Configuration et application de la stratégie NSX (Policy) pour la protection contre les menaces réseau dans une infrastructure administrée par VMware NSX-T Manager
Pour configurer une stratégie NSX pour la protection contre les menaces réseau dans une infrastructure virtuelle administrée par VMware NSX-T Manager, procédez comme suit :
Créez un profil de service NSX (Service Profile) pour le service Kaspersky Network Protection comme suit :
Dans la Web Console VMware NSX Manager, dans la section Security → Network Introspection Settings, accédez à l'onglet Service Profiles et dans la liste déroulante Partner Service, sélectionnez le service Kaspersky Network Protection.
Cliquez sur le bouton Add Service Profile et indiquez les paramètres suivants :
Service Profile Name : nom aléatoire du profil de service NSX.
Vendor Template – Default Configuration.
Enregistrez le profil de service Kaspersky Network Protection (bouton Save).
Configurez la chaîne de services NSX (Service Chain) comme suit :
Dans la Web Console VMware NSX Manager, dans la section Security → Network Introspection Settings, accédez à l'onglet Service Chains.
Cliquez sur le bouton Add Chain et indiquez les paramètres suivants :
Service Chain Name : nom aléatoire de la chaîne de services NSX.
Forward Path : profil de service NSX qui doit traiter le trafic. Vous devez sélectionner le profil de service NSX créé à l'étape précédente de la procédure (profil de service Kaspersky Network Protection). La fenêtre de sélection du profil de service NSX s'ouvre via le lien Set Forward Path.
Il n'est pas recommandé d'ajouter d'autres profils de service NSX à la chaîne de services NSX qui contient le profil Kaspersky Network Protection.
Reverse Path : assurez-vous que la case Inverse Forward Path est cochée.
Failure Policy : Allow.
Enregistrez la chaîne de services NSX (bouton Save).
Créez une stratégie NSX de protection réseau comme suit :
Dans la Web Console VMware NSX Manager, dans la section Security → Network Introspection (E-W), cliquez sur le bouton Add Policy et spécifiez les paramètres suivants :
Name : nom aléatoire de la stratégie.
Redirect To : chaîne de services NSX vers laquelle le trafic est redirigé. Vous devez sélectionner la chaîne de services NSX créée à l'étape précédente de la procédure.
Enregistrez la stratégie (bouton Publish).
Si vous souhaitez vérifier le trafic entrant des machines virtuelles, créez dans la stratégie NSX une règle pour le trafic entrant comme suit :
Sélectionnez la stratégie que vous avez créée, et cliquez sur le bouton Add Rule.
Configurez les paramètres suivants :
Name : nom aléatoire de la règle.
Source : Any.
Destinations : groupe NSX (Group) qui inclut les machines virtuelles protégées.
Services : Any.
Applied To : groupe NSX qui inclut les machines virtuelles protégées.
Action : Redirect.
Enregistrez la stratégie (bouton Publish).
Si vous souhaitez vérifier le trafic sortant des machines virtuelles, créez dans la stratégie NSX une règle pour le trafic sortant comme suit :
Sélectionnez la stratégie que vous avez créée, et cliquez sur le bouton Add Rule.
Configurez les paramètres suivants :
Name : nom aléatoire de la règle.
Sources : groupe NSX qui inclut les machines virtuelles protégées.
Destinations : Any.
Services : Any.
Applied To : groupe NSX qui inclut les machines virtuelles protégées.
Action : Redirect.
Créez une stratégie NSX (bouton Publish).
Si vous avez créé les deux règles, la stratégie configurée redirigera le trafic entrant et sortant des machines virtuelles protégées vers le service Kaspersky Network Protection pour vérification.