VMware Hands-on Labs - HOL-1703-USE-2-JA


実習ラボの概要: HOL-1703-USE-2 - VMware NSX: マイクロ セグメンテーションを使用した分散ファイアウォール

実習ラボのガイダンス


注: この実習ラボの所要時間は 90 分以上を想定しています。まずは 2 ~ 3 モジュールを完了することを目指してください。モジュールは相互に独立しているため、どのモジュールから開始することも、どの順序で実施することもできます。[Table of Contents] を使って希望のモジュールに移動できます。

[Table of Contents] には実習ラボ マニュアルの右上からアクセスできます。

受講生はこの演習ラボで NSX のマイクロ セグメンテーション機能について学習し、分散ファイアウォール、SpoofGuard、セキュリティ グループ、セキュリティ ポリシー、Service Composer など、NSX のセキュリティ サービスを構成します。また、3 層アプリケーションを単一の L2 ドメインに集約するセキュリティ ユースケースや仮想マシンを高度にグループ化してファイアウォールとセキュリティ ポリシーを適用するセキュリティ ユースケースなどを確認するとともに、それらを所定の手順に従って実際に実施します。

実習ラボのモジュール リスト:

#039;#tag/c176390#039;>モジュール 2: 3 層アプリケーションの集約(15 分) ベーシック: このモジュールは機能の詳細説明です。受講生が実施すべき実習ラボの構成手順はありません。このモジュールでは、NSX 論理スイッチを使って、仮想マシンを Web、アプリケーション、データベースといった 3 層ネットワーク アーキテクチャから単一 L2 ドメインに移行する方法を実演します。この演習ラボも HOL-1703-USE 実習ラボの環境には実装されておらず、この環境で実施することはできません。


 

[Main Console] の場所

 

  1. 赤く囲われた領域に [Main Console] があります。実習ラボのマニュアルは [Main Console] の右側のタブから入手できます。
  2. 実習ラボを開始すると、セッションの残り時間が 90 分と表示されます。実習ラボは保存できません。すべての作業を実習ラボのセッション内で完了する必要があります。ただし、必要に応じて [EXTEND] をクリックすると時間を延長できます。VMware によるイベントでは、実習ラボの時間を最大 2 回、合計で 30 分延長できます。1 回のクリックで 15 分延長されます。VMware によるイベント以外では、実習ラボの時間は 9 時間 30 分まで延長できます。1 回のクリックで 1 時間延長されます。

 

 

キーボードに代わるデータ入力方法

このモジュールでは、[Main Console] へのテキスト入力を行います。キーボードで直接入力するほかに、複雑なデータを簡単に入力できる便利な方法が 2 つあります。

 

 

実習ラボのマニュアル内のテキストを選択してコンソールのアクティブ ウィンドウにドラッグ

実習ラボ マニュアル内のテキストや Command Line Interface (CLI) のコマンドを選択して、Main Console 内のアクティブ ウィンドウにドラッグすることもできます。 

 

 

オンライン上で提供されているキーボードを利用

 

Main Console 備え付けのオンライン キーボードを使用することもできます。

  1. Windows クイック起動ツール バー上のキーボード アイコンをクリックします。

 

 

コンソールのアクティブ ウィンドウを 1 クリック

 

この例では、オンライン キーボードを使用して、メール アドレスの 「@」 記号を入力します。US 配列のキーボードでは <Shift> + <2> を押すと 「@」 が入力されます。

  1. コンソールのアクティブ ウィンドウを 1 クリックします。
  2. <Shift> キーをクリックします。

 

 

@>キーをクリック

 

  1. <@> キーをクリックします。

コンソールのアクティブ ウィンドウに 「@」 が入力されたことを確認します。

 

 

画面右下を確認

 

実習ラボを始めるための所定の手続きが済み、開始準備が整っていることを確認してください。「Ready」 と表示されていない場合は数分間お待ちください。5 分経過しても実習ラボが 「Ready」 表示に変わらない場合はサポートに問い合わせてください。

 

 

アクティベーション プロンプトまたはウォーターマーク

 

実習ラボを初めて使うときに、Windows がアクティベートされていないことを示すウォーターマークが表示される場合があります。 

複数の仮想マシンを任意のプラットフォームで実行して同時に利用できることが仮想化の大きなメリットです。このメリットにより、複数のデータセンターから提供されるさまざまなハンズオン ラボを利用できます。ただし、こうしたデータセンターは必ずしも同じタイプのプロセッサーを使用しているとは限りません。そのため、インターネットを介して Microsoft のアクティベーション チェックが行われます。

しかし問題はありません。VMware とハンズオン ラボは、Microsoft のライセンス要件に完全に準拠しています。この実習ラボはご利用の OS とは独立した仮想マシンであるため、Windows アクティベーションに必要なインターネットへのアクセスが制限されています。そのために自動処理に失敗し、このウォーターマークが表示されます。

これは表面的な問題であり、実習ラボに影響はありません。 

 

Control Center ブラウザ言語設定(日本語)

Firefox ブラウザ言語設定 (日本語表示)


vSphere Web Clientはブラウザベースです。日本語表示するためには、ブラウザの言語設定を日本語に設定します。

なお、vSphere Web Client 以外の一部ツールでは英語表記となります。これはハンズオンラボ環境特有のものです。


 

Firefoxの起動

 

Firefoxアイコンをクリックし、 起動します。

 

 

Firefoxブラウザの日本語化

 

1. ウィンドウ右上のメニューを開きます。

2. [Options]  をクリックします。

 

 

Firefoxブラウザの日本語化

 

左側メニューから [Content] を選択します。

 

 

Firefoxブラウザの日本語化

 

[Languages] の [Choose...] をクリックします。

 

 

