Компоненты безопасности NSX for vSphere можно добавить на холст проекта, чтобы сделать их настроенные параметры доступными для одного или нескольких компонентов компьютера vSphere в схеме элементов.

В приложении NSX группы безопасности, теги и политики настраиваются за пределами vRealize Automation.

Параметры компонентов сети и безопасности, добавляемые в схему элементов, наследуются от конфигурации NSX for vSphere и NSX-T. Дополнительные сведения о настройке NSX см. в руководстве по администрированию в документации по продукту NSX for vSphere или в документации по продукту NSX-T, в зависимости от используемого приложения.

В схемы элементов можно добавить элементы управления безопасности, настроив группы безопасности, теги и политики для вычислительного ресурса vSphere в NSX. После сбора данных конфигурации безопасности можно выбрать в vRealize Automation.

Пример стратегии безопасности NSX for vSphere см. в записи блога vRealize and NSX.

Существующие группы безопасности и группы безопасности по требованию для NSX for vSphere

Группа безопасности представляет собой совокупность ресурсов или группировки объектов из иерархии vSphere, отображаемой на наборе политик безопасности, например распространяемые правила брандмауэра и сторонние службы обеспечения безопасности, такие как антивирусы и системы обнаружения вторжений. С помощью групп можно создавать пользовательские контейнеры, которым можно назначать ресурсы, такие как виртуальные машины и сетевые адаптеры, для защиты с помощью распределенного брандмауэра. После определения группы ее можно добавить в качестве источника или места назначения в правило брандмауэра для защиты.

В дополнение к группам безопасности, указанным в резервировании, в схему элементов можно добавить имеющиеся группы безопасности vSphere или группы безопасности по требованию.

Можно создать одну или несколько групп безопасности по требованию. Для группы безопасности можно выбрать и настроить одну или несколько политик безопасности.

Политика безопасности представляет собой набор служб для диагностики конечных точек, брандмауэра и сети, которые можно применить к группе безопасности. В виртуальную машину vSphere можно добавить политику безопасности с помощью группы безопасности по требованию в схеме элементов. Нельзя добавить политику безопасности непосредственно в резервирование. После сбора данных политики безопасности, определенные в NSX for vSphere для вычислительного ресурса, можно выбрать на схеме элементов.

Группы безопасности настраиваются в исходном ресурсе. Сведения об управлении группами безопасности для различных типов ресурсов см. в документации NSX for vSphere.

Примечание:

При включенной изоляции приложений будет создана отдельная политика безопасности. При изоляции приложений используется логический брандмауэр для блокирования всего входящего и исходящего трафика приложений в схеме элементов. Компьютеры компонентов, которые подготавливаются с использованием схем элементов, содержащих политику изоляции приложений, могут обмениваться данными друг с другом, но не могут подключаться к компьютерам за пределами брандмауэра, если другие группы безопасности не будут добавлены в схему элементов с политиками безопасности, которые разрешают доступ.

Если схема элементов содержит подсистемы балансировки нагрузки и для этой схемы включена изоляция приложений, то виртуальные IP-адреса подсистемы балансировки нагрузки будут добавлены в группу безопасности изоляции приложений как набор IP-адресов. Если в схеме элементов содержится группа безопасности по требованию, связанная с уровнем компьютеров, который также связан с подсистемой балансировки нагрузки, то группа безопасности по требованию будет включать в себя уровень компьютеров, набор IP-адресов и виртуальные IP-адреса.

Существующие теги безопасности для NSX for vSphere

Можно добавить компоненты существующих тегов безопасности для NSX for vSphere. Тег безопасности является объектом или записью классификации, который можно использовать в качестве механизма группирования. Вы определяете критерии, которым должен отвечать объект, который будет добавлен в создаваемую группу безопасности. Таким образом, вы можете включить компьютеры, определив критерии фильтрования с помощью ряда параметров, которые поддерживаются, чтобы соответствовать критериям. Например, можно добавить все компьютеры с определенными тегами безопасности в группу безопасности.