NSX IDS/IPS 및 NSX 맬웨어 차단에 대한 데이터 센터 준비

데이터 센터에서 적절한 라이센스를 사용하는 경우에만 NSX 환경에서 NSX IDS/IPS 및 NSX 맬웨어 차단 기능을 설정할 수 있습니다.

NSX Advanced Threat Prevention 솔루션을 실행하는 데 필요한 라이센스에 대한 내용은 라이센스 유형의 "보안 라이센스" 섹션을 참조하십시오.

NSX Intrusion Detection/Prevention 및 NSX 맬웨어 차단을 위한 데이터 센터 준비에는 여러 단계가 포함됩니다. 이러한 단계를 수행하려면 IDS/IPS 및 맬웨어 차단 설정 마법사를 사용하면 됩니다.

설정 마법사는 이러한 두 가지 보안 기능용으로 데이터 센터를 준비하는 일련의 단계를 안내하는 온보딩 프로세스와 같습니다. 이 마법사를 실행하려면 보안 > IDS/IPS 및 맬웨어 차단로 이동합니다.

NSX에서 해당 라이센스가 추가되지 않은 것으로 감지되면 페이지에 다음 텍스트가 표시됩니다.

IDS/IPS 및 맬웨어 차단은 현재 라이센스에서 지원되지 않습니다.

NSX에서 해당 라이센스가 추가된 것으로 감지하면 페이지에 설정 시작 및 설정 건너뛰기 버튼이 표시됩니다.

설정 마법사를 시작하려면 설정 시작을 클릭합니다. 화면 지침과 이 설명서에 따라 마법사의 단계를 완료합니다.

모든 단계에서 진행률을 저장하고 마법사를 종료하려면 기본 페이지로 돌아가기를 클릭합니다. 나중에 중단했던 위치에서 설정을 계속할 수 있습니다.
설정 마법사를 재설정하고 처음부터 다시 시작하려면 취소를 클릭합니다. 설정을 취소하면 마법사에서 선택한 항목이 제거되지만 마법사에서 완료한 배포는 제거되지 않습니다. 예를 들어 마법사를 재설정하기 전에 호스트 클러스터에서 NSX Application Platform 및 NSX 맬웨어 차단 서비스 가상 시스템의 배포를 완료한 경우 이러한 배포는 유지됩니다.
설정 마법사를 사용하지 않고 나중에 2개의 보안 기능을 직접 설정하려는 경우 설정 건너뛰기를 클릭합니다. NSX Manager에서는 이 마법사를 다시 표시하지 않습니다. 나중에 보안 > IDS/IPS 및 맬웨어 차단 > 설정으로 이동한 후 두 기능 모두에 대해 데이터 센터를 설정할 수 있습니다. IDS/IPS 및 맬웨어 차단 설정 페이지 사용에 대한 내용은 NSX IDS/IPS 및 NSX 맬웨어 차단 설정 구성 항목을 참조하십시오.

기본적으로 IDS/IPS 및 맬웨어 차단 기능 카드의 모든 확인란이 설정을 위해 선택됩니다. 필요한 경우 선택 항목을 편집할 수 있습니다. 계속할 준비가 되면 다음을 클릭합니다. 선택 사항에 따라 다음 표에 설명된 대로 마법사에 표시되는 탭이 결정됩니다.

참고: NSX Application Platform은 NSX 맬웨어 차단이 아닌 NSX IDS/IPS에 적용되는 사전 요구 사항입니다.

선택한 기능	표시되는 탭
East-West 트래픽의 IDS/IPS 또는 North-South 트래픽의 IDS/IPS	NSX 프록시 구성 서명 관리 노드 사용
East-West 트래픽에서만 맬웨어 차단	NSX 프록시 구성 NSX Application Platform 배포 서비스 VM 배포
North-South 트래픽에서만 맬웨어 차단	NSX 프록시 구성 NSX Application Platform 배포 노드 사용
East-West 트래픽 및 North-South 트래픽의 맬웨어 차단	NSX 프록시 구성 NSX Application Platform 배포 서비스 VM 배포 노드 사용
모든 기능이 선택됨	마법사의 5개 탭이 모두 표시됩니다.

