분산 방화벽의 NSX 맬웨어 차단은 NSX GI(Guest Introspection) 프레임워크를 사용합니다. 게스트 끝점(VM)에서 맬웨어를 감지하고 방지하려면 NSX용으로 준비된 ESXi 호스트 클러스터에 NSX Distributed Malware Prevention 서비스를 배포해야 합니다.
- vCPU 4개
- 6 GB RAM
- 80GB 디스크 공간
NSX 4.0에서 분산 East-West 트래픽의 감지 및 차단은 Windows 게스트 끝점(VM)의 GI Thin Agent에서 추출한 WINDOWS PE(이식 가능한 실행 파일) 파일에 대해서만 지원합니다. 다른 파일 범주는 NSX Distributed Malware Prevention에서 지원되지 않습니다.
NSX 4.0.1.1부터는 분산 East-West 트래픽의 맬웨어 감지 및 차단이 Windows 및 Linux 게스트 끝점의 모든 파일 범주에 대해 지원됩니다. 지원되는 파일 범주 목록을 보려면 NSX 맬웨어 차단에 대해 지원되는 파일 범주 항목을 참조하십시오.
지원되는 최대 파일 크기 제한은 64MB입니다.
호스트 클러스터에 NSX Distributed Malware Prevention 서비스를 배포하기 전에 다음 섹션에 설명된 사전 요구 사항을 완료해야 합니다. 일부 사전 요구 사항이 이미 완료된 경우 이러한 사전 요구 사항을 건너뛰고 보류 중인 사전 요구 사항을 계속 진행합니다.
NSX에서 적절한 라이센스 추가
NSX 맬웨어 차단 기능을 사용하려면 NSX에서 적절한 라이센스를 사용해야 합니다. NSX 맬웨어 차단을 지원하는 라이센스에 대한 내용은 NSX IDS/IPS 및 NSX 맬웨어 차단의 시스템 요구 사항을 참조하십시오.
- NSX Manager에서 로 이동합니다.
- 라이센스 키를 입력합니다.
모든 호스트가 VMware vCenter에서 관리되는지 확인
NSX 맬웨어 차단 기능은 하나 이상의 vCenter Server에서 관리되는 vSphere 호스트 클러스터에서만 지원됩니다.
- NSX Manager에서 로 이동합니다.
- 관리자 드롭다운 메뉴에서 NSX 맬웨어 차단 SVM을 배포할 vSphere 호스트 클러스터를 관리하는 VMware vCenter를 선택합니다.
vSphere 호스트 클러스터 목록이 표시됩니다. 이 목록에 맬웨어 보호를 사용하도록 설정하려는 호스트 클러스터가 포함되어 있는지 확인합니다.
호스트를 전송 노드로 구성
vSphere 호스트 클러스터에 전송 노드 프로파일을 적용하여 vSphere 호스트를 호스트 전송 노드로 구성합니다.
SVM에 대한 SSH 액세스를 위한 공용-개인 키 쌍 생성
문제 해결을 위해 SVM에서 로그 파일을 다운로드하려면 NSX 맬웨어 차단 SVM에 대한 읽기 전용 SSH 액세스가 필요합니다.
SVM의 admin 사용자에 대한 SSH 액세스는 키를 기준으로 합니다(공용-개인 키 쌍). 공용 키는 ESXi 호스트 클러스터에 서비스를 배포할 때 필요하고 SVM에 대한 SSH 세션을 시작하려는 경우에는 개인 키가 필요합니다.
SSH 키 생성 도구를 사용하여 공용-개인 키 쌍을 생성할 수 있습니다. 그러나 공용 키는 다음 하위 섹션에 설명된 특정 형식을 준수해야 합니다. SSH 키 생성 도구의 예로는 ssh-keygen, PuTTY 키 생성기 등이 있습니다. 지원되는 키 크기는 1024비트, 2048비트 및 4096비트입니다.
- 공개 키 형식
-
공용 키는 다음 형식을 따라야 합니다.
