Jak zarządzać punktem końcowym w VMware NSX-T

Jak zarządzać punktem końcowym w VMware NSX-T

Przegląd integracji

NSX-T Data Center zapewnia możliwość bezagentowej ochrony punktu końcowego poprzez ekosystem introspekcji gości. Bitdefender integruje się z ekosystemem NSX, w celu ochrony maszyn wirtualnych gości za pomocą Serwera Bezpieczeństwa wdrożonego na poziomie hosta hiperwizora.

Ten artykuł zawiera wskazówki dla administratorów NSX-T Data Center na temat konfiguracji, oraz zastosowania ochrony punktów końcowych na maszynach wirtualnych, poprzez wdrożenie polityki introspekcji gościa Bitdefender GravityZone.

Wymagania wstępne

Wymagania oprogramowania

VMware
Usługi NSX-T Data Center 2.4 Guest Introspection są obecnie wspierane przez następujące komponenty vSphere, wersje, oraz buildy:

– NSX-T Manager 2.4.0 lub nowszy
– VMware vSphere 6.5 P03 (ESXi650-201811002) lub nowszy
– VMware vSphere 6.7 EP06 (ESXi670-201901001) lub nowszy
vCenter Appliance 6.5 U2d lub nowszy
– vCenter Appliance 6.7 U1b lub nowszy
– VMware Tools 10.3.10 ( z zainstalowanymi sterownikami Guest Introspection lub w Trybie Kompletnym) lub nowszy
Po dodatkowe szczegóły na temat kompatybilności wersji pomiędzy Data Center, a VMware vCenter, ESXi, oraz VMware Tools, zajrzyj do
Matryc interoperacyjności produktów Vmware.

Bitdefender

– GravityZone Control Center wersja 6.5.5.1
– Serwer Bezpieczeństwa (dla NSX-T) 1.0.7963

Wymagania wstępne konfiguracji NSX-T Manager
Zanim zaczniesz konfigurację Bitdefender GravityZone, oraz wdrożenie usługi Security for Virtualized Environments , potrzebujesz spełnić następujące warunki:

– NSX-T Manager musi być podłączony do wszystkich Compute Manager (serwerów vCenter), a wszyscy docelowi członkowie klastra ESXi muszą mieć zainstalowane sterowniki NSX. Po więcej informacji zajrzyj do Przewodnika instalacji VMware NSX-T Data Center 2.4.
– Wszystkie docelowe maszyny wirtualne muszą być uruchomione w kompatybilnej wersji VMware Tools z zainstalowanym sterownikiem
NSX Guest Introspection. Po więcej informacji sięgnij do Przewodnika VMware na temat instalowania narzędzi VMware ze sterownikami introspekcji NSX Guest.

Aby zintegrować GravityZone Security, oraz zastosować ochronę punktu końcowego na maszynach wirtualnych podążaj za tymi krokami:

1. Zintegruj GravityZone z vCenter Server.
2. Zintegruj GravityZone z NSX-T Manager.
3. Pobierz pakiet instalacyjny Serwera Bezpieczeństwa Bitdefender.
4. Wdróż usług
ę partnerską (Bitdefender GravityZone) w NSX Manager.
5. Skonfiguruj NSX
Groups.
6. Stwórz politykę bezpieczeństwa GravityZone.
7. Skonfiguruj i zastosuj
ochronę punktu końcowego dla gościa maszyny wirtualnej.

Krok 1: Zintegruj GravityZone z vCenter Server

Dodaj nową integrację VMware vCenter Server do GravityZone Control Center.

1. Zaloguj się do GravityZone Control Center.
2. Przejdź do strony
Konfiguracja.
3. Odszukaj
providerzy wirtualizacji > Platformy zarządzania.
4. Kliknij
Dodaj i wybierz z menu vCenter Server.
5. Określ szczegóły vCenter Server.
6. Określ poświadczenia dla uwierzytelnienia vCenter Server.
7. W polu
Zainstalowane platformy wybierz Brak dla integracji NSX-T.
8. Kliknij
Zapisz, aby zakończyć integrację vCenter Server z Control Center.
Zaakceptowanie samo podpisanego certyfikatu bezpieczeństwa jest wymagane dla integracji.
Po więcej szczegółów zajrzyj do rozdziału
Integracja z vCenter Server Przewodniku instalacji GravityZone.

