분산 방화벽의 NSX 맬웨어 차단은 NSX GI(Guest Introspection) 프레임워크를 사용합니다. Windows 게스트 끝점(VM)에서 맬웨어를 감지하고 방지하려면 NSX용으로 준비한 ESXi 호스트 클러스터에 NSX Distributed Malware Prevention 서비스를 배포해야 합니다.

호스트 클러스터에 서비스를 배포하면 NSX 맬웨어 차단 SVM(서비스 가상 시스템)의 인스턴스가 클러스터의 각 호스트에 배포됩니다. 현재 고정된 크기의 SVM이 배포되어 있으며 클러스터의 각 호스트에 다음 리소스가 필요합니다.
  • vCPU 4개
  • 6 GB RAM
  • 80GB 디스크 공간
참고: 분산 East-West 트래픽에서 맬웨어 감지 및 방지는 워크로드 VM(끝점)의 GI Thin Agent에서 추출된 Windows PE(Portable Executable) 파일에 대해서만 지원됩니다. 다른 파일 범주는 현재 NSX Distributed Malware Prevention에서 지원되지 않습니다. 지원되는 최대 파일 크기 제한은 64MB입니다.

호스트 클러스터에 NSX Distributed Malware Prevention 서비스를 배포하기 전에 다음 섹션에 설명된 사전 요구 사항을 완료해야 합니다. 일부 사전 요구 사항이 이미 완료된 경우 이러한 사전 요구 사항을 건너뛰고 보류 중인 사전 요구 사항을 계속 진행합니다.

NSX-T Data Center에서 적절한 라이센스 추가

NSX 맬웨어 차단 기능을 사용하려면 NSX-T Data Center에서 적절한 라이센스를 사용해야 합니다. NSX 맬웨어 차단을 지원하는 라이센스에 대한 내용은 NSX IDS/IPS 및 NSX 맬웨어 차단의 시스템 요구 사항을 참조하십시오.

라이센스를 추가하려면 다음을 수행합니다.
  1. NSX Manager에서 시스템 > 라이센스 > 라이센스 추가로 이동합니다.
  2. 라이센스 키를 입력합니다.

모든 호스트가 vCenter Server에서 관리되는지 확인

NSX 맬웨어 차단 기능은 하나 이상의 vCenter Server에서 관리되는 vSphere 호스트 클러스터에서만 지원됩니다.

호스트가 vCenter Server를 통해 관리되는지 확인하려면 다음 표에 설명된 단계를 따릅니다.

NSX-T Data Center 버전 절차

3.2.2
  1. NSX Manager에서 시스템 > 패브릭 > 호스트로 이동합니다.
  2. 클러스터 > 클러스터 노드 탭에 있는지 확인합니다.

    vSphere 호스트 클러스터 목록이 표시됩니다. 이 목록에 맬웨어 보호를 사용하도록 설정하려는 호스트 클러스터가 포함되어 있는지 확인합니다.

3.2.1 또는 이전 버전
  1. NSX Manager에서 시스템 > 패브릭 > 노드 > 호스트 전송 노드로 이동합니다.
  2. 관리자 드롭다운 메뉴에서 NSX 맬웨어 차단 SVM을 배포할 vSphere 호스트 클러스터를 관리하는 vCenter Server를 선택합니다.

    vSphere 호스트 클러스터 목록이 표시됩니다. 이 목록에 맬웨어 보호를 사용하도록 설정하려는 호스트 클러스터가 포함되어 있는지 확인합니다.

호스트를 전송 노드로 구성

vSphere 호스트 클러스터에 전송 노드 프로파일을 적용하여 vSphere 호스트를 호스트 전송 노드로 구성합니다.

자세한 지침은 " NSX-T Data Center 설치 가이드" 의 다음 항목을 참조하십시오.

SVM에 대한 SSH 액세스를 위한 공용-개인 키 쌍 생성

문제 해결을 위해 SVM에서 로그 파일을 다운로드하려면 NSX 맬웨어 차단 SVM에 대한 읽기 전용 SSH 액세스가 필요합니다.

SVM의 admin 사용자에 대한 SSH 액세스는 키를 기준으로 합니다(공용-개인 키 쌍). 공용 키는 ESXi 호스트 클러스터에 서비스를 배포할 때 필요하고 SVM에 대한 SSH 세션을 시작하려는 경우에는 개인 키가 필요합니다.

