Jak zarządzać punktem końcowym w VMware NSX-T

Krzysztof B.
18 września 2019
FAQ – Produkty dla firmy (biznesowe) :
- Monitorowanie Integralności
- Jak wygenerować Support Tool Log dla Endpoint Security for Mac
- Jak wygenerować raport dla Bitdefender Security for Mail Servers (Linux)
- Jak wygenerować raport z Serwera Bezpieczeństwa
- Jak usunąć przestarzałe punkty końcowe w konsoli GravityZone (konsola w chmurze)
- Jak cicho odinstalować chronionego hasłem agenta Endpoint Security dla MacOS
- Najczęściej zadawane pytania dotyczące migracji do Bitdefender Endpoint Security Tools w wersji 7
- Wsparcie Bitdefender Endpoint Security Tools dla urządzeń z procesorem Apple M1
- Jak zaktualizować TLS do wersji 1.2 oraz dlaczego jest to istotne dla funkcjonalności Bitdefender Endpoint Security Tools?
- Jak ręcznie zaktualizować Bitdefender Endpoint Security Tools (BEST)
Przegląd integracji
NSX-T Data Center zapewnia możliwość bezagentowej ochrony punktu końcowego poprzez ekosystem introspekcji gości. Bitdefender integruje się z ekosystemem NSX, w celu ochrony maszyn wirtualnych gości za pomocą Serwera Bezpieczeństwa wdrożonego na poziomie hosta hiperwizora.
Ten artykuł zawiera wskazówki dla administratorów NSX-T Data Center na temat konfiguracji, oraz zastosowania ochrony punktów końcowych na maszynach wirtualnych, poprzez wdrożenie polityki introspekcji gościa Bitdefender GravityZone.
Wymagania wstępne
Wymagania oprogramowania
VMware
Usługi NSX-T Data Center 2.4 Guest Introspection są obecnie wspierane przez następujące komponenty vSphere, wersje, oraz buildy:
– NSX-T Manager 2.4.0 lub nowszy
– VMware vSphere 6.5 P03 (ESXi650-201811002) lub nowszy
– VMware vSphere 6.7 EP06 (ESXi670-201901001) lub nowszy
– vCenter Appliance 6.5 U2d lub nowszy
– vCenter Appliance 6.7 U1b lub nowszy
– VMware Tools 10.3.10 ( z zainstalowanymi sterownikami Guest Introspection lub w Trybie Kompletnym) lub nowszy
Po dodatkowe szczegóły na temat kompatybilności wersji pomiędzy Data Center, a VMware vCenter, ESXi, oraz VMware Tools, zajrzyj do Matryc interoperacyjności produktów Vmware.
Bitdefender
– GravityZone Control Center wersja 6.5.5.1
– Serwer Bezpieczeństwa (dla NSX-T) 1.0.7963
Wymagania wstępne konfiguracji NSX-T Manager
Zanim zaczniesz konfigurację Bitdefender GravityZone, oraz wdrożenie usługi Security for Virtualized Environments , potrzebujesz spełnić następujące warunki:
– NSX-T Manager musi być podłączony do wszystkich Compute Manager (serwerów vCenter), a wszyscy docelowi członkowie klastra ESXi muszą mieć zainstalowane sterowniki NSX. Po więcej informacji zajrzyj do Przewodnika instalacji VMware NSX-T Data Center 2.4.
– Wszystkie docelowe maszyny wirtualne muszą być uruchomione w kompatybilnej wersji VMware Tools z zainstalowanym sterownikiem NSX Guest Introspection. Po więcej informacji sięgnij do Przewodnika VMware na temat instalowania narzędzi VMware ze sterownikami introspekcji NSX Guest.
Aby zintegrować GravityZone Security, oraz zastosować ochronę punktu końcowego na maszynach wirtualnych podążaj za tymi krokami:
1. Zintegruj GravityZone z vCenter Server.
2. Zintegruj GravityZone z NSX-T Manager.
3. Pobierz pakiet instalacyjny Serwera Bezpieczeństwa Bitdefender.
4. Wdróż usługę partnerską (Bitdefender GravityZone) w NSX Manager.
5. Skonfiguruj NSX Groups.
6. Stwórz politykę bezpieczeństwa GravityZone.
7. Skonfiguruj i zastosuj ochronę punktu końcowego dla gościa maszyny wirtualnej.
Krok 1: Zintegruj GravityZone z vCenter Server
Dodaj nową integrację VMware vCenter Server do GravityZone Control Center.