Firefoxブラウザの日本語化

 

[Select a language to add...] をクリックします。

 

 

Firefoxブラウザの日本語化

 

1. プルダウンから [Japanese [ja] ] を選択します。

2. [Add] をクリックします。

3. [OK] をクリックします。

4. Firefox を再起動します。

 

Google Chrome ブラウザ言語設定(日本語表示)


vSphere Web Client はブラウザベースです。日本語表示にする為には、ブラウザの言語設定を日本語に設定します。

なお、vSphere Web Client 以外の一部ツールでは英語表記となります。これはハンズオンラボ環境特有のものです。


 

Google Chrome の起動

 

Google Chrome を起動します。

 

 

Google Chrome のメニューを開く

 

ブラウザウィンドウ右上のメニューを開きます。

 

 

Google Chrome の設定画面を開く

 

[Settings] をクリックします。

 

 

Google Chrome の詳細設定を表示

 

1. 画面を下へスクロールします。

2. [Show advanced settings...] をクリックします。

 

 

Google Chrome の言語と入力の設定

 

画面を下へスクロールし、[Language and input setting...] をクリックします。

 

 

Google Chrome の言語と入力の設定

 

[Add] をクリックします。

 

 

Google Chrome の言語と入力の設定

 

1. プルダウンから [Japanese - 日本語] を選択します。

2. [OK] をクリックします。

 

 

Google Chrome の言語と入力の設定

 

1. 左側 [Languages] 内の [Japanese] を一番上までドラッグで移動させます。

2. [Done] をクリックします。

3. Google Chrome ブラウザを再起動します。

 

モジュール 1: Service Composer と分散ファイアウォールの概要 (45 分)

分散ファイアウォール: マイクロ セグメンテーションの概要


NSX 分散ファイアウォール (DFW) はハイパーバイザー カーネルに導入されるファイアウォールで、仮想化されたワークロードとネットワークの視認性と管理性を提供します。この DFW を使い、データセンター、クラスタ、仮想マシン名などの VMware vCenter オブジェクト、IP アドレスや IPSet アドレス、DVS ポート グループの VLAN、論理スイッチの VXLAN、などのネットワーク構成要素、ならびにセキュリティ グループ、Active Directory からのユーザー グループ ID などに基づいたアクセス制御ポリシーを作成できます。ファイアウォール ルールが各仮想マシンの仮想 NIC レベルで適用されるため、VMware vMotion を使って仮想マシンを移行するときでも、一貫性のあるアクセス制御ができます。このファイアウォールはハイパーバイザーに組み込まれているため、通信速度に近いスループットが実現し、物理サーバ上のワークロードの統合率が向上します。ファイアウォールの分散性により、新たなホストをデータセンターに追加した場合に、ファイアウォールのキャパシティを自動的に拡張するスケール アウト アーキテクチャが提供されます。

マイクロ セグメンテーションは NSX の分散ファイアウォール (DFW) コンポーネントによって稼動しています。DFW は ESXi ハイパーバイザーのカーネル レイヤーで動作し、通信速度に近い速度でパケットを処理します。各仮想マシンは専用のファイアウォール ルールとコンテキストを持ちます。DFW では vMotion (つまりは完全なワークロードのモビリティ) がサポートされ、移行中でも正常な接続が維持されます。この高度なセキュリティ機能では、関連する仮想マシンのグループを、個別の論理ネットワーク セグメントに分離することにより、データセンターのネットワークをよりセキュアにします。これにより管理者は、あるデータセンター セグメントから別のセグメントに伝送されるトラフィック (East-West トラフィック) にファイアウォールを適用できます。このようにしてデータセンター内部における攻撃者の水平方向の移動を制限できます。 

このモジュールの概要は次のとおりです。

分散ファイアウォールの基本機能

ファイアウォール機能のための IP 検出メカニズムの改善

Service Composer によるセキュリティの論理適用

デスクトップからモジュールを開始してください。仮想環境の制御およびアプリケーションや設定へのアクセスは、このデスクトップから行います。デスクトップから、仮想データセンターに導入した vCenter Server Appliance にアクセスします。

特記事項: README.txt という名前のファイルがデスクトップにあります。そこに記載されたユーザー アカウントとパスワードを使って、実習ラボのすべての仮想デバイスや仮想マシンを利用できます。


 

分散ファイアウォールのユーザーへの通知: マイクロ セグメンテーション セクション

HOL-1703-SDC-1 のモジュール 6 「分散ファイアウォール」 を修了した方には、本セクション 「分散ファイアウォール」 は同じ内容で重複となります。この実習ラボで再度学習する必要はありません。表示されているリンクをクリックすると、このセクションを飛ばして実習ラボの次のセクションに進みます。

#039;#tag/l525287#039;>ここをクリックして 「仮想マシンと SpoofGuard のための IP 検出メカニズムの改善」 モジュールに進みます。

 

 

キーボードに代わるデータ入力方法

このモジュールでは、[Main Console] へのテキスト入力を行います。キーボードで直接入力するほかに、複雑なデータを簡単に入力できる便利な方法が 2 つあります。

 

 

実習ラボのマニュアル内のテキストを選択してコンソールのアクティブ ウィンドウにドラッグ

 
 

実習ラボ マニュアル内のテキストや Command Line Interface (CLI) のコマンドを選択して、Main Console 内のアクティブ ウィンドウにドラッグすることもできます。 

 

 

vSphere Web Client へのアクセス

 

  1. デスクトップ上の Google Chrome という名前のアイコンから vSphere Web Client を起動します。

 

 

vSphere Web Client へのログイン

 

Windows セッション認証を使用して vSphere Web Client にログインします。

  1. [Windows セッションを使用してください] にチェックを入れると、自動的に administrator@corp.local / VMware1! の認証情報が入力されます。
  2. [ログイン] をクリックします。