SSH 키 생성 도구를 사용하여 공용-개인 키 쌍을 생성할 수 있습니다. 그러나 공용 키는 다음 하위 섹션에 설명된 특정 형식을 준수해야 합니다. SSH 키 생성 도구의 예로는 ssh-keygen, PuTTY 키 생성기 등이 있습니다. 지원되는 키 크기는 1024비트, 2048비트 및 4096비트입니다.

공개 키 형식
공용 키는 다음 형식을 따라야 합니다.
예: 
ssh-rsa A1b2C3d4E5+F6G7XxYyZzaB67896C4g5xY9+H65aBUyIZzMnJ7329y94t5c%6acD+oUT83iHTR870973TGReXpO67U= rsa-key-20121022

PuTTY 키 생성기를 사용하는 경우 공용 키가 UI에서 직접 복사되었는지 확인합니다. 키 쌍이 있는 경우 먼저 PuTTY 키 생성기 UI에서 개인 키 파일을 로드한 다음, 텍스트 상자에 표시된 공개 키를 복사합니다. 공용 키 파일에서 컨텐츠를 복사하지 마십시오. 복사된 컨텐츠는 다른 형식을 사용할 수 있으며 SVM에 대해 작동하지 않을 수 있습니다.

Linux 시스템에서 ssh-keygen 유틸리티를 사용하여 키 쌍을 생성하는 경우 키 형식에 따라 항상 공용 키에 ssh-rsa가 포함됩니다. 따라서 Linux 시스템에서는 공용 키 파일에서 컨텐츠를 복사할 수 있습니다.

권장 사례

NSX Distributed Malware Prevention 서비스 배포는 호스트 클러스터 수준에서 수행됩니다. 따라서 키 쌍은 호스트 클러스터에 연결됩니다. 각 클러스터에서 서비스 배포를 위한 새로운 공용-개인 키 쌍을 생성하거나 모든 클러스터의 서비스 배포에 단일 키 쌍을 사용할 수 있습니다.

각 클러스터의 서비스 배포에 다른 공용-개인 키 쌍을 사용하려는 경우 쉽게 식별할 수 있도록 키 쌍의 이름이 올바르게 지정되어 있는지 확인합니다.

좋은 방법은 "계산 클러스터 ID"로 각 서비스 배포를 식별하고 키 쌍의 이름에 클러스터 ID를 지정하는 것입니다. 예를 들어 클러스터 ID가 "1234-abcd"라고 가정해 보겠습니다. 이 클러스터의 경우 서비스 배포 이름을 "MPS-1234-abcd"로 지정하고 이 서비스 배포에 액세스하기 위한 키 쌍 이름을 "id_rsa_1234_abcd.pem"으로 지정할 수 있습니다. 이렇게 하면 각 서비스 배포에 대해 키를 손쉽게 유지 보수하고 연결할 수 있습니다.

중요: 개인 키를 안전하게 저장합니다. 개인 키가 손실되면 NSX 맬웨어 차단 SVM에 대한 SSH 액세스 권한도 손실될 수 있습니다.

NSX Application Platform 배포

NSX Application Platform은 네트워크 트래픽 데이터를 수집, 수집 및 상호 연관짓는 여러 NSX 기능을 호스팅하는 최신 마이크로 서비스 플랫폼입니다.

플랫폼 배포에 대한 자세한 지침은 https://docs.vmware.com/kr/VMware-NSX-T-Data-Center/index.html에서 "VMware NSX Application Platform 배포 및 관리" 게시물을 참조하십시오. 이 링크의 왼쪽 탐색 창에서 버전 3.2 이상을 확장한 다음, 게시 이름을 클릭합니다.

NSX 맬웨어 차단 기능 활성화

자세한 지침은 NSX 맬웨어 차단 활성화 항목을 참조하십시오.

이 기능이 활성화되면 NSX 맬웨어 차단에 필요한 마이크로 서비스가 NSX Application Platform에서 실행되기 시작합니다.

다음 단계를 진행하기 전에 NSX Application Platform에서 NSX 맬웨어 차단 기능의 상태를 확인합니다. 다음 단계를 수행합니다.
  1. NSX Manager에서 시스템 > NSX Application Platform으로 이동합니다.
  2. 기능 섹션이 표시될 때까지 페이지 아래로 스크롤합니다.
  3. NSX 맬웨어 차단 기능 카드에 상태실행 중으로 표시되는지 확인합니다.

상태가 종료이면 상태가 실행 중으로 변경될 때까지 기다린 후 다음 단계를 계속 진행합니다.

