Machine Translated by Google

Revisión de seguridad

1. NSX Distrusted Firewall ofrece un firewall integrado en el kernel de ESXi. La inspección ocurre en la vNIC de una VM justo cuando el

tráfico está a punto de salir de la VM e ingresar al conmutador virtual (salida). También sucede en la vNic justo cuando el tráfico sale

del conmutador, pero antes de ingresar a la VM (ingreso).

2. Con VMware NSX, cada host del centro de datos se convierte en un firewall.

3. Los tres principales casos de uso de seguridad de NSX son: a.

Microsegmentación b. Usuarios finales seguros

C. DMZ en cualquier lugar

4. La microsegmentación cumple con los siguientes objetivos comerciales:

una. Tráfico E/O seguro

b. Reduzca la superficie de ataque del centro de datos

C. Cumple con los requisitos de cumplimiento (PCI, HIPAA, FIPS)

Machine Translated by Google

5. Con DMZ Anywhere, los servicios de seguridad para aplicaciones orientadas a Internet se pueden implementar más rápido.

6. La microsegmentación le permite segmentar la red hasta la unidad más pequeña posible.

Es decir, puede segmentar dos máquinas virtuales en la misma red L2 y una subred de IP común entre sí con una
política de firewall distribuida.

7. Con VMware NSX, las políticas de firewall se pueden crear más allá de las especificaciones de IP (direcciones IP,
rangos, subredes, etc.). Las políticas también se pueden basar en objetos de infraestructura virtual (conmutador lógico,
clúster, vApp, VM, vNic, etc.) y agrupaciones (nombre de VM, nombre de SO, etiqueta de seguridad, etc.).

8. Con VMware NSX, puede crear reglas de firewall basadas en identidad. IdFW hace referencia a la Identidad del usuario de
Windows en lugar de la IP para inspeccionar el tráfico. Por ejemplo, es posible que una máquina virtual con una IP de
172.16.10.11 no tenga acceso a las máquinas de servicios de infraestructura (Active Directory, Syslog, DNS, etc.) cuando
un administrador que no es del dominio inicia sesión. La misma VM con el mismo Sin embargo, se puede otorgar acceso a
IP cuando un administrador de dominio inicia sesión.
Machine Translated by Google

9. Distributed Firewall complementa e incluso mejora su seguridad física al eliminar las fijaciones innecesarias de los
firewalls físicos y reduce la cantidad de tráfico en la red. El tráfico bloqueado se bloquea antes de abandonar el
host; no es necesario atravesar la red solo para que el firewall físico lo detenga en el núcleo. El tráfico destinado a
otra VM en otro host, o mejor aún, el mismo host, no tiene que atravesar la red y luego volver a bajar. Simplemente
se inspecciona en el nivel de ESXi y se envía a la máquina virtual de destino.

10. Distributed Firewall se distribuye en el Kernel de cada host ESXi y, por lo tanto, escala
(horizontalmente) a medida que se agregan más hosts a los clústeres. Agregar más hosts aumenta la capacidad
de DFW. A medida que crece su infraestructura y compra más servidores para administrar su número cada vez
mayor de máquinas virtuales, también aumenta la capacidad de DFW.
Machine Translated by Google

11. El marco de inserción de servicios avanzados de NSX permite que los servicios de seguridad de socios administren
la postura de seguridad de las cargas de trabajo a escala. Esos servicios incluyen antivirus, prevención de pérdida
de datos, gestión de vulnerabilidades, prevención de intrusiones con cortafuegos y más. NSX también admite
encadenamiento dinámico de servicios, para que pueda combinar múltiples servicios nativos y de socios.
Un escáner de vulnerabilidades, por ejemplo, podría agregar una etiqueta de seguridad a una VM si se determina que
es críticamente vulnerable y, en función de esa etiqueta de seguridad, podría redirigir ese tráfico a través de un NGFW
asociado con IPS y malware avanzado habilitado.

12. La introspección de red se ocupa de los datos en movimiento a través de la red. El caso de uso principal es habilitar
la inspección profunda de paquetes L7. Hay varios socios que se integran con nuestra introspección de red, incluidos
Palo Alto Networks y Checkpoint.
Machine Translated by Google

13. Guest Introspection, también conocido como Endpoint Security, se ocupa de la seguridad en la carga de trabajo y permite
casos de uso como el antivirus sin agente, en el que no es necesario instalar ningún agente en cada carga de trabajo,
sino que NSX puede interceptar el archivo. y pasarlos a un dispositivo virtual asociado. Esto reduce significativamente la
sobrecarga, ya que no se necesita otro agente y se elimina la sobrecarga de procesamiento asociada con la ejecución
de operaciones de escaneo en cada carga de trabajo.