예:
ssh-rsa A1b2C3d4E5+F6G7XxYyZzaB67896C4g5xY9+H65aBUyIZzMnJ7329y94t5c%6acD+oUT83iHTR870973TGReXpO67U= rsa-key-20121022
PuTTY 키 생성기를 사용하는 경우 공용 키가 UI에서 직접 복사되었는지 확인합니다. 키 쌍이 있는 경우 먼저 PuTTY 키 생성기 UI에서 개인 키 파일을 로드한 다음, 키 텍스트 상자에 표시된 공개 키를 복사합니다. 공용 키 파일에서 컨텐츠를 복사하지 마십시오. 복사된 컨텐츠는 다른 형식을 사용할 수 있으며 SVM에 대해 작동하지 않을 수 있습니다.
Linux 시스템에서 ssh-keygen 유틸리티를 사용하여 키 쌍을 생성하는 경우 키 형식에 따라 항상 공용 키에 ssh-rsa가 포함됩니다. 따라서 Linux 시스템에서는 공용 키 파일에서 컨텐츠를 복사할 수 있습니다.
- 권장 사례
-
NSX Distributed Malware Prevention 서비스 배포는 호스트 클러스터 수준에서 수행됩니다. 따라서 키 쌍은 호스트 클러스터에 연결됩니다. 각 클러스터에서 서비스 배포를 위한 새로운 공용-개인 키 쌍을 생성하거나 모든 클러스터의 서비스 배포에 단일 키 쌍을 사용할 수 있습니다.
각 클러스터의 서비스 배포에 다른 공용-개인 키 쌍을 사용하려는 경우 쉽게 식별할 수 있도록 키 쌍의 이름이 올바르게 지정되어 있는지 확인합니다.
좋은 방법은 "계산 클러스터 ID"로 각 서비스 배포를 식별하고 키 쌍의 이름에 클러스터 ID를 지정하는 것입니다. 예를 들어 클러스터 ID가 "1234-abcd"라고 가정해 보겠습니다. 이 클러스터의 경우 서비스 배포 이름을 "MPS-1234-abcd"로 지정하고 이 서비스 배포에 액세스하기 위한 키 쌍 이름을 "id_rsa_1234_abcd.pem"으로 지정할 수 있습니다. 이렇게 하면 각 서비스 배포에 대해 키를 손쉽게 유지 보수하고 연결할 수 있습니다.
중요: 개인 키를 안전하게 저장합니다. 개인 키가 손실되면 NSX 맬웨어 차단 SVM에 대한 SSH 액세스 권한도 손실될 수 있습니다.
NSX Application Platform 배포
NSX Application Platform은 네트워크 트래픽 데이터를 수집, 수집 및 상호 연관짓는 여러 NSX 기능을 호스팅하는 최신 마이크로 서비스 플랫폼입니다.
플랫폼 배포에 대한 자세한 지침은 https://docs.vmware.com/kr/VMware-NSX/index.html에서 "VMware NSX Application Platform 배포 및 관리" 게시물을 참조하십시오. 이 링크의 왼쪽 탐색 창에서 버전 4.0 이상을 확장한 다음, 게시 이름을 클릭합니다.
NSX 맬웨어 차단 기능 활성화
자세한 지침은 NSX 맬웨어 차단 활성화 항목을 참조하십시오.
이 기능이 활성화되면 NSX 맬웨어 차단에 필요한 마이크로 서비스가 NSX Application Platform에서 실행되기 시작합니다.
- NSX Manager에서 으로 이동합니다.
- 기능 섹션이 표시될 때까지 페이지 아래로 스크롤합니다.
- NSX 맬웨어 차단 기능 카드에 상태가 실행 중으로 표시되는지 확인합니다.
상태가 종료이면 상태가 실행 중으로 변경될 때까지 기다린 후 다음 단계를 계속 진행합니다.
게스트 VM에서 VM 하드웨어 구성 확인
- vSphere Client에 로그인합니다.
- 호스트 및 클러스터로 이동한 후 클러스터로 이동합니다.
- 클러스터의 VM을 한 번에 하나씩 클릭합니다.
- 요약 페이지에서 VM 하드웨어 창을 확장하고 VM의 호환성 정보를 관찰합니다. VM 버전 번호는 9 이상이어야 합니다.