Ważne:
W przypadku wielu serwerów vCenter zarządzanych przez NSX-T Manager, musisz powtórzyć ten krok.

Krok 2: Zintegruj GravityZone z NSX-T Manager

Dodaj nową integrację VMware NSX-T do GravityZOne Control Center

1. W Control Center przejdź do strony Konfiguracja.
2. Odszukaj providerzy wirtualizacji > Dostawcy bezpieczeństwa.
3. Kliknij Dodaj, aby skonfigurować integrację NSX-T.
4. Określ szczegóły integracji NSX-T:
– Nazwa integracji NSX-T.
– Nazwa hosta lub adres IP systemu vCenter Server.
– Port NSX-T (domyślnie 443).
5. Określ poświadczenia dla uwierzytelnienia dla NSX-T Manager.
6. Kliknij Zapisz, aby zakończyć integrację.

Ważne:
Zintegrowana liczba serwerów w menedżerze NSX-T powinna być zgodna z liczbą z platformy zarządzania w Control Center. Jeśli ta liczba nie jest zgodna, wróć do Kroku 1, a następnie dodaj nową integrację vCenter Server.

Krok 3: Pobierz pakiet instalacyjny Serwera Bezpieczeństwa Bitdefender

Pobierz pakiet instalacyjny Serwera Bezpieczeństwa Bitdefender, aby wdrożyć go, jako usługę partnerską w NSX Manager.

1. W Control Center, odszukaj Sieć > Pakiety.
2. Wybierz domyślny pakiet Serwera Bezpieczeństwa.
3. Kliknij
Pobierz, a następnie wybierz pakiet Serwera Bezpieczeństwa (VMware z NSX-T).
4. Zapisz pakiet w wybranej lokalizacji.

Krok 4: Wdróż usługę partnerską (Bitdefender GravityZone) w NSX Manager

Wdroż instalację Serwera Bezpieczeństwa jako usługę partnerską w NSX Manager.

1. W NSX Manager, przejdź do strony System, a następnie kliknij Service Deployment.
2. Odszukaj tabelę
Deployment i kliknij Deploy Service.
3. Określ szczegóły usługi wdrożenia:
– Wprowadź nazwę usługi wdrożenia.
– W polu
Compute Manager, wybierz zasób obliczeniowy w vCenter Server, aby wdrożyć usługę (Bitdefender SVA).
W polu Cluster, wybierz klaster, do którego jest potrzeba wdrożenia usługi.
W polu Data Store, można wybrać przechowywane dane jako repozytorium, jeśli nie zostały wcześniej skonfigurowane.
Po więcej informacji zajrzyj do
dokumentacji Vmware.
W kolumnie Network, kliknij Set, aby skonfigurować interfejs Management Network.
Okno konfiguracji pojawia się, gdy skonfigurujesz typ adresu, sieć kontroli i dane sieci.
– W polu
Deployment Specification, wybierz Bitdefender SVA – Medium.
– W polu
Deployment Template, wybierz Bitdefender Security Server.
4. Kliknij
Save.
Serwer Bezpieczeństwa został wdrożony.

Krok 5: Skonfiguruj grupy NSX

NSX używa grup do wykorzystania jako pola źródłowego, oraz docelowego profilu usługi. Utwórz grupy w NSX Manager dla chronionych, niechronionych, oraz zagrożonych (w kwarantannie) maszyn wirtualnych.

W tym kroku stworzysz, oraz zdefiniujesz członka grupy:

– Chronione maszyny wirtualne
– Niechronione maszyny wirtualne
– Zagrożone maszyny wirtualne

Grupy chronionych maszyn wirtualnych

Stwórz grupę dla chronionych maszyn wirtualnych:

1. W NSX Manager przejdź do strony Inventory i kliknij Groups.
2.
Kliknij ADD GROUP, aby skonfigurować grupę.
3. Określ szczegóły grupy:
– Wprowadź nazwę grupy zabezpieczeń.
– W kolumnie
Domain kliknij default.
Pod Compute Members, kliknij
Set Members, aby zdefiniować członkostwo grupy:

Przejdź do tabeli Members, a następnie wybierz grupę z rozwijanego menu Select Category.
W tabeli wybierz węzeł przypisania serwera do tej grupy.
Kliknij
Apply.
Po więcej informacji zajrzyj do
tego artykułu.

