이 예에서 목표는 조직의 데이터베이스 서버 및 웹 서버를 실행하는 Windows 워크로드 VM에서 악의적인 Portable Executable 파일을 감지하고 방지하는 분산 맬웨어 차단 방화벽 규칙을 사용하여 보안 정책을 생성하는 것입니다.

NSX-T Data Center에서 NSX Distributed Malware Prevention 서비스를 사용하여 이러한 목표를 달성할 수 있습니다. 이 예에서는 태그를 기준으로 동적 멤버 자격 조건을 사용하여 데이터베이스 서버 및 웹 서버의 워크로드 VM을 그룹화합니다.

가정:

  • 워크로드 VM 그룹화에 필요한 태그는 다음과 같이 NSX-T 인벤토리에 이미 추가되었습니다.
    • 태그 이름: DB, 범위: 서버
    • 태그 이름: WEB, 범위: 서버
  • DB 태그는 VM1, VM2 및 VM3의 세 가지 데이터베이스 워크로드(Windows VM)에 할당됩니다.
  • WEB 태그는 VM4, VM5 및 VM6의 세 가지 애플리케이션 워크로드(Windows VM)에 할당됩니다.
  • 클라우드 파일 분석 옵션이 맬웨어 차단 프로파일에서 선택됩니다.

사전 요구 사항

NSX 맬웨어 차단 서비스 가상 시스템은 워크로드 VM이 실행되고 있는 vSphere 호스트 클러스터에 배포됩니다. 자세한 지침은 NSX Distributed Malware Prevention 서비스 배포 항목을 참조하십시오.

프로시저

  1. 브라우저의 https://nsx-manager-ip-address에서 NSX Manager에 로그인합니다.
  2. 데이터베이스 워크로드 VM과 애플리케이션 워크로드 VM을 두 개의 그룹으로 구성합니다.
    1. 인벤토리 > 그룹로 이동합니다.
    2. 그룹 추가를 클릭합니다.
    3. 다음 스크린샷과 같이 태그를 기준으로 동적 멤버 자격 조건을 사용하고 가상 시스템을 멤버로 사용하여 2개의 그룹을 생성합니다.

      - VM에 할당된 태그를 기준으로 하는 DB 서버 그룹에 대한 동적 기준입니다.

      - VM에 할당된 태그를 기준으로 하는 웹 서버 그룹에 대한 동적 기준입니다.
    4. 그룹 페이지에서 각 그룹에 대해 멤버 보기를 클릭하고 유효한 멤버가 표시되는지 확인합니다.
      그룹 이름 유효 멤버
      DB-Servers VM1, VM2, VM3
      Web-Servers VM4, VM5, VM6
  3. 보안 > IDS/IPS 및 맬웨어 차단 > 분산 규칙로 이동합니다.
  4. 정책 추가를 클릭하여 섹션을 생성하고 정책의 이름을 입력합니다.
    예를 들어 Malware-Prevention-Rules를 입력합니다.
  5. 규칙 추가를 클릭하고 규칙 설정을 구성합니다.
    1. 규칙의 이름을 입력합니다.
      예를 들어 Protect-DB-Web-Servers를 입력합니다.
    2. 소스, 대상서비스 열에서 [임의]를 유지합니다.
    3. 보안 프로파일 열에서 이 규칙에 사용할 맬웨어 차단 프로파일을 선택합니다.
    4. 적용 대상 열에서 이전에 생성한 DB-ServersWeb-Servers 그룹을 선택합니다.
    5. 모드 열에서 감지 및 방지를 선택합니다.
  6. 규칙을 게시합니다.

결과

규칙이 호스트로 푸시됩니다.

워크로드 VM에서 Windows PE(Portable Executable) 파일이 감지되면 파일 이벤트가 생성되어 맬웨어 차단 대시보드에 표시됩니다. 파일이 무해하면 파일이 워크로드 VM에 다운로드됩니다. 파일이 알려진 맬웨어이고(파일이 NSX-T의 알려진 맬웨어 파일 서명과 일치) 규칙에 감지 및 방지 모드가 지정된 경우 워크로드 VM에서 해당 악성 파일이 차단됩니다.

파일이 알 수 없는 맬웨어(제로데이 위협)이고 데이터 센터에서 처음으로 감지되면 워크로드 VM에 다운로드됩니다. NSX-T는 로컬 파일 분석 또는 클라우드 파일 분석을 사용하여 파일 결과가 악의적인 것으로 확인하면 해당 결과가 데이터 센터의 다른 ESXi 호스트 및 데이터 센터의 NSX Edge에 배포되며, NSX 맬웨어 차단을 위해 활성화됩니다. NSX 맬웨어 차단에서 보호되는 워크로드 VM에서 동일한 해시를 가진 파일이 다시 감지되면 보안 정책이 적용되고 해당 악성 파일이 워크로드 VM에서 차단됩니다.