1. Zaloguj się do GravityZone Control Center.
2. Przejdź do strony Konfiguracja.
3. Odszukaj providerzy wirtualizacji > Platformy zarządzania.
4. Kliknij Dodaj i wybierz z menu vCenter Server.
5. Określ szczegóły vCenter Server.
6. Określ poświadczenia dla uwierzytelnienia vCenter Server.
7. W polu Zainstalowane platformy wybierz Brak dla integracji NSX-T.
8. Kliknij Zapisz, aby zakończyć integrację vCenter Server z Control Center.
Zaakceptowanie samo podpisanego certyfikatu bezpieczeństwa jest wymagane dla integracji.
Po więcej szczegółów zajrzyj do rozdziału Integracja z vCenter Server Przewodniku instalacji GravityZone.
Ważne:
W przypadku wielu serwerów vCenter zarządzanych przez NSX-T Manager, musisz powtórzyć ten krok.
Krok 2: Zintegruj GravityZone z NSX-T Manager
Dodaj nową integrację VMware NSX-T do GravityZOne Control Center
1. W Control Center przejdź do strony Konfiguracja.
2. Odszukaj providerzy wirtualizacji > Dostawcy bezpieczeństwa.
3. Kliknij Dodaj, aby skonfigurować integrację NSX-T.
4. Określ szczegóły integracji NSX-T:
– Nazwa integracji NSX-T.
– Nazwa hosta lub adres IP systemu vCenter Server.
– Port NSX-T (domyślnie 443).
5. Określ poświadczenia dla uwierzytelnienia dla NSX-T Manager.
6. Kliknij Zapisz, aby zakończyć integrację.
Ważne:
Zintegrowana liczba serwerów w menedżerze NSX-T powinna być zgodna z liczbą z platformy zarządzania w Control Center. Jeśli ta liczba nie jest zgodna, wróć do Kroku 1, a następnie dodaj nową integrację vCenter Server.
Krok 3: Pobierz pakiet instalacyjny Serwera Bezpieczeństwa Bitdefender
Pobierz pakiet instalacyjny Serwera Bezpieczeństwa Bitdefender, aby wdrożyć go, jako usługę partnerską w NSX Manager.
1. W Control Center, odszukaj Sieć > Pakiety.
2. Wybierz domyślny pakiet Serwera Bezpieczeństwa.
3. Kliknij Pobierz, a następnie wybierz pakiet Serwera Bezpieczeństwa (VMware z NSX-T).
4. Zapisz pakiet w wybranej lokalizacji.
Krok 4: Wdróż usługę partnerską (Bitdefender GravityZone) w NSX Manager
Wdroż instalację Serwera Bezpieczeństwa jako usługę partnerską w NSX Manager.
1. W NSX Manager, przejdź do strony System, a następnie kliknij Service Deployment.
2. Odszukaj tabelę Deployment i kliknij Deploy Service.
3. Określ szczegóły usługi wdrożenia:
– Wprowadź nazwę usługi wdrożenia.
– W polu Compute Manager, wybierz zasób obliczeniowy w vCenter Server, aby wdrożyć usługę (Bitdefender SVA).
– W polu Cluster, wybierz klaster, do którego jest potrzeba wdrożenia usługi.
– W polu Data Store, można wybrać przechowywane dane jako repozytorium, jeśli nie zostały wcześniej skonfigurowane.
Po więcej informacji zajrzyj do dokumentacji Vmware.
– W kolumnie Network, kliknij Set, aby skonfigurować interfejs Management Network.
Okno konfiguracji pojawia się, gdy skonfigurujesz typ adresu, sieć kontroli i dane sieci.
– W polu Deployment Specification, wybierz Bitdefender SVA – Medium.
– W polu Deployment Template, wybierz Bitdefender Security Server.
4. Kliknij Save.
Serwer Bezpieczeństwa został wdrożony.
Krok 5: Skonfiguruj grupy NSX
NSX używa grup do wykorzystania jako pola źródłowego, oraz docelowego profilu usługi. Utwórz grupy w NSX Manager dla chronionych, niechronionych, oraz zagrożonych (w kwarantannie) maszyn wirtualnych.
W tym kroku stworzysz, oraz zdefiniujesz członka grupy:
– Chronione maszyny wirtualne
– Niechronione maszyny wirtualne
– Zagrożone maszyny wirtualne
Grupy chronionych maszyn wirtualnych
Stwórz grupę dla chronionych maszyn wirtualnych:
1. W NSX Manager przejdź do strony Inventory i kliknij Groups.
2. Kliknij ADD GROUP, aby skonfigurować grupę.
3. Określ szczegóły grupy:
– Wprowadź nazwę grupy zabezpieczeń.
– W kolumnie Domain kliknij default.
Pod Compute Members, kliknij Set Members, aby zdefiniować członkostwo grupy:
Przejdź do tabeli Members, a następnie wybierz grupę z rozwijanego menu Select Category.
W tabeli wybierz węzeł przypisania serwera do tej grupy.
Kliknij Apply.