 

 

新 NSX 分散ファイアウォールの詳細

 

  1. [Networking and Security] をクリックします。

 

 

[Installation] を開く

 

  1. [インストール手順] をクリックします。
  2. [ホストの準備] タブをクリックします。仮想データセンターのクラスタが表に表示されます。

NSX はクラスタ レベルでインストールされていることがわかります。つまり、インストール、削除、更新はすべてクラスタ レベルで行うことになります。物理ホストをそのクラスタに追加すると、クラスタには NSX が自動的に追加されます。これによってクラスタ レベルのネットワークとセキュリティを実現でき、仮想マシンを NSX をインストールしていないホストに移してしまう恐れがなくなります。

 

 

Web アプリケーションへのアクセスのためのルールの構成

分散ファイアウォールが 3 層アプリケーションにアクセスできるように設定します。このアプリケーションは 2 台の Web サーバと、アプリケーション サーバおよびデータベース サーバを 1 台ずつ利用しています。また、2 台の Web サーバにサービスを提供するロード バランサも利用されています。

 

 

PuTTY を用いた 3 層仮想マシン間の通信テスト

 

ネットワーク セグメント間、および 3 層アプリケーションを構成しているゲスト仮想マシン間の通信とアクセスをテストします。web-sv-01a のコンソールを開き、ほかのメンバーに対して ping を送信します。

  1. デスクトップ タスクバーにある PuTTY のショートカットをクリックします。
  2. [web-01a.corp.local] を選択します。 
  3. [Open] をクリックします。

 

 

web-01a からほかのメンバーへの ping の送信

 

次のように入力して、web-01a から web-02a に ping を送ります。

ping -c 2 172.16.10.12

web-01a、app-01a、db-01a の間の接続をテストするには次のように入力します。

ping -c 2 172.16.20.11
ping -c 2 172.16.30.11

(注: ping 出力の行末に 「DUP」 と表示されることがあります。これは、この仮想実習ラボ環境では、ネストした仮想化環境を使用していることと、仮想ルータでプロミスキャス モードを使用していることによります。これは本番環境では発生しません)。

後ほど使用するため、このウィンドウは閉じずに最小化します。

 

 

Web ブラウザを用いた 3 層アプリケーションの実演

 

ブラウザで 3 層アプリケーションにアクセスし、各層間の動作を実演します。

  1. 新しいブラウザ タブを開きます。
  2. ブックマークの [Customer DB App] をクリックします。

 

 

Web ブラウザを用いた 3 層アプリケーションの実演: 続き

 

Web 層から仮想マシン app-01a にわたり、最終的に仮想マシン db-01a を検索したデータが表示されます。

 

 

デフォルトのファイアウォール ポリシーの変更: 許可からブロックへ

 

このセクションでは、デフォルトで許可に設定されているルールをブロックに変更し、3 層アプリケーションへの通信ができなくなることを確認します。その後、新しいルールを作成して、安全な方法による通信を復元します。

 

 

デフォルト ルールの確認

 

  1. ドロップダウンの矢印をクリックして、このセクションを展開します。 

ルールに緑色のチェックマークがついています。これはルールが有効であることを意味します。ルールは、送信元 ([ソース])、送信先 ([ターゲット])、サービス ([サービス]) のフィールドを用いる標準的な方法で作成します。サービスは、プロトコルとポートの組み合わせです。

最後のデフォルト ルール ([デフォルト ルール]) は任意のソースから任意のターゲットへの接続を許可する基本的なルールです。

 

 

最後のデフォルト ルールの詳細

 

右にスクロールすると、デフォルト ルールに対するアクションを確認できます。[操作] が [許可] と表示されているフィールドにカーソルを置くと、鉛筆アイコンが表示され、このフィールドに対する選択肢を確認することができます。

 

 

最後のデフォルト ルールのアクションの変更: 許可からブロックへ

 

  1. [操作] で [ブロック] を選択します。
  2. [保存] をクリックします。 

 

 

デフォルト ルールの変更の発行

 

[変更の発行]、[変更を元に戻す]、[変更の保存] のいずれかを選択する緑色のバーが表示されます。[変更の発行] は、変更を分散ファイアウォールに転送します。[変更を元に戻す] は、変更をキャンセルします。[変更の保存] は、変更を保存します。保存した変更は後で発行することができます。

 

 

ルール変更により通信がブロックされることを確認

 

以前に開いた PuTTY とブラウザのセッションを使って、ブロックのルールをテストします。

 

 

ルールにより HTTPS がブロックされることを Web ブラウザで確認

 

  1. [HOL Multi-Tier App] のタブを開きます。
  2. ブラウザ画面を更新します。エラーが表示されます。
  3. [vSphere Web Client] のブラウザ タブをクリックします。

 

 

3 層セキュリティ グループの作成

 

  1. [Service Composer] をクリックします。

[Service Composer] では、仮想およびクラウド環境においてネットワークおよびセキュリティサービスを利用するための新しいモデルを定義します。簡単な仮想化と、付属のサービスまたはサード パーティ製のソリューションで機能強化したサービスの利用によって、ポリシーが使用できるようになります。これらのポリシーは、エクスポートおよびインポート機能を用いて再利用できるため、問題がある場合に環境を立ち上げて復旧するのが容易になります。再利用可能なオブジェクトの 1 つがセキュリティ グループです。Service Composer とセキュリティ グループについては、この後のモジュール 「Service Composer と分散ファイアウォールの概要」 で詳細に説明します。

 

 

セキュリティ グループの追加

 

  1. [Security Group] を選択します。注: ほかの実習ラボで使用する既存のセキュリティ グループが表示されている場合があります。
  2. セキュリティ グループを追加するには、セキュリティ グループ追加アイコンをクリックします。

