ルール NSX Web HTTPS なし JS- Physical 許可
    すべてを拒否 任意 任意 なし なし JS- Physical ドロップ