ID 방화벽

IDFW(ID 방화벽) 기능을 사용하여 NSX 관리자는 Active Directory 사용자 기반 DFW(분산 방화벽) 규칙을 생성할 수 있습니다.

IDFW는 가상 데스크톱(VDI), 원격 데스크톱 세션(RDSH 지원) 및 물리적 시스템에 사용할 수 있기 때문에, 여러 사용자가 동시에 로그인이 가능하고 요구 사항을 기반으로 사용자 애플리케이션에 액세스할 수 있고 독립형 사용자 환경을 유지 보수할 수 있습니다. VDI 관리 시스템은 어떤 사용자가 VDI 가상 시스템에 대한 액세스 권한을 부여 받을지를 제어합니다. NSX는 IDFW가 사용하도록 설정된 소스 VM(가상 시스템)에서 대상 서버에 대한 액세스를 제어합니다. RDSH를 통해, 관리자는 AD(Active Directory)에서 여러 사용자가 포함된 보안 그룹을 생성하고 사용자가 자신의 역할을 기반으로 애플리케이션 서버에 액세스하는 것을 허용하거나 거부합니다. 예를 들어 인적 자원 및 엔지니어링은 동일한 RDSH 서버에 연결하여 해당 서버의 다른 애플리케이션에 액세스 할 수 있습니다.

IDFW는 AD(Active Directory) 사용자가 방화벽 규칙을 적용하기 위해 로그온하는 데스크톱을 알고 있어야 합니다. IDFW가 로그온 감지에 사용하는 방법에는 GI(Guest Introspection) 및/또는 이벤트 로그 스크래핑의 두 가지가 있습니다. Guest Introspection은 IDFW 가상 시스템이 실행되고 있는 ESXi 클러스터에 배포됩니다. 사용자가 네트워크 이벤트를 생성하면 VM에 설치된 게스트 에이전트는 Guest Introspection 프레임워크를 통해 NSX Manager로 정보를 전달합니다. 두 번째 옵션은 Active Directory 이벤트 로그 스크레이퍼입니다. 이벤트 로그 스크래핑을 통해 물리적 디바이스에 대해 IDFW를 사용하도록 설정할 수 있습니다. NSX Manager의 Active Directory 이벤트 로그 스크레이퍼가 Active Directory 도메인 컨트롤러의 인스턴스를 가리키도록 구성합니다. 그러면 NSX Manager는 AD 보안 이벤트 로그에서 이벤트를 추출합니다.

이벤트 로그 스크래핑은 가상 시스템에 사용할 수 있지만 AD 로그 스크레이퍼와 Guest Introspection을 모두 사용하면 Guest Introspection이 이벤트 로그 스크래핑보다 우선합니다. Guest Introspection은 VMware Tools를 통해 사용하도록 설정되며 전체 VMware Tools 설치 및 IDFW를 사용하는 경우 Guest Introspection이 이벤트 로그 스크래핑보다 우선합니다.

지원되는 운영 체제가 있는 VM에서 IDFW를 사용할 수도 있습니다. ID 방화벽 지원 구성 항목을 참조하십시오.

IDFW는 방화벽 규칙에서만 소스의 사용자 ID를 처리합니다. ID 기반 그룹은 분산 방화벽 및 게이트웨이 방화벽 규칙에서 대상으로 사용할 수 없습니다.

참고: IDFW는 게스트 운영 체제의 보안 및 무결성에 의존합니다. 악의적인 로컬 관리자가 방화벽 규칙을 우회하기 위해 해당 ID를 스푸핑할 수 있는 여러 방법이 있습니다. 사용자 ID 정보는 게스트 VM 내부의 NSX Guest Introspection Thin Agent에서 제공됩니다. 보안 관리자는 각 게스트 VM에 Thin Agent가 설치 및 실행되고 있는지 확인해야 합니다. 로그인한 사용자에게 에이전트를 제거하거나 중지할 수 있는 권한이 없어야 합니다.

지원되는 IDFW 구성에 대해서는 ID 방화벽 지원 구성 내용을 참조하십시오.

IDFW 규칙은 페더레이션 환경의 글로벌 관리자에서 지원되지 않습니다. IDFW는 로컬 관리자에서 IDFW 규칙을 생성하여 페더레이션된 사이트에서 로컬로 계속 사용할 수 있습니다.