 

 

新しいセキュリティ グループ: Web

 

  1. 最初のグループに [Web-tier] という名前を付けます。
  2. [含めるオブジェクトの選択] セクションをクリックします。

 

 

グループに含めるオブジェクトの選択

 

  1. [オブジェクト タイプ] のプルダウンから [仮想マシン] を選択します。
  2. 検索ウィンドウに 「web」 と入力してフィルタをかけられます。
  3. [web-01a] を選択します。
  4. 右向きの矢印をクリックして、この仮想マシンを [選択したオブジェクト] ウィンドウに追加します。
  5. [web-02a] についても、これを繰り返します。
  6. [終了] をクリックします。

注: 左側の仮想マシンをダブルクリックして右側に移動することもできます。

 

 

作成したセキュリティ グループの確認

 

2 台の仮想マシンを割り当てたセキュリティ グループ [Web-tier] が作成されました。

 

 

3 層アプリケーションのアクセス ルールの作成

 

新しいルールを追加して Web 仮想マシンにアクセスできるようにします。その後、各層間のアクセス設定をします。 

  1. 左側のメニューで [ファイアウォール] を選択します。

 

 

新しいファイアウォール セクションの作成

 

  1. [Flow Monitoring & Trace Flow Rules-Disabled by Default(ルール1)] の行の右端にある、フォルダのような形のセクション追加アイコンをクリックします。

 

 

3 層アプリケーションのための新しいルール セクションの追加

 

  1. セクション名に 「3-tier App」 と入力します。
  2. [セクションを上に追加] を選択します。
  3. [保存] をクリックします。

 

 

新しいセクションへのルールの追加

 

  1. 新しい [3-tier App] セクションの行で、緑色のプラス記号のルール追加アイコンをクリックします。

 

 

新しいルール名の編集

 

  1. ドロップダウンの矢印をクリックしてルールを開きます。
  2. [名前] フィールドの右上にカーソルを合わせ、鉛筆アイコンが現れるのを待ち、鉛筆アイコンをクリックします。

 

 

新しいルール名の編集: 続き

 

  1. ルール名に 「Ext to Web」 と入力します。
  2. [保存] をクリックします。

 

 

送信元および送信先のルールの設定

 

ソースの設定: ソースのルールは [任意] のままにします。

  1. [ターゲット] フィールド内にカーソルを合わせ、鉛筆アイコンをクリックします。

 

 

セキュリティ グループの設定

 

送信先の設定:

  1. [オブジェクト タイプ] のプルダウンをスクロールして [Security Group] を選択します。
  2. [Web-tier] を選択します。
  3. 右向きの矢印をクリックして、このオブジェクトを右側に追加します。
  4. [OK] をクリックします。

 

 

 

  1. [サービス] フィールドにカーソルを合わせ、鉛筆アイコンをクリックします。

 

 

サービスのルールの設定

 

検索フィールドでサービスを検索できます。 

  1. 「https」 と入力し、<Enter> キーを押して https に関連する名前のサービスをすべて表示します。
  2. [HTTPS] サービスを選択します。
  3. 右向きの矢印をクリックします。
  4. 注: 表示されている手順 1 ~ 3 を繰り返して [SSH] サービスを検索し、追加します。(SSH を必要とする別のモジュールで確認します)。
  5. [OK] をクリックします。

注: 変更を発行するか、キャンセルするかを選択する緑色のバーが表示されます。

さらにルールを追加するため、ここでは発行しないでください。

 

 

Web セキュリティ グループからアプリケーション論理スイッチへのアクセスを許可するルールの作成

 

次に 2 つ目のルールを追加します。Web セキュリティ グループからアプリケーション セキュリティ グループに、アプリケーション ポート経由でアクセスすることを許可するルールを追加します。 

  1. 鉛筆アイコンをクリックします。
  2. このルールは以前のルールの下位で処理するため、ドロップダウン ボックスで [下に追加] を選択します。

 

 

2 つ目のルールの名前の作成と送信元フィールドの設定

 

  1. [名前] フィールドにカーソルを合わせ、鉛筆アイコンをクリックします。ルール名に 「Web to App」 と入力します。
  2. [ソース] フィールドでは [Web-tier] の Security Group を選択します。

 

 

2 つ目のルールの送信先の作成

 

  1. [ターゲット] フィールドにカーソルを合わせます。
  2. 鉛筆アイコンをクリックして編集します。

 

 

2 つ目のルールの送信先フィールドの設定: 論理ネットワークの選択

 

1 つ目のルールでは、送信先に [Web-tier] セキュリティ グループを設定しました。同じ方法で残りのルールを設定することもできますが、ドロップダウン リストに表示されている定義済みの vCenter オブジェクトを使用できます。NSX セキュリティと統合した vSphere では、ルールの設定をゼロから初めるのではなく、既存の仮想データセンター オブジェクトをルールの設定に使えます。そのため多くの時間を節約できます。ここでは、VXLAN の論理スイッチを送信先に設定します。これによって、このネットワークに接続されたどの仮想マシンにも適用されるルールを作成できます。

  1. [オブジェクト タイプ] のプルダウンをスクロールして [論理スイッチ] を選択します。
  2. [App_Tier-Logical_Switch] を選択します。
  3. 右向きの矢印をクリックして、このオブジェクトを右側に追加します。
  4. [OK] をクリックします。

 

 

2 つ目のルールの作成

 

  1. [サービス] フィールド内にカーソルを合わせ、鉛筆アイコンをクリックします。

 

 

2 つ目のルールの作成フィールド: 新しいサービス

 

この 3 層アプリケーションでは Web 層とアプリケーション層の間で TCP ポート 8443 を使用します。新しいサービス [MyApp] を作成し、通信を許可します。