Po więcej informacji zajrzyj do tego artykułu.
4. Kliknij Save.
Grupa chronionych maszyn wirtualnych powinna zostać dodana.
Grupy niechronionych maszyn wirtualnych
Aby stworzy, oraz zdefiniować członków grupy dla niechronionych maszyn wirtualnych, podążaj za krokami 1-4 w grupach chronionych maszyn wirtualnych.
Grupy zagrożonych maszyn wirtualnych
Stwórz grupę maszyn wirtualnych z zagrożeniami i nazwij ją Kwarantanna.
1. W NSX Manager, przejdź do strony Inventory, a następnie kliknij Groups.
2. Kliknij ADD GROUP, aby skonfigurować grupę.
3. Określ szczegóły grupy:
– Wprowadź nazwę grupy zabezpieczeń.
– W kolumnie Domain, kliknij default.
– Pod Compute Mmembers kliknij Set Members, aby zdefiniować członkostwo grupy.
Przejdź do tabeli Membership Criteria i kliknij ADD CRITERIA.
W trzeciej kolumnie wybierz Contains.
W polu Scope, wprowadź następujący tag:
ANTI_VIRUS
Kliknij APPLY.
Po więcej informacji zajrzyj do tego artykułu.
4. Kliknij SAVE.
Grupa dla maszyn wirtualnych poddanych kwarantannie została utworzona.
Krok 6: Stwórz politykę bezpieczeństwa GravityZone
Stwórz, oraz skonfiguruj politykę bezpieczeństwa w Control Center.
1. W Control Center, przejdź do strony Polityki.
2. Kliknij Dodaj, aby skonfigurować politykę.
3. Wprowadź nazwę polityki.
4. Skonfiguruj polityki według potrzeb.
Tylko ustawienia modułu Antymalware mają zastosowanie w integracji NSX-T.
5. Przejdź do NSX i wybierz jego powiązane pole wyboru, aby ustawić widoczność w NSX-T Manager.
Polityka GravityZone jest widoczna w NSX-T Manager w kolumnie Vendor Template, gdy dodasz Service Profile.
6. Kliknij Save.
Krok 7: Skonfiguruj i zastosuj ochronę punktu końcowego dla gościa maszyn wirtualnych
NSX wymusza polityki Guest Introspection (polityki GravityZone), gdy dostępny jest Service Profile. Aby zastosować ochronę punktu końcowego dla gościa maszyn wirtualnych, należy utworzyć Service Profile i powiązać go z grupą maszyn wirtualnych za pomocą zasady polityki.
Skonfiguruj ochronę punktu końcowego dla gościa maszyn wirtualnych maszyn wirtualnych:
1. Stwórz Service Profile.
2. Stwórz i opublikuj zasady polityki.
Stwórz Service Profile
Dodaj Service Profile w NSX Manager.
1. W NSX manager przejdź do strony Security.
2. Odszukaj tabelę Endpoint Protection i przejdź do SERVICE PROFILES.
3. Kliknij ADD SERVICE PROFILE.
4. Określ szczegóły Service Profile:
– Wprowadź nazwę Service Profile.
– Wybierz szablon sprzedawcy (polityka GravityZone).
Kliknij Save.
Service Profile został dodany.
Stwórz i opublikuj zasady polityki
Stwórz politykę dla swojej grupy maszyn wirtualnych. Aby powiązać grupę maszyn wirtualnych, która ma być chroniona, z określonym profilem usługi, potrzebujesz stworzyć zasadę polityki.
1. W NSX Manager, przejdź do strony Security.
2. Odszukaj tabelę Endpoint Protection i przejdź do RULES.
3. Kliknij ADD POLICY.
4. Wprowadź nazwę polityki.
5. Kliknij na trzy pionowe kropki, aby otworzyć rozwijane menu.
6. Kliknij Add Rule.
7. Wprowadź nazwę zasady polityki.
8. W kolumnie Groups, kliknij na ikonę edycji, aby ustawić grupy maszyn wirtualnych.
– W tabeli dobierz grupę maszyn wirtualnych dla tej zasady.
– Kliknij APPLY.
9. W kolumnie Service Profiles, kliknij ikonę edycji, aby zmapować Service Profile do swoich grup maszyn wirtualnych.
W tabeli wybierz Service Profile i kliknij SAVE.
10. Kliknij PUBLISH, aby wdrożyć ochronę punktu końcowego do maszyn wirtualnych gości.
Źródło: https://www.bitdefender.com/support/manage-endpoint-protection-in-vmware-nsx-t-2367.html
Autor

Krzysztof B.
Artykuły które mogą Ci się spodobać
FAQ – Produkty dla firmy • Poradniki GravityZone
Monitorowanie Integralności

Arkadiusz K
30 listopada 2022