인터넷 연결을 위해 NSX 프록시 서버 구성

NSX IDS/IPS가 작동하는 데 반드시 인터넷 연결이 필요하지는 않습니다. NSX IDS/IPS는 침입을 감지하고 방지하기 위해 서명을 사용합니다. NSX 환경이 인터넷에 연결된 경우 NSX Manager는 인터넷에서 직접 또는 NSX 프록시 서버를 통해 최신 침입 감지 서명을 자동으로 다운로드할 수 있습니다. NSX 환경에 인터넷 연결이 구성되지 않은 경우 API를 사용하여 NSX 침입 감지 서명 번들(.zip) 파일을 수동으로 다운로드한 다음, 서명 번들을 NSX Manager에 업로드할 수 있습니다. 서명을 수동으로 업로드하는 방법에 대한 자세한 내용은 오프라인으로 NSX Intrusion Detection 서명 다운로드 및 업로드 항목을 참조하십시오.

NSX 맬웨어 차단 또한 서명을 사용하여 맬웨어를 감지하고 방지합니다. 그러나 NSX Manager는 NSX 환경이 인터넷에 연결된 경우에만 최신 서명을 다운로드할 수 있습니다. NSX Manager에 최신 서명을 수동으로 업로드할 수 없습니다. NSX 맬웨어 차단에서는 자세한 클라우드 파일 분석을 위해 NSX Advanced Threat Prevention 클라우드 서비스로 파일을 전송합니다. 파일은 NSX Manager가 아닌 NSX Application Platform에 의해 클라우드로 전송됩니다. NSX Application Platform은 프록시 서버 구성을 지원하지 않으며 인터넷에 직접 액세스해야 합니다.

NSX Manager가 NSX 프록시 서버를 통해 인터넷에 액세스하는 경우 NSX 프록시 서버로 이동 링크를 클릭하고 다음 설정을 지정합니다.

체계(HTTP 또는 HTTPS)
호스트의 IP 주소
포트 번호
사용자 이름 및 암호

NSX Application Platform 배포

NSX 맬웨어 차단을 위해서는 NSX Application Platform에 특정 마이크로 서비스를 배포해야 합니다. 먼저 NSX Application Platform을 배포한 다음, NSX 맬웨어 차단 기능을 활성화해야 합니다. 이 기능이 활성화되면 NSX 맬웨어 차단에 필요한 마이크로 서비스가 플랫폼에 배포됩니다.

요약하려면 지정된 순서대로 다음 작업을 수행해야 합니다.

참고: NSX Application Platform의 NSX 맬웨어 차단 기능 버전이 NSX 제품 버전 번호가 아니라 NSX Application Platform 버전 번호와 일치합니다.

서비스 가상 시스템 배포

데이터 센터의 East-West 트래픽과 관련해서 NSX용으로 준비된 vSphere 호스트 클러스터에 NSX Distributed Malware Prevention 서비스를 배포해야 합니다. 이 서비스가 배포되면 SVM(서비스 가상 시스템)이 vSphere 클러스터의 각 호스트에 설치되고 호스트 클러스터에서 NSX 맬웨어 차단이 사용하도록 설정됩니다.

이 페이지의 도넛형 차트는 데이터 센터에서 NSX Distributed Malware Prevention 서비스가 배포된 호스트 클러스터 수와 배포되지 않은 호스트 클러스터 수를 보여 줍니다.

호스트 클러스터에 NSX Distributed Malware Prevention 서비스를 배포하는 방법에 대한 자세한 지침은 NSX Distributed Malware Prevention 서비스 배포 항목을 참조하십시오.

호스트 클러스터에서 서비스 배포가 완료되면 마법사에서 이 페이지로 돌아가서 다음을 클릭하여 계속합니다.

참고: NSX Distributed Malware Prevention 서비스의 서비스 가상 시스템에 대해 고가용성이 지원되지 않습니다.

서명 관리

데이터 센터에 인터넷 연결이 구성된 경우 NSX Manager는 기본적으로 20분마다 클라우드에서 새로운 침입 감지 서명의 가용성을 확인합니다. 새 업데이트를 사용할 수 있는 경우 지금 업데이트 링크를 사용하여 페이지 전체에 배너가 표시됩니다.

데이터 센터에 인터넷 연결이 없으면 IDS 서명 번들(.zip) 파일을 수동으로 다운로드한 다음, 파일을 NSX Manager에 업로드할 수 있습니다. 자세한 지침은 오프라인으로 NSX Intrusion Detection 서명 다운로드 및 업로드 항목을 참조하십시오.