  1. [新規サービス] をクリックします。
  2. 名前に 「MyApp」 を入力します。
  3. [プロトコル] で [TCP] を選択します。
  4. ターゲットポートに 「8443」 を入力します。
  5. [OK] をクリックします。

 

 

[OK] をクリック

 

 

 

3 つ目のルールの作成: アプリケーション論理スイッチからデータベース論理スイッチへのアクセス許可

 

最後に同様の手順で、前回のルールの下に、アプリケーション層とデータベース層の間のアクセスを許可する 3 つ目のルールを作成します。

  1. MySQL 用に定義済みのサービスを利用して、アプリケーション論理スイッチとデータベース論理スイッチの通信を許可するルールを作成します。このサービスは定義済みであるため、新しく作成する必要はなく、一覧から見つけます。

新しいルールが例のようになっているか確認してください。

  1. 変更の発行

 

 

3 層アプリケーションの通信を許可する新しいルールの確認

 

  1. Web アプリケーションのタブに戻ります。
  2. ブラウザのページを更新して、3 層アプリケーションからデータを受け取っていることを確認します。

新しい [3-tier App] セクションで、アプリケーションにアクセスできます。

 

 

web-01a への PuTTY セッションの再開

 

  1. 左上のセッション アイコンをクリックします。
  2. [Restart Session] をクリックします。

 

 

各層間の Ping テスト

 

3 層アプリケーションのゲスト仮想マシンに Ping を送信します。

注: マニュアル内のテキストを選択してコンソールにドラッグする機能が便利です。

web-02a

ping -c 2 172.16.10.12

app-01a

ping -c 2 172.16.20.11

db-01a

ping -c 2 172.16.30.11

設定したルールでは各層間または各層のメンバー間で ICMP が許可されていないため、ping は通りません。各層間で ICMP を許可しないと、ほかのすべてのトラフィックがデフォルトのルールによってブロックされます。

 

 

3 層アプリケーションに分散ファイアウォールのルールを設定した後のトポロジー

 

仮想 NIC レベルのファイアウォールの相対的な適用ポイントを図に示します。分散ファイアウォールは vSphere ESXi ホストのカーネル ローダブル モジュール (KLM) ですが、ルールはゲスト仮想マシンの仮想 NIC に適用されます。このセキュリティは vMotion 実行中に仮想マシンとともに移行されるため、仮想マシンが 「攻撃を受けやすい時間」 を作ることなく、抜けのない保護ができます。

 

 

モジュールのクリーンアップ

 

次のモジュールに進む前に、デフォルト ルールを [許可] に戻す必要があります。

  1. [デフォルト ルール] の [操作] を [許可] に変更します。
  2. [変更の発行] をクリックします。

 

仮想マシンと SpoofGuard のための IP 検出メカニズムの改善


NSX Manager は、vCenter Server と同期した後、すべての vCenter のゲスト仮想マシンの IP アドレスを収集します。悪意のある通信が、IP アドレスを偽装してファイアウォール ポリシーを潜り抜け、仮想マシンを攻撃することがあります。

SpoofGuard ポリシーを特定のネットワークに対して作成することで、通知された IP アドレスを許可し、必要に応じてそれらを変更して、IP アドレスの偽装を防ぐことができます。SpoofGuard が本質的に信用するのは、VMX ファイルと vSphere SDK から収集した仮想マシンの MAC アドレスです。ファイアウォール ルールとは別に機能する SpoofGuard は、IP アドレスの偽装と特定されたトラフィックをブロックするために使用できます。

SpoofGuard では IPv4 アドレスと IPv6 アドレスの両方がサポートされています。IPv4 を使用している場合、SpoofGuard ポリシーでは、1 つの仮想 NIC に IP アドレスを 1 つだけ割り当てられます。IPv6 を使用している場合は、1 つの仮想 NIC に IP アドレスを複数割り当てられます。SpoofGuard ポリシーでは、次のいずれかのモードで、仮想マシンから通知された IP アドレスが監視および管理されます。

仮想マシンから届いたすべてのトラフィックが許可され、仮想 NIC と IP アドレスの対応テーブルが作成されます。いつでもこのテーブルの内容を確認し、IP アドレスを変更できます。このモードでは、仮想 NIC 上のすべての IPv4 アドレスおよび IPv6 アドレスが自動許可されます。

仮想 NIC と IP アドレスの各割り当てを許可するまで、すべてのトラフィックがブロックされます。

注: DHCP 要求は、基本的に有効モードにかかわらず SpoofGuard によって許可されます。ただし、手動モードの場合、DHCP で割り当てられた IP アドレスが承認されるまで、トラフィックはブロックされます。

SpoofGuard にはシステムで生成されたデフォルトのポリシーが含まれ、ほかの SpoofGuard ポリシーがカバーしないポート グループと論理ネットワークに適用されます。新しく追加されたネットワークは、管理者が既存のポリシーまたはそのネットワーク用の新しいポリシーに追加するまで、デフォルトのポリシーに追加されます。

NSX の分散ファイアウォールの処理では、送信元または送信先として指定したオブジェクトの IP アドレスを検出する必要があります。NSX 6.2 より前のバージョンでは、仮想マシン内の VMware Tools でこの操作を行います。ここでは、VMware Tools を使用しないで IP アドレスを検出する方法を学習します。この練習で使用する仮想マシン [linux-01a] には、VMware Tools がインストールされていません。したがって、NSX 分散ファイアウォールは、別の機能を使用しないと IP アドレスを検出できません。


 

SpoofGuard の設定の確認

 

[vSphere Web Client] のブラウザ タブをクリックします。

  1. [ホーム] アイコンをクリックします。
  2. [Networking and Security] をクリックします。

 

