Identity Firewall (IDFW) 機能を使用すると、NSX 管理者は Active Directory ユーザーベースの分散ファイアウォール (DFW) ルールを作成できます。

IDFW は、仮想デスクトップ (VDI)、リモート デスクトップ セッション(RDSH サポート)、物理マシンで使用できます。複数のユーザーによる同時ログインや、要件に基づくアプリケーションへのユーザー アクセスを可能にし、独立したユーザー環境を維持できます。VDI 管理システムは、VDI 仮想マシンへのアクセス権を付与するユーザーを制御します。NSX は、送信元の仮想マシン (VM) から宛先サーバへのアクセスを制御します。ここでは IDFW が有効になっています。RDSH を使用して、管理者は Active Directory (AD) 内のさまざまなユーザーを含むセキュリティ グループを作成し、そのユーザーのロールに基づいてアプリケーション サーバへのアクセスを許可または拒否します。たとえば、人事およびエンジニアリングは同じ RDSH サーバに接続し、このサーバから異なるアプリケーションにアクセスできます。

ファイアウォール ルールを適用するため、Active Directory (AD) ユーザーがログインするデスクトップを IDFW が識別できるようにする必要があります。IDFW がログイン検出に使用する方法には、ゲスト イントロスペクション (GI) とイベント ログ スクレイピングの 2 つがあります。ゲスト イントロスペクションは、IDFW 仮想マシンを実行する ESXi クラスタに展開します。ネットワーク イベントがユーザーによって生成されると、仮想マシンにインストールされたゲスト エージェントは、ゲスト イントロスペクション フレームワークを介して NSX Manager に情報を転送します。第 2 のオプションは、Active Directory イベント ログ スクレイパです。イベント ログ スクレイピングにより、物理デバイスの IDFW が有効になります。NSX Manager で、Active Directory ドメイン コントローラのインスタンスにポイントするように Active Directory イベント ログ スクレイパを構成します。これにより、NSX Manager は Active Directory セキュリティ イベント ログからイベントを取得できるようになります。

仮想マシンでイベント ログ スクレイピングを使用できますが、Active Directory ログ スクレイパとゲスト イントロスペクションの両方を使用すると、ゲスト イントロスペクションがイベント ログ スクレイピングよりも優先されます。ゲスト イントロスペクションは VMware Tools を使用して有効になります。完全なVMware Tools インストールと IDFW を使用している場合、ゲスト イントロスペクションはイベント ログ スクレイピングよりも優先されます。

IDFW は、サポート対象のオペレーティング システムが実行されている仮想マシンでも使用できます。「Identity Firewall でサポートされる構成」を参照してください。

IDFW は、ファイアウォール ルールでのみ、送信元でユーザー ID を処理します。ユーザー ID が処理される送信元で送信されたトラフィックのみが IDFW ルールの対象となります。ID ベースのグループは、分散ファイアウォール ルールとゲートウェイ ファイアウォール ルールの宛先として使用できません。

注: IDFW は、ゲスト OS のセキュリティと整合性に依存します。悪意のあるローカル管理者がファイアウォール ルールを回避するために ID を偽装する方法は 1 つではありません。ユーザー ID 情報は、ゲスト仮想マシン内の NSX ゲスト イントロスペクション シン エージェントによって提供されます。セキュリティ管理者は、シン エージェントが各ゲスト仮想マシンにインストールされ、実行されていることを確認する必要があります。ログイン ユーザーには、エージェントの削除または停止を行う権限を付与してはなりません。

ID ベースのファイアウォール ルールは、Active Directory (AD) グループのメンバーシップによって決定されます。IDFW ルールを機能させるために、Active Directory ユーザーを含む OU と、そのユーザーが存在する Active Directory グループを含む OU の両方を、[同期する部門名] に追加する必要があります。サポートされている IDFW 構成およびプロトコルについては、「Identity Firewall でサポートされる構成」を参照してください。

フェデレーション環境のグローバル マネージャでは、IDFW ルールはサポートされません。ローカル マネージャで IDFW ルールを作成することで、フェデレーション サイトのローカルで IDFW を使用できます。

IDFW ポリシー グループと DFW ルールの一致ロジック

IDFW ポリシー グループには、次の 2 種類があります。
  • ポリシー グループのメンバーとして Active Directory グループのみを持つ同種のグループ。
  • 仮想マシンや IP アドレスなど、Active Directory グループに加えて他のメンバーが存在する可能性がある異種グループ。
同種の ID グループに基づくセキュリティ ルールは、Active Directory グループ メンバーの 1 つに属する Active Directory ユーザーがログインするすべての NSX によってバッキングされた仮想マシンにルールを適用します。異種の ID グループを使用する場合、その根拠は、広く適用可能な送信元ではなく、IDFW セキュリティ ポリシーのより具体的で正確な送信元を作成できることです。送信元で異種の ID グループが使用されるセキュリティ ルールは、メンバー Active Directory グループに属する Active Directory ユーザーがログインするときに、ポリシー グループの一部である仮想マシンにのみ適用されます(静的に、または動的基準または IP アドレス/範囲割り当てを介して)。ルールは、グループのメンバーである仮想マシンとターゲットの Active Directory ユーザーがログインする仮想マシンとの交差(AND 演算)です。

異種 ID ポリシー グループの有効なメンバーは、次のロジックを使用して見つけることができます:[すべての非 Active Directory メンバーのユニオン セット] と [メンバー Active Directory グループに属する Active Directory ユーザーがログインする仮想マシンのセット] の AND 演算(すなわち交差)。

例 1 - 静的仮想マシン メンバーと Active Directory グループをメンバーとして使用する。
  • 目的:一部の仮想マシンを Active Directory グループと静的にペアリングする場合、Active Directory グループに属する Active Directory ユーザーがログインするときに、ポリシーを静的仮想マシン メンバーに適用することを目的とします。
  • 該当しない送信元の例:メンバー Active Directory グループの 1 つに属する Active Directory ユーザーがログインするが、ポリシー グループの静的メンバーではない仮想マシン。ポリシー グループの静的メンバーであるが、ログインしたユーザーがポリシー グループのメンバーではない Active Directory グループに属している仮想マシン。
例 2 - 仮想マシンの動的な名前ベースの基準と Active Directory グループをメンバーとして使用する。
  • 目的:特定の Active Directory ユーザーがログインするときに、名前が基準と一致する仮想マシンにのみセキュリティ ポリシーを適用します。
  • 該当しない送信元の例:Active Directory ユーザーがログインするが、名前の基準に一致しない仮想マシン。名前の基準が一致するが、ログインしたユーザーがメンバー Active Directory グループの 1 つに属していない仮想マシン。