게스트 VM에서 VM 하드웨어 구성 확인

Windows 게스트 VM에서 VM 하드웨어 구성 버전 9 이상이 실행되고 있는지 확인합니다. 다음 단계를 수행합니다.
  1. vSphere Client에 로그인합니다.
  2. 호스트 및 클러스터로 이동한 후 클러스터로 이동합니다.
  3. 클러스터의 VM을 한 번에 하나씩 클릭합니다.
  4. 요약 페이지에서 VM 하드웨어 창을 확장하고 VM의 호환성 정보를 관찰합니다. VM 버전 번호는 9 이상이어야 합니다.
예:
호환성 정보가 강조 표시된 VM 하드웨어 창

NSX 파일 자체 검사 드라이버 설치

NSX 파일 검사 드라이버가 Windows용 VMware Tools에 포함되어 있습니다. 그러나 이 드라이버는 기본 VMware Tools 설치의 일부가 아닙니다. 이 드라이버를 설치하려면 사용자 지정 또는 전체 설치를 수행하고 NSX 파일 검사 드라이버를 선택해야 합니다.

자세한 지침은 Windows 가상 시스템에서 Guest Introspection Thin Agent 설치 항목을 참조하십시오.

NSX 맬웨어 차단 서비스 가상 시스템의 OVA 파일 다운로드

  1. 웹 브라우저에서 VMware NSX-T Data Center™ 다운로드 페이지를 열고 VMware ID로 로그인합니다.
  2. OVA 파일을 다운로드합니다. (VMware-NSX-Malware-Prevention-appliance-3.2.0.0-build_namber.ova)
  3. 다음 명령을 사용하여 OVA 파일을 추출합니다.
    tar -xvf filename.ova

    filename을 이전 단계에서 다운로드한 OVA 파일의 정확한 이름으로 바꿉니다.

    OVA 파일이 추출된 루트 디렉토리에서 다음 4개의 파일을 사용할 수 있는지 확인합니다.

    • OVF 파일(.ovf)
    • 매니페스트 파일(.mf)
    • 인증서 파일(.cert)
    • 가상 시스템 디스크 파일(.vmdk)
  4. 추출된 모든 파일을 다음 사전 요구 사항을 충족하는 웹 서버에 복사합니다.
    • 웹 서버에는 HTTP를 통한 인증되지 않은 액세스 권한이 있어야 합니다.
    • 웹 서버는 NSX Manager, NSX 맬웨어 차단 SVM을 배포할 모든 ESXi 호스트 및 NSX-T에 등록된 vCenter Server에 액세스할 수 있어야 합니다.
    • 추출된 파일의 MIME 유형을 웹 서버에 추가해야 합니다. 웹 서버에 MIME 유형을 추가하는 방법에 대한 자세한 내용은 웹 서버 설명서를 참조하십시오.
      파일 확장명 MIME 유형

      .ovf

      application/vmware

      .vmdk

      application/octet-stream

      .mf

      text/cache-manifest

      .cert

      application/x-x509-user-cert
참고: NSX Manager 장치, ESXi 호스트 및 vCenter Server 장치가 배포된 동일한 네트워크에 웹 서버를 배포할 수 있습니다. 웹 서버에는 인터넷 액세스가 필요하지 않습니다.

NSX Distributed Malware Prevention 서비스 등록

다음 POST API를 실행합니다. 
POST https://{nsx-manager-ip}/napp/api/v1/malware-prevention/svm-spec
이 POST API의 요청 본문에서 다음 세부 정보를 지정합니다.
  • 웹 서버의 OVF 파일에 대한 전체 경로
  • 배포 규격의 이름(SVM은 vCenter Server에서 이 이름으로 식별됨)
  • SVM 버전 번호
요청 본문 예: 
{
    "ovf_url" : "http://{webserver-ip}/{path-to-ovf-file}/{filename}.ovf",
    "deployment_spec_name" : "NSX_Distributed_MPS",
    "svm_version" : "3.2"
}

예답 예제를 포함하여 이 API에 대한 자세한 내용은 VMware 개발자 설명서 포털에서 맬웨어 차단 API 설명서를 참조하십시오.

서비스 이름이 카탈로그 페이지에 나열되는지 확인합니다. 다음 단계를 수행합니다.
  1. NSX Manager에서 시스템 > 서비스 배포 > 카탈로그로 이동합니다.
  2. VMware NSX 분산 맬웨어 차단 서비스가 페이지에 표시되는지 확인합니다.