보안 정책은 Security Group에 적용할 수 있는 Guest Introspection, 방화벽 및 네트워크 검사 서비스의 집합입니다. 보안 정책이 표시되는 순서는 정책과 연결된 가중치에 의해 결정됩니다. 기본적으로 새 정책은 테이블의 맨 위에 나타나도록 가장 높은 가중치가 할당됩니다. 하지만 기본 제안 가중치를 수정하여 새 정책에 할당된 순서를 변경할 수 있습니다.

시작하기 전에

다음 사항을 충족하는지 확인하십시오.

  • Distributed Firewall, Data Security 및 Guest Introspection과 같은 필수 VMware 기본 제공 서비스가 설치되어 있습니다.

  • 필수 파트너 서비스가 NSX Manager에 등록되어 있습니다.

  • Service Composer 방화벽 규칙에 대해 원하는 기본값이 설정되어 있습니다. Service Composer 방화벽 적용 대상 설정 편집를 참조하십시오.

프로시저

  1. vSphere Web Client에 로그인합니다.
  2. 네트워킹 및 보안(Networking & Security)을 클릭한 후 Service Composer를 클릭합니다.
  3. 보안 정책(Security Policies) 탭을 클릭합니다.
  4. 보안 정책 생성(Create Security Policy)(추가) 아이콘을 클릭합니다.
  5. 보안 정책 추가 대화상자에서 보안 정책의 이름을 입력합니다.
  6. 보안 정책에 대한 설명을 입력합니다.

    NSX는 정책에 기본 가중치(가장 높은 가중치 + 1000)를 할당합니다. 예를 들어 기존 정책 중 가장 높은 가중치가 1200이면 새 정책에는 2200의 가중치가 할당됩니다.

    보안 정책은 해당 가중치에 따라 적용됩니다. 즉, 가중치가 높은 정책이 가중치가 낮은 정책보다 우선 적용됩니다.

  7. 생성 중인 정책이 다른 보안 정책에서 서비스를 받도록 하려면 지정된 정책에서 보안 정책 상속(Inherit security policy from specified policy)을 선택합니다. 상위 정책을 선택합니다.

    상위 정책의 모든 서비스가 새 정책에 상속됩니다.

  8. 다음(Next)을 클릭합니다.
  9. [Guest Introspection 서비스] 페이지에서 Guest Introspection 서비스 추가(Add Guest Introspection Service)(추가 아이콘) 아이콘을 클릭합니다.
    1. [Guest Introspection 서비스 추가] 대화상자에서 서비스의 이름과 설명을 입력합니다.
    2. 서비스를 적용할지 또는 차단할지 여부를 지정합니다.

      보안 정책을 상속할 때는 상위 정책의 서비스를 차단하도록 선택할 수 있습니다.

      서비스를 적용할 경우 서비스 및 서비스 프로파일을 선택해야 합니다. 서비스를 차단할 경우 차단할 서비스 유형을 선택해야 합니다.

    3. 서비스 차단을 선택한 경우 서비스 유형을 선택합니다.

      Data Security를 선택한 경우 데이터 보안 정책이 있어야 합니다. Data Security를 참조하십시오.

    4. Guest Introspection 서비스 적용을 선택한 경우 에서 서비스 이름을 선택합니다.

      선택한 서비스의 기본 서비스 프로파일이 표시되고, 여기에는 연결된 벤더 템플릿에서 지원하는 서비스 기능 유형에 대한 정보가 포함됩니다.

    5. 상태(State)에서는 선택한 Guest Introspection서비스를 사용하도록 설정할지 여부를 지정합니다.

      Guest Introspection 서비스를 나중에 사용하도록 설정할 서비스에 대한 자리 표시자로 추가할 수 있습니다. 이 방법은 필요에 따라 서비스를 적용해야 하는 경우(예: 새 애플리케이션)에 특히 유용합니다.

    6. Guest Introspection 서비스를 강제 적용(즉, 재정의할 수 없음)할지 여부를 선택합니다. 선택한 서비스 프로파일에서 여러 서비스 기능 유형을 지원할 경우 기본적으로 강제 적용(Enforce)으로 설정되어 있고 변경할 수 없습니다.

      보안 정책에서 Guest Introspection 서비스를 강제 적용하는 경우 이 보안 정책을 상속하는 다른 정책에서는 나머지 하위 정책보다 먼저 이 정책을 적용해야 합니다. 이 서비스를 강제 적용하지 않으면 상속 선택에서 하위 정책이 적용된 후에 상위 정책이 추가됩니다.

    7. 확인(OK)을 클릭합니다.

    위의 단계를 수행하여 다른 Guest Introspection 서비스를 추가할 수 있습니다. 서비스 테이블 위의 아이콘을 통해 Guest Introspection 서비스를 관리할 수 있습니다.