 

SpoofGuard の詳細

 

  1. ナビゲータの [SpoofGuard] をクリックします。

 

 

SpoofGuard のポリシーとステータスの詳細

 

SpoofGuard ウィンドウには、SpoofGuard のステータスを確認できるいくつかの情報エリアがあります。

A. [IP 検出タイプ]: すでに説明したように SpoofGuard は、デフォルトでは VMware Tools を使用して仮想マシンの IP アドレスを検出します。ただし、DHCP スヌーピングと ARP スヌーピングを使用して IP アドレスを検出することもできます。この操作は、仮想マシンに VMware Tools が導入されていない場合に必要になります。現在の実習ラボの環境は [なし] に設定されています。これは VMware Tools のみが使用されていることを示します。

B. [ポリシー]: すべてのネットワークをカバーするデフォルトのポリシーが最初から設定されています。自分で任意のネットワークに適用する独自のポリシーを作ることもできます。複数のポリシーがある場合、リストの特定のポリシーをクリックすると次のセクションに移行します。

C. [表示]: このプルダウンを使用すると、表示されている [アクティブな仮想 NIC] 以外にも、仮想マシンのインベントリ アクセスの管理に便利なビューを選択できます。

D. [ポリシー詳細]: このウィンドウ ペインに、選択したビューが表示されます。仮想 NIC、MAC アドレス、仮想マシン名、検出された IP アドレス、送信元 (検出方法: VMware Tools、DHCP、ARP)、アクションが表示されます。

 

 

Linux 仮想マシンのフィルタリング

 

  1. [表示] を 「最後の発行以降のアクティブな仮想 NIC」 に変更します。
  2. 検索フィールドに 「lin」 と入力し、<Enter> キーを押します。

この時点では、SpoofGuard で仮想マシン 「linux-01a.corp.local」 が検出されません。検出されない理由は、VMware Tools がインストールされていないからです。現在、SpoofGuard で検出を行うには必ず VMware Tools が必要になります。

 

 

仮想マシン 「linux-01a」 の検索

 

  1. 右上の検索フィールドに 「lin」 と入力し、仮想データセンター全体から検索します。
  2. 仮想マシン 「linux-01a.corp.local」 をクリックします。

 

 

仮想マシン データおよびリモート コンソールの起動

 

VMware Tools がインストールされていない場合、仮想マシンの IP アドレスのデータは表示されません。

  1. [Remote Console を起動] をクリックして、linux-01a に接続するコンソールを開きます。

 

 

仮想マシン 「linux-01a」 へのログイン

 

  1. ウィンドウ内をクリックし、キーボード フォーカスをウィンドウに当てます。
  2. <Enter> キーを押すと、入力応答があります。
  3. ユーザー名に 「root」 と入力します。
  4. [Password] に 「VMWare1!」 と入力して <Enter> キーを押します。

 

 

linux-01a の IP アドレスの確認

 

  1. 「ifconfig」 と入力し、仮想マシンの IP 情報を取得します。

この仮想マシンの IP アドレスは 192.168.120.115 です。

 

 

linux-01a のゲートウェイに ping を実行

 

「ping -c 2 192.168.120.1」 と入力して <Enter> キーを押すと、linux-01a のゲートウェイに ping を実行します。

ping -c 2 192.168.120.1

ping 応答が表示されます。

 

 

vSphere Web Client に戻る

 

  1. 注: 仮想マシンのリモート コントロール コンソールからカーソルを解放するには、<Ctrl> + <Alt> キーを押します。
  2. [vSphere Web Client] ブラウザ タブをダブル クリックします。

 

 

SpoofGuard に戻る

 

  1. 戻るボタンをクリックします。

 

 

SpoofGuard のステータス確認

 

  1. [表示] を 「最後の発行以降のアクティブな仮想 NIC」 に設定します。
  2. もう一度 「lin」 を検索します。

ping 操作を行なった後も、「linux-01a」 が表示されないことを確認します。

 

 

IP 検出タイプの変更

 

  1. [変更] ボタンをクリックします。
  2. [ARP スヌーピング] チェック ボックスをオンにします。
  3. [OK] をクリックします。

 

 

デフォルト ポリシーの編集

 

[IP 検出タイプ] が 「ARP」 に変更されたことに注目してください。

  1. 鉛筆アイコンをクリックして [デフォルト ポリシー] を編集します。

 

 

デフォルト ポリシーの有効化

 

  1. [有効] ラジオ ボタンをクリックします。
  2. [使用前に全ての IP 割当を手動で検査して承認] ラジオ ボタンをクリックします。
  3. [終了] をクリックします。

 

 

linux-01a の VMRC に戻る

 

  1. 上矢印キーを押して、直前の ping コマンドを再実行します。

パケット ロスが 100 % であることを確認します。 

  1. <Ctrl> + <Alt> キーを押して、VMRC ウィンドウからカーソルを解放します。

 

 

vSphere Web Client に戻ります。

 

  1. [表示] を 「承認が必要な仮想 NIC IP」 に設定します。
  2. 「lin」 を検索します。

今度は linux-01a が表示され、ARP 経由での送信元の検出に成功したことを確認します。

  1. 右にスクロールします。

 

 

仮想マシン 「linux-01a」 の IP 承認

 

Linux 仮想マシンは ARP スヌーピングを使用して検出されました。

  1. [承認] をクリックします。

 

 

IP の承認変更の発行

 

  1. [変更の発行] をクリックします。

 

 

仮想マシン linux-01a のゲートウェイに ping を再実行

 

  1. 上矢印キーを押して、直前の ping コマンドを再実行します。

今度は linux-01a に承認済みの IP が表示され、通信が許可されていることがわかります。

 