서명 관리

서명 관리 작업은 선택 사항입니다. 필요한 경우 나중에 보안 > IDS/IPS 및 맬웨어 차단 > 설정 > IDS/IPS로 이동하여 이러한 관리 작업을 수행할 수 있습니다.

서명 버전을 보거나 기본값 외에 다른 버전의 서명을 추가하려면 보기 및 변경을 클릭합니다.
현재는 두 가지 버전의 서명이 유지됩니다. 버전 커밋 ID 번호가 변경될 때마다 새 버전이 다운로드됩니다.
클라우드에서 침입 감지 서명을 자동으로 다운로드하고 데이터 센터의 호스트 및 Edge에 적용하려면 자동 업데이트 토글을 설정합니다.
이 옵션을 끄면 서명의 자동 다운로드가 중지됩니다. IDS 서명 번들(.zip) 파일을 수동으로 다운로드한 다음, 파일을 NSX Manager에 업로드할 수 있습니다.
전송 노드에서 서명 다운로드 상태를 보려면 상태 필드에서 해당 링크를 클릭합니다.

특정 서명을 전역적으로 제외하거나 해당 작업을 경고, 삭제 또는 거부로 변경하려면 서명 집합 보기 및 관리를 클릭합니다.

서명에 대한 작업을 선택하고 저장을 클릭합니다. 글로벌 서명 관리 설정에서 수행된 변경 내용은 모든 IDS/IPS 프로파일에 적용됩니다. 그러나 IDS/IPS 프로파일에서 서명 설정을 업데이트하는 경우 프로파일 설정이 우선적으로 적용됩니다.

다음 표에서는 각 서명 작업의 의미를 설명합니다.

작업	설명
경고	경고가 생성되고 자동 예방 조치가 수행되지 않습니다.
삭제	경고가 생성되고 잘못된 패킷이 삭제됩니다.
거절	경고가 생성되고 잘못된 패킷이 삭제됩니다. TCP 흐름의 경우 IDS에서 TCP 재설정 패킷이 생성되고 연결의 소스 및 대상으로 전송됩니다. 다른 프로토콜의 경우, ICMP 오류 패킷이 연결의 소스 및 대상으로 전송됩니다.

IDS/IPS 및 맬웨어 차단을 위한 노드 사용

East-West 트래픽을 위한 호스트 및 클러스터 활성화 섹션에서 다음 구성을 수행합니다.

독립형 ESXi 호스트에서 NSX IDS/IPS를 켭니다.
East-West 트래픽에 대해 NSX IDS/IPS를 켜려는 ESXi 호스트 클러스터를 선택합니다.
NSX Distributed Malware Prevention 서비스가 아직 ESXi 호스트 클러스터에 배포되지 않은 경우 맬웨어 차단 열의 서비스 VM 배포에 정의 링크를 클릭합니다. 호스트 클러스터에 NSX Distributed Malware Prevention 서비스를 배포하는 방법에 대한 지침은 NSX Distributed Malware Prevention 서비스 배포 항목을 참조하십시오.

참고:

분산 로드 밸런서를 사용하는 환경에서는 NSX 분산 IDS/IPS를 사용하지 않도록 설정합니다. NSX는 분산 로드 밸런서에서 IDS/IPS를 지원하지 않습니다.
NSX 분산 IDS/IPS가 작동하려면 DFW(분산 방화벽)를 사용하도록 설정해야 합니다. DFW 규칙에 따라 트래픽이 차단되면 IDS/IPS에 트래픽이 표시되지 않습니다.

North-South 트래픽을 위한 게이트웨이 활성화 섹션에서 다음 구성을 수행합니다.

North-South 트래픽에 대해 NSX IDS/IPS를 켜려는 Tier-1 게이트웨이를 선택합니다.
North-South 트래픽에 대해 NSX 맬웨어 차단를 켜려는 Tier-1 게이트웨이를 선택합니다.

중요: North-South 트래픽에서 NSX는 다음을 지원합니다.

Tier-1 게이트웨이에서만 NSX 맬웨어 차단 기능.
Tier-1 게이트웨이에서만 게이트웨이 방화벽의 NSX IDS/IPS 기능.