    [Guest Introspection 서비스] 페이지의 오른쪽 아래에 있는 내보내기 아이콘을 클릭하여 이 페이지의 서비스를 내보내거나 복사할 수 있습니다.

  10. 다음(Next)을 클릭합니다.
  11. [방화벽] 페이지에서 방화벽 규칙 추가(Add Firewall Rule)(추가 아이콘) 아이콘을 클릭합니다.

    여기에서는 이 보안 정책이 적용될 Security Group에 대한 방화벽 규칙을 정의합니다.

    1. 추가 중인 방화벽 규칙에 대한 이름과 설명을 입력합니다.
    2. 허용(Allow) 또는 차단(Block)을 선택하여 규칙이 선택된 대상으로의 트래픽을 허용할지 아니면 차단할지를 지정합니다.
    3. 규칙의 소스를 선택합니다. 기본적으로 규칙은 이 정책이 적용되는 Security Group에서 오는 트래픽에 적용됩니다. 기본 소스를 변경하려면 변경(Change)을 클릭하고 적절한 Security Group을 선택합니다.
    4. 규칙의 대상을 선택합니다.
      참고:

      소스 또는 대상(또는 둘 모두)은 이 정책이 적용되는 Security Group이어야 합니다.

      기본 소스가 있는 규칙을 생성하고 대상을 Payroll로 지정하고 대상 부정(Negate Destination)을 선택했다고 가정하겠습니다. 그런 다음 이 보안 정책을 Security Group Engineering에 적용합니다. 이렇게 하면 Engineering은 Payroll 서버를 제외한 모든 항목에 액세스할 수 있습니다.

    5. 규칙이 적용될 서비스 및/또는 서비스 그룹을 선택합니다.
    6. 사용(Enabled) 또는 사용 안 함(Disabled)을 선택하여 규칙 상태를 지정합니다.
    7. 이 규칙과 일치하는 세션을 로깅하려면 로그(Log)를 선택합니다.

      로깅을 사용하도록 설정하면 성능에 영향을 줄 수 있습니다.

    8. 확인(OK)을 클릭합니다.

    위의 단계를 수행하여 다른 방화벽 규칙을 추가할 수 있습니다. 방화벽 테이블 위의 아이콘을 통해 방화벽 규칙을 관리할 수 있습니다.

    [방화벽] 페이지 오른쪽 아래에 있는 내보내기 아이콘을 클릭하여 이 페이지의 규칙을 내보내거나 복사할 수 있습니다.

    여기에서 추가하는 방화벽 규칙은 방화벽 테이블에 표시됩니다. 방화벽 테이블에서 Service Composer 규칙은 편집하지 않는 것이 좋습니다. 긴급 문제 해결을 위해 편집해야 하는 경우에는 보안 정책 탭의 작업(Actions) 메뉴에서 방화벽 규칙 동기화(Synchronize Firewall Rules)를 선택하여 Service Composer 규칙을 방화벽 규칙과 다시 동기화해야 합니다.

  12. 다음(Next)을 클릭합니다.

    [네트워크 검사 서비스] 페이지에는 VMware 가상 환경에 통합된 NetX 서비스가 표시됩니다.

  13. 네트워크 검사 서비스 추가(Add Network Introspection Service)(추가 아이콘) 아이콘을 클릭합니다.
    1. [네트워크 검사 서비스 추가] 대화상자에서 추가할 서비스의 이름과 설명을 입력합니다.
    2. 서비스로 리디렉션할지 여부를 선택합니다.
    3. 서비스 이름과 프로파일을 선택합니다.
    4. 소스와 대상을 선택합니다.
    5. 추가할 네트워크 서비스를 선택합니다.

      선택한 서비스를 기반으로 추가 항목을 선택할 수 있습니다.

    6. 서비스를 사용하도록 설정할지 여부를 선택합니다.
    7. 이 규칙과 일치하는 세션을 로깅하려면 로그를 선택합니다.
    8. 확인(OK)을 클릭합니다.

    위의 단계를 수행하여 다른 네트워크 검사 서비스를 추가할 수 있습니다. 서비스 테이블 위의 아이콘을 통해 네트워크 검사 서비스를 관리할 수 있습니다.

    [네트워크 검사 서비스] 페이지의 오른쪽 아래에 있는 내보내기 아이콘을 클릭하여 이 페이지의 서비스를 내보내거나 복사할 수 있습니다.

    참고:

    Service Composer 정책에서 사용된 서비스 프로파일에 대해 수동으로 생성된 바인딩을 덮어씁니다.

  14. 완료(Finish)를 클릭합니다.

    보안 정책이 정책 테이블에 추가됩니다. 정책 이름을 클릭하고 적절한 탭을 선택하면 정책과 연결된 서비스의 요약을 보거나 서비스 오류를 보거나 서비스를 편집할 수 있습니다.

다음에 수행할 작업

보안 정책을 Security Group에 매핑합니다.