 

次のレッスン用に SpoofGuard のポリシー編集をクリーンアップ

 

このモジュールを続行するには、SpoofGuard を無効にする必要があります。

  1. 鉛筆アイコンをクリックして [デフォルト ポリシー] を編集します。

 

 

SpoofGuard のデフォルト ポリシーを無効にする

 

  1. [無効] ラジオ ボタンをクリックします。
  2. [終了] をクリックします。

 

 

SpoofGuard まとめ

これで、「仮想マシンと SpoofGuard のための IP 検出メカニズムの改善」 セクションは終了です。SpoofGuard を活用し、VMware Tools がインストールされていなくても、仮想マシンの IP アドレスを検出してネットワークに接続できました。

 

セキュリティ グループの概要


「分散ファイアウォール: マイクロ セグメンテーションの概要」 で紹介したセキュリティ グループの機能を確認します。NSX セキュリティ グループを使用すると、保護する資産を指定する論理的なグループを作成できます。セキュリティ グループには、静的 (特定の仮想マシンを指定) と動的 (次の 1 つまたは複数の条件によりメンバーシップを定義) なものがあります:

セキュリティ グループにはメンバーの出入りが頻繁にあることに注意してください。たとえば、タグ 「AntiVirus.virusFound」 が付いた仮想マシンを 「隔離」 セキュリティ グループに移す設定を行なったとします。ウイルスが除去された時点でこのタグは取り除かれ、その仮想マシンは 「隔離」 セキュリティ グループから外れます。


 

Service Composer へのアクセス

 

  1. 左側のパネルで [Service Composer] をクリックします。

 

 

Web セキュリティ グループの作成

 

  1. [Services Composer] で、[Security Group] タブをクリックします。
  2. [新規 Security Group] アイコンをクリックします。
  3. [名前] ダイアログ ボックスに 「Web Security Group」 と入力します。
  4. [次へ] をクリックします。

 

 

オブジェクト リストの詳細

 

  1. [基準の詳細]の項目で一番左のドロップダウン ボックスを選択します。

コンピュータの OS 名、コンピュータ名、仮想マシン名、セキュリティ タグ、エンティティという選択肢があります。[エンティティ] を選ぶと、vCenter のさまざまな要素 (リソース プール、ディレクトリのドメインのグループ、論理スイッチ、分散ポート グループなど) から選択できます。

 

 

オブジェクト メンバーの条件リストの詳細

 

  1. [基準の詳細]の項目で中央のドロップダウン ボックスを選択します。

[基準] の選択肢は、指定したオブジェクト タイプに応じて変わります。 

 

 

動的メンバーシップの定義

 

  1. 最初の [基準の詳細] ドロップダウン リストから [仮想マシン名] を選択します。
  2. 中央のドロップダウン リストで、[含む] が選択されていることを確認します。
  3. ダイアログ ボックスに 「web」 と入力します。
  4. [終了] をクリックします。

 

 

メンバーの表示

 

  1. [仮想マシン] 列から、新しい Web セキュリティ グループに関連付けられた仮想マシンを示す数字をクリックします。

注: 「Web」 セキュリティ グループの [Virtual Machines] 列には 「6」 が表示されます。ここでは大文字小文字の区別なく 「WEB」 が名前に含まれる仮想マシンが、IP ネットワークにかかわらずすべて含まれます。

  1. ダイアログ ボックスの右上にある [X] をクリックしてウィンドウを閉じます。

 

セキュリティ ポリシーの概要


NSX セキュリティ ポリシーは、ファイアウォール ルール、エンドポイント サービス、ネットワーク内部監視サービスのようなサービス構成の集合として設定できます。ファイアウォール ルールは、セキュリティ グループへのトラフィック、セキュリティ グループからのトラフィック、またはセキュリティ グループ内のトラフィックを定義するルールの集まりです。エンドポイント サービスは、ウイルス対策サービスや脆弱性管理サービスなど、NSX のデータ セキュリティまたはサードパーティ ソリューション プロバイダのサービスです。ネットワーク内部監視サービスとは、IPS などのネットワークを監視するサービスです。

NSX でのサービス導入中、導入するサービスのサービス カテゴリはサードパーティ ベンダーが選択します。各ベンダーのテンプレートに、デフォルトのサービス プロファイルが作成されます。

注: 同じセキュリティ ポリシーを複数のセキュリティ グループに適用する必要がある場合、それらのグループを 1 つにまとめた親のセキュリティ グループを作成し、各グループを子として含めます。その後、共通のセキュリティ ポリシーを親のセキュリティ グループに適用します。これにより、NSX の分散ファイアウォールが使用する ESXi のホスト側のメモリ効率が高まります。


 

新しいセキュリティ ポリシーの作成

 

  1. [Service Composer] パネルで [セキュリティポリシー] タブを選択します。
  2. [セキュリティポリシーの作成] アイコンをクリックします。
  3. [名前] フィールドに 「Block Web-to-Web Traffic」 と入力します。
  4. 左側のパネルで [ファイアウォール ルール] をクリックします。

 

 

新しいファイアウォール ルールの作成

 

  1. 緑色のプラス記号をクリックして、新しいファイアウォール ルールを追加します。
  2. [名前] フィールドに 「Block Web-to-Web Traffic」 と入力します。
  3. [操作] リストから [ブロック] を選択します。
  4. [ターゲット: 任意] の右側にある [変更...] をクリックします。

 

 

ファイアウォール ルール: 送信先の選択

 

  1. 選択肢の一番上にある [ポリシーの Security Group] を選択します。
  2. [OK] をクリックします。

注: ここでセキュリティ ポリシーを適用する [ポリシーの Security Group] は、いま作成しているファイアウォール ルールの送信元および送信先として定義されます。

