エンドポイント保護ポリシーは、特定の順序で適用されます。ポリシーを設計する場合は、ルールに関連付けられたシーケンス番号、およびルールをホストしているドメインを考慮します。

シナリオ︰組織で実行されている多数のワークロードの中から、分かりやすく例示するため、2 種類のワークロードについて考えます。仮想デスクトップ インフラストラクチャ (VDI) を実行する仮想マシンのワークロードと、PCI-DSS(クレジットカード業界のセキュリティ基準)を実行する仮想マシンのワークロードです。組織内の従業員のセクションでは、リモート デスクトップにアクセスする必要があり、これによって仮想デスクトップ インフラストラクチャ (VDI) のワークロードが発生します。これらの VDI ワークロードには、組織によって設定されたコンプライアンス ルールに基づき、ゴールド レベルの保護ポリシーが必要になることがあります。一方、PCI-DSS ワークロードには、保護レベルが最も高い、プラチナ レベルの保護が必要です。

VDI ワークロードを保護するように構成されたコンプライアンス ポリシーを示す例。

PCI-DSS ワークロードを保護するポリシーを示す例。

2 つのワークロード タイプがあるため、VDI ワークロード用とサーバ ワークロード用にそれぞれ 1 つずつ、合計 2 つのポリシーを作成します。各ポリシーまたはセクション内でワークロード タイプが反映されるドメインを定義し、このセクション内で該当するワークロードのルールを定義します。ゲスト仮想マシンでゲスト イントロスペクション サービスを開始するためのルールを公開します。ゲスト イントロスペクションでは、実行するルールのシーケンス全体を特定するために、ポリシー シーケンス番号とルール シーケンス番号の 2 つのシーケンス番号を内部で使用します。各ルールは、保護する仮想マシンの判別、および仮想マシンを保護するために適用する必要がある保護ポリシーの判別という 2 つの目的に対応しています。

シーケンスの順序を変更するには、NSX Policy Manager のユーザー インターフェイスでルールをドラッグしてシーケンスの順序を変更します。API を使用して、ルールのシーケンス番号を明示的に割り当てることもできます。

または、NSX API 呼び出しを行って、仮想マシン グループにサービス プロファイルを関連付けることによってルールを手動で定義し、ルールのシーケンス番号を宣言します。API およびパラメータの詳細については、『 NSX API ガイド』を参照してください。サービス構成 API を呼び出して、仮想マシン グループなどのエンティティにプロファイルを適用します。

表 1. NSX API は、仮想マシン グループにサービス プロファイルを適用するルールを定義する際に使用されます。
API 詳細
サービス構成に関するすべての詳細を取得する。
GET /api/v1/service-configs

サービス構成 API は仮想マシン グループに適用されたサービス プロファイルの詳細、保護されている仮想マシン グループ、およびルールの優先順位を決定するシーケンス番号または優先順位番号を返します。

サービス構成を作成する。
POST /api/v1/service-configs

サービス構成 API はサービス プロファイル、保護する仮想マシン グループ、およびルールに適用する必要があるシーケンス番号または優先順位番号を入力パラメータとして使用します。

サービス構成を削除する。
DELETE /api/v1/service-configs/
<config-set-id>

サービス構成 API は、仮想マシン グループに適用された構成を削除します。

特定の構成の詳細を取得する。
GET /api/v1/service-configs/
<config-set-id>

特定の構成の詳細を取得します。

サービス構成を更新する。
PUT /api/v1/service-configs/
<config-set-id>

サービス構成を更新する。

有効なプロファイルを取得する。
GET /api/v1/service-configs/
effective-profiles?resource_id=<resource-id>
&resource_type=<resource-type>

サービス構成 API は特定の仮想マシン グループに適用されたプロファイルのみを返します。

次に示す推奨事項に基づき、ルールを効率的に管理します。

  • ルールを最初に実行する必要があるポリシーに、より大きなシーケンス番号を設定します。ユーザー インターフェイスでポリシーをドラッグし、優先順位を変更することができます。
  • 同様に、各ポリシー内のルールに、より大きなシーケンス番号を設定します。

  • 必要なルール数に応じて、2、3、4、または 10 の倍数の間隔でルールを配置できます。したがって、2 つの連続するルールの位置が 10 離れている場合は、すべてのルールのシーケンス順を変更しなくても、ルールの再シーケンス化をより柔軟に行うことができます。たとえば、多数のルールを定義する予定がない場合は、ルールの間隔を 10 にして配置することができます。このようにすると、ルール 1 はシーケンス番号 1、ルール 2 はシーケンス番号 10、ルール 3 はシーケンス番号 20 などのようになります。この推奨設定を行うと、ルールを効率敵に管理する上で柔軟性が高まり、すべてのルールを再シーケンス化する必要がなくなります。

内部的には、ゲスト イントロスペクションにより、これらのポリシー ルールは次の方法でシーケンス化されます。

Policy 1 ↔ Sequence Number 1 (1000)

 - Rule 1 : Group 1↔ Service Profile ↔ Sequence Number 1 (1001)

 - Rule 2 : Group 1↔ Service Profile ↔ Sequence Number 10 (1010)

 - Rule 3 : Group 1↔ Service Profile ↔ Sequence Number 20 (1020)

 - Rule 4 : Group 1↔ Service Profile ↔ Sequence Number 30 (1030)



Policy 2  ↔ Sequence Number 2 (2000)

 - Rule 1 : Group 1↔ Service Profile ↔ Sequence Number 1 (2001)

 - Rule 2 : Group 1↔ Service Profile ↔ Sequence Number 10 (2010)

 - Rule 3 : Group 1↔ Service Profile ↔ Sequence Number 20 (2020)

 - Rule 4 : Group 1↔ Service Profile ↔ Sequence Number 30 (2030)

上記のシーケンス番号に基づき、ポリシー 1 のルールを実行してから、ポリシー 2 のルールを実行します。

ただし、意図したルールが仮想マシン グループまたは仮想マシンに適用されない場合があります。必要なポリシー保護レベルを適用できるよう、これらの競合を解決する必要があります。