NSX 파일 검사 드라이버 설치
NSX 파일 검사 드라이버가 Windows용 VMware Tools에 포함되어 있습니다. 그러나 이 드라이버는 기본 VMware Tools 설치의 일부가 아닙니다. 이 드라이버를 설치하려면 사용자 지정 또는 전체 설치를 수행하고 NSX 파일 검사 드라이버를 선택해야 합니다.
Linux용 파일 검사 드라이버는 OSP(운영 체제별 패키지)의 일부로 사용할 수 있습니다. 패키지는 VMware 패키지 포털에서 호스팅됩니다. 엔터프라이즈 또는 보안 관리자(비 NSX 관리자)는 NSX 외부의 게스트 VM에 Guest Introspection Thin Agent를 설치할 수 있습니다. Linux의 경우 open-vm-tools 또는 VM Tools를 설치할 필요가 없습니다.
NSX 맬웨어 차단 서비스 가상 시스템의 OVA 파일 다운로드
- 웹 브라우저에서 VMware Customer Connect 포털의 모든 다운로드 페이지를 열고 VMware ID로 로그인합니다.
- 모든 제품 드롭다운 메뉴에서 네트워킹 및 보안을 선택합니다.
- VMware NSX® 옆에 있는 제품 다운로드를 클릭합니다. VMware NSX 다운로드 페이지가 열립니다.
- 사용 중인 NSX 라이센스를 찾은 다음, 다운로드로 이동을 클릭합니다.
- NSX SVM 장치(VMware-NSX-Malware-Prevention-appliance-version_number.build_number.ova)의 OVA 파일을 다운로드합니다.
- 다음 명령을 사용하여 OVA 파일을 추출합니다.
tar -xvf filename.ova
filename을 이전 단계에서 다운로드한 OVA 파일의 정확한 이름으로 바꿉니다.
OVA 파일이 추출된 루트 디렉토리에서 다음 4개의 파일을 사용할 수 있는지 확인합니다.
- OVF 파일(.ovf)
- 매니페스트 파일(.mf)
- 인증서 파일(.cert)
- 가상 시스템 디스크 파일(.vmdk)
- 추출된 모든 파일을 다음 사전 요구 사항을 충족하는 웹 서버에 복사합니다.
- 웹 서버에는 HTTP를 통한 인증되지 않은 액세스 권한이 있어야 합니다.
- 웹 서버는 NSX Manager, NSX 맬웨어 차단 SVM을 배포할 모든 ESXi 호스트 및 NSX에 등록된 VMware vCenter에 액세스할 수 있어야 합니다.
- 추출된 파일의 MIME 유형을 웹 서버에 추가해야 합니다. 웹 서버에 MIME 유형을 추가하는 방법에 대한 자세한 내용은 웹 서버 설명서를 참조하십시오.
파일 확장명 MIME 유형 .ovf
application/vmware
.vmdk
application/octet-stream
.mf
text/cache-manifest
.cert
application/x-x509-user-cert
NSX Distributed Malware Prevention 서비스 등록
POST https://{nsx-manager-ip}/napp/api/v1/malware-prevention/svm-spec
- 웹 서버의 OVF 파일에 대한 전체 경로
- 배포 규격의 이름(SVM은 VMware vCenter에서 이 이름으로 식별됨)
- SVM 버전 번호
{ "ovf_url" : "http://{webserver-ip}/{path-to-ovf-file}/{filename}.ovf", "deployment_spec_name" : "NSX_Distributed_MPS", "svm_version" : "3.2" }
이 POST API의 svm_version 매개 변수는 샘플 값을 표시합니다. 다운로드한 SVM 장치 버전의 값을 지정할 수 있습니다.
예답 예제를 포함하여 이 API에 대한 자세한 내용은 VMware 개발자 설명서 포털에서 맬웨어 차단 API 설명서를 참조하십시오.
- NSX Manager에서 로 이동합니다.
- VMware NSX 분산 맬웨어 차단 서비스가 페이지에 표시되는지 확인합니다.