14. Los casos de uso comunes de introspección de invitados

incluyen: a. Protección de escritorio VDI sin agente
b. Protección de servidor de Windows sin agente
C. Protección del servidor Linux sin agente
Machine Translated by Google

d. Gestión de vulnerabilidades sin agente

15. La introspección de red se ocupa de los datos en movimiento a través de la red. El caso de uso principal
la introspección de red habilita es L7 Deep Packet Inspection. Tenemos varios socios que se integran con nuestra
introspección de red, incluido, por supuesto, Palo Alto Networks. Con Network Introspection, puede definir reglas de redirección
granulares en NSX Distributed Firewall, para definir qué tráfico interesante deben inspeccionar los servicios de socios. Esto permite
que los servicios de socios se inserten en la ruta de tráfico en cada VM de cada VNIC.

16. NSX no solo brinda visibilidad y microsegmentación, sino que brinda una forma completamente nueva de asociar políticas de
seguridad y protecciones de seguridad con cargas de trabajo y aplicaciones, independientemente de dónde se implementen.

17. AppDefense está diseñado para proteger las aplicaciones que se ejecutan en nubes privadas y públicas habilitadas para vSphere,
de la misma manera que la microsegmentación habilita el privilegio mínimo a nivel de red. Crea un modelo de seguridad basado
en la intención, que se centra en lo que deben hacer las aplicaciones, en lugar de lo que no deben hacer. Consta de tres
elementos principales: Capturar, Detectar y Responder.

18. Al perseguir amenazas conocidas mediante soluciones basadas en firmas, se pierden amenazas nuevas y desconocidas porque
el alcance es demasiado estrecho. Perseguir amenazas desconocidas utilizando análisis de comportamiento se queda corto
porque el alcance es tan amplio que resulta ineficaz.
Machine Translated by Google

19. AppDefense se encuentra justo en el medio, recopilando información sobre el contexto e interactuando con capacidades
de aislamiento para proporcionar respuestas automatizadas basadas en esos contextos.

20. El uso de VMware NSX junto con la informática del usuario final puede abordar seis casos de uso diferentes:
una. Microsegmentación entre escritorios virtuales – Podemos eliminar las comunicaciones
entre escritorios virtuales para que un escritorio no pueda comunicarse con otro incluso cuando ambos residan
en la misma red de capa 2 y compartan una subred IP común. Esto se puede lograr con una sola regla de firewall
mediante el uso de objetos de virtualización o grupos de seguridad en los campos de origen y destino.

Ejemplo de objeto de virtualización

FUENTE DESTINO ACCIÓN DE SERVICIO

* BLOQUEAR
VDI_Logical_Switch1 VDI_Logical_Switch1

Ejemplo de grupo de seguridad

FUENTE DESTINO ACCIÓN DE SERVICIO

* BLOQUEAR
Escritorio_virtual_SG Escritorio_virtual_SG

b. Agrupe y asegure lógicamente diferentes grupos de escritorios : podemos limitar o bloquear completamente
las comunicaciones entre grupos. C. Antivirus/Malware/IDS sin agente : al integrar soluciones de seguridad
de terceros con NSX, podemos determinar la higiene de cualquier escritorio virtual y actuar para bloquear todas las
comunicaciones hacia y desde él, si se descubre que es vulnerable/comprometido, hasta que se complete la
remediación.

d. Firewall basado en la identidad : podemos inspeccionar y permitir o rechazar las comunicaciones desde un
escritorio virtual según el usuario que haya iniciado sesión actualmente. Ejemplo: podemos permitir el acceso al
HRMS solo al personal de Recursos Humanos. Cuando un usuario que no es de recursos humanos inicia sesión
en el escritorio, esa persona no podrá acceder al HRMS, pero un miembro del personal de recursos humanos podrá hacerlo.
asi que.

mi. Elasticidad : calcule mediante programación la política de seguridad para un escritorio a medida que se
aprovisiona. Esto se puede hacer usando grupos de seguridad dinámicos. A medida que se crea un nuevo
escritorio, se agrega automáticamente a los grupos de seguridad apropiados y se aplican políticas de firewall.

F. Componentes seguros de VDI e Infraestructura : con NSX, podemos crear políticas de firewall, limitando el acceso
tanto a los sistemas VDI (Servidor de conexión, Servidor de seguridad, etc.) como a los servicios de Infraestructura
requeridos por los escritorios (AD, DHCP, DNS, etc.) .