4. Kliknij Save.
Grupa chronionych maszyn wirtualnych powinna zostać dodana.

Grupy niechronionych maszyn wirtualnych

Aby stworzy, oraz zdefiniować członków grupy dla niechronionych maszyn wirtualnych, podążaj za krokami 1-4 w grupach chronionych maszyn wirtualnych.

Grupy zagrożonych maszyn wirtualnych

Stwórz grupę maszyn wirtualnych z zagrożeniami i nazwij ją Kwarantanna.

1. W NSX Manager, przejdź do strony Inventory, a następnie kliknij Groups.
2. Kliknij ADD GROUP, aby skonfigurować grupę.
3. Określ szczegóły grupy:
Wprowadź nazwę grupy zabezpieczeń.
W kolumnie Domain, kliknij default.
– Pod Compute Mmembers kliknij Set Members, aby zdefiniować członkostwo grupy.

Przejdź do tabeli Membership Criteria i kliknij ADD CRITERIA.
W trzeciej kolumnie wybierz Contains.
W polu Scope, wprowadź następujący tag:

ANTI_VIRUS

Kliknij APPLY.
Po więcej informacji zajrzyj do
tego artykułu.

4. Kliknij SAVE.
Grupa dla maszyn wirtualnych poddanych kwarantannie została utworzona.

Krok 6: Stwórz politykę bezpieczeństwa GravityZone

Stwórz, oraz skonfiguruj politykę bezpieczeństwa w Control Center.

1. W Control Center, przejdź do strony Polityki.
2. Kliknij
Dodaj, aby skonfigurować politykę.
3. Wprowadź nazwę polityki.
4. Skonfiguruj polityki według potrzeb.
Tylko ustawienia modułu Antymalware mają zastosowanie w integracji NSX-T.
5. Przej
dź do NSX i wybierz jego powiązane pole wyboru, aby ustawić widoczność w NSX-T Manager.
Polityka GravityZone jest widoczna w NSX-T Manager w kolumnie Vendor Template, gdy dodasz Service Profile.
6. Kliknij
Save.

Krok 7: Skonfiguruj i zastosuj ochronę punktu końcowego dla gościa maszyn wirtualnych

NSX wymusza polityki Guest Introspection (polityki GravityZone), gdy dostępny jest Service Profile. Aby zastosować ochronę punktu końcowego dla gościa maszyn wirtualnych, należy utworzyć Service Profile i powiązać go z grupą maszyn wirtualnych za pomocą zasady polityki.

Skonfiguruj ochronę punktu końcowego dla gościa maszyn wirtualnych maszyn wirtualnych:

1. Stwórz Service Profile.
2. Stwórz i opublikuj zasady polityki.

Stwórz Service Profile

Dodaj Service Profile w NSX Manager.

1. W NSX manager przejdź do strony Security.
2. Odszukaj tabelę Endpoint Protection i przejdź do SERVICE PROFILES.
3. Kliknij ADD SERVICE PROFILE.
4. Określ szczegóły Service Profile:
– Wprowadź nazwę Service Profile.
– Wybierz szablon sprzedawcy (polityka GravityZone).
Kliknij Save.
Service Profile został dodany.

Stwórz i opublikuj zasady polityki

Stwórz politykę dla swojej grupy maszyn wirtualnych. Aby powiązać grupę maszyn wirtualnych, która ma być chroniona, z określonym profilem usługi, potrzebujesz stworzyć zasadę polityki.

1. W NSX Manager, przejdź do strony Security.
2. Odszukaj tabelę Endpoint Protection i przejdź do RULES.
3. Kliknij ADD POLICY.

4. Wprowadź nazwę polityki.
5. Kliknij na trzy pionowe kropki, aby otworzyć rozwijane menu.
6. Kliknij Add Rule.
7. Wprowadź nazwę zasady polityki.
8. W kolumnie Groups, kliknij na ikonę edycji, aby ustawić grupy maszyn wirtualnych.
– W tabeli dobierz grupę maszyn wirtualnych dla tej zasady.
– Kliknij APPLY.
9. W kolumnie Service Profiles, kliknij ikonę edycji, aby zmapować Service Profile do swoich grup maszyn wirtualnych.
W tabeli wybierz Service Profile i kliknij SAVE.
10. Kliknij PUBLISH, aby wdrożyć ochronę punktu końcowego do maszyn wirtualnych gości.

Źródło: https://www.bitdefender.com/support/manage-endpoint-protection-in-vmware-nsx-t-2367.html