VMware NSX-T 3.0的一项重大新功能是它现在作为平台的一部分提供的分布式IDS功能。就像NSX通过使用分布式防火墙进行防火墙改变游戏规则一样,分布式IDS在环境中的规模,效率和安全性方面也具有相同的优势。借助分布式IDS,您不再需要担心IDS功能的流量被束缚到物理防火墙,然后掉头回到您的虚拟机监控程序主机。在启用NSX-T的环境中配置和开始使用很容易。在本文中,我们将快速介绍启用VMware NSX-T 3.0 分布式IDS配置,以了解如何在您的环境中“启用”此配置以及一些基本配置设置。

什么是VMware NSX-T 3.0分布式IDS?

在研究如何启用VMware NSX-T 3.0分布式IDS配置之前,我们先来了解一下它的确切含义。借助VMware NSX Distributed IDS / IPS,您甚至可以检查本地,混合云或多云环境中东西向网络流量的横向移动。

这样,您就可以替换或完全删除您的环境中可能用于此功能的离散IDS / IPS设备。新的分布式IDS / IPS功能有哪些优点?

  • 弹性吞吐量 –借助新的分布式IDS,您可以通过简单地向环境中添加更多主机来扩展检查能力。这有助于消除IDS安全解决方案中的瓶颈。
  • 没有流量发夹 –为了提高性能,简便性和效率,您要做的最后一件事就是限制流量或让流量离开,然后掉头转回原路。所有IDS / IPS功能都应用在管理程序本身内部,因此这是高效的,并产生了出色的性能。
  • 应用程序上下文–误报率低 –由于VMware将应用程序上下文用于分布式IDS / IPS功能,因此在签名匹配方面几乎为零误报率和高保真度
  • 消除了对专用设备的需求 –如果您一直在使用专用虚拟设备,则分布式IDS / IPS将帮助您潜在地回收专用于这些离散虚拟设备的环境中的计算能力。

分布式IDS / IPS解决方案的关键功能:

  • 分布式分析 – IDS / IPS引擎分布到每个工作负载,并在整个环境中线性扩展。
  • 基于上下文的特征码分发 –仅基于正在运行的应用程序,操作系统等,在每个工作负载下启用用于评估的相关威胁特征码。这有助于使其比传统的离散设备应用IDS / IPS的方式效率更高。
  • 应用程序上下文 –使用分布式IDS / IPS对在每个工作负载上运行的应用程序以及需要应用于每个应用程序的规则进行更好的分类
  • 策略和状态移动性 –策略和状态随工作负载一起移动。这意味着工作负载将自动保护在新位置,而无需手动重新配置
  • 自动化的策略生命周期管理 –为新的工作负载自动创建安全策略,并消除不再需要的策略

启用VMware NSX-T 3.0分布式IDS配置

现在您已将任一独立主机添加到您的NSX-T 3.0环境中,我们可以启用和配置分布式IDS功能。

如果导航到成功发布的“新NSX-T 3.0分布式IDS规则”,则“ 安全性>安全性概述>见解”部分,您将看到“ IDS入门>>”链接。点击这个。

NSX-T-3.0-Distributed-IDS入门启用VMware NSX-T 3.0分布式IDS配置NSX-T 3.0分布式IDS入门

这将启动NSX入侵检测系统工作流程入门。单击入门按钮。

使用NSX-T-3.0分布式IDS启动开始的工作流程,启用VMware NSX-T 3.0分布式IDS配置使用NSX-T 3.0分布式IDS启动入门工作流程

对我而言,立即发现入侵检测签名更新可用。默认情况下,未选中自动更新新版本(推荐)框。如果您要自动下载这些文件,则可以选中此框,这是大多数人想要做的。单击立即更新链接以执行临时更新。

如您所见,启用分布式IDS很简单。通过独立主机部分和群集部分,您将看到切换按钮以启用分布式IDS。

更新NSX-T-3.0分布式IDS签名启用VMware NSX-T 3.0分布式IDS配置更新NSX-T 3.0分布式IDS签名

签名更新成功完成。

NSX-T-3.0分布式IDS签名更新成功启用VMware NSX-T 3.0分布式IDS配置NSX-T 3.0分布式IDS签名更新成功

单击切换按钮时,将需要确认启用分布式IDS功能。

在独立的ESXi主机或vSphere群集上启用分布式IDS启用VMware NSX-T 3.0分布式IDS配置在独立ESXi主机或vSphere群集上启用分布式IDS

切换按钮现已打开并启用。

NSX-T-3.0分布式IDS已在vSphere群集上启用启用VMware NSX-T 3.0分布式IDS配置已在vSphere群集上启用NSX-T 3.0分布式IDS

添加NSX-T 3.0分布式IDS配置文件

我们需要添加一个配置文件和包含与环境中流量匹配的配置文件的规则,以进行基本配置。单击“ 个人资料”下的 添加IDS个人资料**”**。

添加NSX-T-3.0-Distributed-IDS配置文件启用VMware NSX-T 3.0分布式IDS配置添加NSX-T 3.0分布式IDS配置文件

在这里,您可以检查严重程度,包括复选框,输入您想在配置文件中包括那些严重性。

命名新的IDS配置文件并设置严重性以包括启用VMware NSX-T 3.0分布式IDS配置命名新的IDS配置文件并设置严重程度以包括

此外,如果需要,您也可以排除特定的签名。

新配置文件中的签名以启用VMware NSX-T 3.0分布式IDS配置要在新配置文件中排除的签名

新配置文件已成功添加。

配置文件创建和状态成功启用VMware NSX-T 3.0分布式IDS配置个人资料已创建且状态成功

接下来,我们可以添加引用您在上面创建的配置文件的规则。在规则下,单击添加策略链接。

向新配置文件添加新策略以启用VMware NSX-T 3.0分布式IDS配置添加新策略以包括新配置文件

在下面,我添加了一条规则,该规则引用了我创建的IDS配置文件以及任何源和目标。为了使它生效,就像分布式防火墙一样,我们需要发布更改。

添加包括新配置文件的新策略后,发布新规则启用VMware NSX-T 3.0分布式IDS配置添加新策略(包括新配置文件)后,发布新规则

现在,新的分布式IDS规则已在环境中生效。简单!

新发布的NSX-T-3.0-Distributed-IDS规则已成功启用VMware NSX-T 3.0分布式IDS配置新的NSX-T 3.0分布式IDS规则已成功发布

总结

在用户界面中,启用VMware NSX-T 3.0分布式IDS配置的过程非常简单。VMware使工作流变得直观,您实际上可以在几分钟内在群集或独立主机上启动并运行基本策略。

新的分布式IDS / IPS提供了强大的新功能,这些功能将NSX-T环境中的安全性提高到一个新水平,并有助于保护内部工作负载免受环境中的横向威胁。