IDFW(ID 방화벽) 기능을 사용하여 NSX 관리자는 Active Directory 사용자 기반 DFW(분산 방화벽) 규칙을 생성할 수 있습니다.

IDFW는 가상 데스크톱(VDI), 원격 데스크톱 세션(RDSH 지원) 및 물리적 시스템에 사용할 수 있기 때문에, 여러 사용자가 동시에 로그인이 가능하고 요구 사항을 기반으로 사용자 애플리케이션에 액세스할 수 있고 독립형 사용자 환경을 유지 보수할 수 있습니다. VDI 관리 시스템은 어떤 사용자가 VDI 가상 시스템에 대한 액세스 권한을 부여 받을지를 제어합니다. NSX는 IDFW가 사용하도록 설정된 소스 VM(가상 시스템)에서 대상 서버에 대한 액세스를 제어합니다. RDSH를 통해, 관리자는 AD(Active Directory)에서 여러 사용자가 포함된 보안 그룹을 생성하고 사용자가 자신의 역할을 기반으로 애플리케이션 서버에 액세스하는 것을 허용하거나 거부합니다. 예를 들어 인적 자원 및 엔지니어링은 동일한 RDSH 서버에 연결하여 해당 서버의 다른 애플리케이션에 액세스 할 수 있습니다.

IDFW는 AD(Active Directory) 사용자가 방화벽 규칙을 적용하기 위해 로그온하는 데스크톱을 알고 있어야 합니다. IDFW가 로그온 감지에 사용하는 방법에는 GI(Guest Introspection) 및/또는 이벤트 로그 스크래핑의 두 가지가 있습니다. Guest Introspection은 IDFW 가상 시스템이 실행되고 있는 ESXi 클러스터에 배포됩니다. 사용자가 네트워크 이벤트를 생성하면 VM에 설치된 게스트 에이전트는 Guest Introspection 프레임워크를 통해 NSX Manager로 정보를 전달합니다. 두 번째 옵션은 Active Directory 이벤트 로그 스크레이퍼입니다. 이벤트 로그 스크래핑을 통해 물리적 디바이스에 대해 IDFW를 사용하도록 설정할 수 있습니다. NSX Manager의 Active Directory 이벤트 로그 스크레이퍼가 Active Directory 도메인 컨트롤러의 인스턴스를 가리키도록 구성합니다. 그러면 NSX Manager는 AD 보안 이벤트 로그에서 이벤트를 추출합니다.

이벤트 로그 스크래핑은 가상 시스템에 사용할 수 있지만 AD 로그 스크레이퍼와 Guest Introspection을 모두 사용하면 Guest Introspection이 이벤트 로그 스크래핑보다 우선합니다. Guest Introspection은 VMware Tools를 통해 사용하도록 설정되며 전체 VMware Tools 설치 및 IDFW를 사용하는 경우 Guest Introspection이 이벤트 로그 스크래핑보다 우선합니다.

지원되는 운영 체제가 있는 VM에서 IDFW를 사용할 수도 있습니다. ID 방화벽 지원 구성 항목을 참조하십시오.

IDFW는 방화벽 규칙에서만 소스의 사용자 ID를 처리합니다. 사용자 ID가 처리되는 소스에서 시작되는 트래픽에만 IDFW 규칙이 적용됩니다. ID 기반 그룹은 방화벽 규칙에서 대상으로 사용할 수 없습니다.

참고: IDFW는 게스트 운영 체제의 보안 및 무결성에 의존합니다. 악의적인 로컬 관리자가 방화벽 규칙을 우회하기 위해 해당 ID를 스푸핑할 수 있는 여러 방법이 있습니다. 사용자 ID 정보는 게스트 VM 내부의 NSX Guest Introspection Thin Agent에서 제공됩니다. 보안 관리자는 각 게스트 VM에 Thin Agent가 설치 및 실행되고 있는지 확인해야 합니다. 로그인한 사용자에게 에이전트를 제거하거나 중지할 수 있는 권한이 없어야 합니다.

ID 기반 분산 방화벽 규칙은 AD(Active Directory) 그룹 멤버 자격의 자격에 따라 결정됩니다. IDFW 규칙이 작동하려면 AD 사용자가 있는 OU와 해당 사용자가 있는 AD 그룹을 포함하는 OU를 모두 [동기화할 조직 단위]에 추가해야 합니다. 지원되는 IDFW 구성 및 프로토콜에 대해서는 ID 방화벽 지원 구성 항목을 참조하십시오.

IDFW 규칙은 페더레이션 환경의 글로벌 관리자에서 지원되지 않습니다. IDFW는 로컬 관리자에서 IDFW 규칙을 생성하여 페더레이션된 사이트에서 로컬로 계속 사용할 수 있습니다.

IDFW 정책 그룹 및 DFW 규칙 일치 논리

다음과 같은 두 가지 종류의 IDFW 정책 그룹이 있을 수 있습니다.
  • AD 그룹만 정책 그룹의 멤버로 포함된 동종 그룹
  • 가상 시스템 및 IP 주소와 같은 AD 그룹 외에 다른 멤버가 있을 수 있는 이기종 그룹
동종 ID 그룹을 기준으로 하는 보안 규칙은 AD 그룹 멤버 중 하나에 속하는 AD 사용자가 로그인하는 모든 NSX 지원되는 가상 시스템에 규칙을 적용합니다. 이기종 ID 그룹을 사용하면 광범위하게 적용되는 소스보다는 IDFW 보안 정책에 대한 보다 구체적이고 정확한 소스를 생성할 수 있습니다. 소스에서 이기종 ID 그룹이 사용되는 보안 규칙은 멤버 AD 그룹에 속한 AD 사용자가 로그인할 때 정책 그룹의 일부인(고정적으로 또는 동적 조건을 통해 또는 IP 주소/범위 할당을 통해) VM에만 적용됩니다. 이 규칙은 그룹의 멤버인 VM과 대상 AD 사용자가 로그인하는 VM의 교집합(AND 작업)입니다.

이기종 ID 정책 그룹의 유효 멤버는 다음 논리를 사용하여 찾을 수 있습니다. [모든 비 AD 멤버의 합집합] AND, 즉 [멤버 AD 그룹에 속하는 AD 사용자가 로그인하는 VM 집합]과의 교집합.

예 1 - AD 그룹을 멤버로 사용하는 고정 VM 멤버
  • 의도: 일부 VM을 AD 그룹과 함께 고정적으로 연결할 때 AD 그룹에 속한 AD 사용자가 로그인할 때 고정 VM 멤버에 정책을 적용하려는 의도입니다.
  • 해당되지 않는 소스 예: 멤버 AD 그룹 중 하나에 속하는 AD 사용자가 로그인하지만 정책 그룹의 고정 멤버는 아닌 VM 정책 그룹의 고정 멤버이지만 로그인한 사용자가 정책 그룹의 멤버가 아닌 AD 그룹에 속하는 VM
예 2 - AD 그룹이 멤버로 포함되어 있는 VM에 대한 동적 이름 기반 조건
  • 의도: 특정 AD 사용자가 로그인할 때 해당 이름이 조건과 일치하는 VM에만 보안 정책을 적용합니다.
  • 해당되지 않는 소스 예: AD 사용자가 로그인하지만 이름 조건과 일치하지 않는 VM 이름 조건이 일치하지만 로그인한 사용자가 멤버 AD 그룹 중 하나에 속하지 않는 VM