 

 

[OK] をクリック

 

  1. [OK] をクリックします。

 

 

セキュリティ ポリシーの定義を完了

 

  1. [終了] をクリックします。

 

 

セキュリティ ポリシーをセキュリティ グループに適用

 

  1. 「Block Web-to-Web Traffic」 セキュリティ ポリシーを選択します。
  2. [セキュリティポリシーの適用] アイコンをクリックします。
  3. [Web Security Group] を選択します。
  4. [OK] をクリックします。

 

 

セキュリティ ポリシーの適用の確認

 

  1. [ステータスの同期] 列が [成功] に変わっていることを確認します。
  2. [適用先] 列に 「1」 と表示されていることを確認します。
  3. [ファイアウォール ルール] 列に 「1」 と表示されていることを確認します。

この情報により、NSX のファイアウォール ルールとの同期が成功し、ルールがセキュリティ グループに正しく適用されているかどうか確認できます。

 

 

ファイアウォール ルールの同期の確認

 

  1. [ファイアウォール] をクリックします。

 

 

Service Composer のファイアウォール ルールの閲覧

 

  1. ファイアウォールのセクション 「Block Web-to-Web Traffic」 を展開し、ルールが作成されたことを確認します。

 

 

変更の発行

 

  1. [Publish Changes] をクリックします。

 

 

PuTTY を用いた Web 仮想マシン間の通信テスト

 

3 層アプリケーションを構成している Web 仮想マシン間の通信とアクセスをテストします。最初のテストでは web-01a のコンソールを開き、web-02a に ping を送信します。

  1. デスクトップ タスクバーにある PuTTY のショートカットをクリックします。
  2. [web-01a.corp.local] を選択します。
  3. [Open] をクリックします。

 

 

web-01a から web-02a への ping 送信

 

まずは、web-01a から web-02a への ping で応答がないことを確認します。

  1. web-02a に ping を送信します。
ping -c 2 web-02a

Web 仮想マシン間での ping 送信は、セキュリティ ポリシーにより失敗します。

 

Service Composer キャンバスの確認


Service Composer には、選択した NSX Manager 内のすべてのセキュリティ グループを表示するキャンバス ビューがあります。このビューには、各セキュリティ グループのメンバーや、メンバーに適用されるセキュリティ ポリシーなどの詳細情報も表示されます。

このトピックでは、部分的に構成済みのシステムを使って、Service Composer の概要を紹介します。ここでは、セキュリティ グループとセキュリティ ポリシー オブジェクトとの間のマッピングをキャンバス ビューで全体的に可視化できることがわかります。


 

Service Composer キャンバスのグラフィカル表示

 

 

  1. [キャンバス] タブをクリックします。

選択した NSX Manager 内のすべてのセキュリティ グループが、適用されているポリシーとともに表示されます (別のセキュリティ グループに含まれているものは表示されません)。NSX Manager のドロップダウンには、ログイン中のユーザーがロールを割り当てられている、すべての NSX Manager が一覧化されます。

キャンバス内の長方形のボックスは、セキュリティ グループを表しています。ボックス内のアイコンは、セキュリティ グループのメンバーと、そのセキュリティ グループにマッピングされているセキュリティ ポリシーの詳細を表しています。

 

 

 

適用されているセキュリティ ポリシー

 

各アイコンの隣に表示される数字は、インスタンスの数を表します。たとえば、セキュリティ ポリシーのアイコンの隣に 「1」 と表示されている場合、そのセキュリティ グループにはポリシーが 1 つマッピングされていることを表します。

 

 

ネストされたセキュリティ グループ

 

このアイコンは、メインのセキュリティ グループ内でネストしているセキュリティ グループを表します。いま操作しているセキュリティ グループには、ネストしたグループはありません。

 

 

有効な仮想マシンのメンバー

 

  1. キャンバスの左下にある仮想マシンのアイコンをクリックします。
  2. ウィンドウを閉じます。

メインのセキュリティ グループおよびネストされたセキュリティ グループに含まれている仮想マシンを示しています。サービス エラーの発生している仮想マシンがある場合、[(0)個のエラー] タブをクリックすると、それらの仮想マシンを表示できます。

 

 

セキュリティ グループにマッピングされた有効なセキュリティ ポリシー

 

  1. キャンバスの右上にある、セキュリティ ポリシーのアイコンをクリックします。

任意で行う設定

  1. ウィンドウを閉じます。

 

 

有効なゲスト内部監視サービス

 

  1. [ゲスト イントロスペクションサービス] をクリックすると、そのセキュリティ グループにマッピングされたセキュリティ ポリシーに関連するサービスを表示します。

そのセキュリティ グループに適用されているポリシーが 2 つあり、どちらも同じカテゴリの Endpoint サービスが構成されているとします。この場合、有効なサービスの数は 「1」 です (優先順位の低い 2 番目のサービスは上書きされるため)。

注: ゲスト内部監視サービスの障害は [(0)個のエラー] タブに表示されます。[(0)個のエラー] タブをクリックして問題点を表示します。

  1. ウィンドウを閉じます。

 

 

有効なファイアウォール ルール

 

  1. [ファイアウォール ルール] アイコンをクリックして、そのセキュリティ グループにマッピングされたセキュリティ ポリシーに関連するファイアウォール ルールを表示します。
  2. ウィンドウを閉じます。

 

 

有効なネットワーク内部監視サービス

 

  1. [ネットワーク イントロスペクション サービス] をクリックして、そのセキュリティ グループにマッピングされたセキュリティ ポリシーに関連するサービスを表示します。

注: 同様に、ネットワーク内部監視サービスの障害は [(0)個のエラー] タブに表示されます。[(0)個のエラー] タブをクリックして問題点を表示します。

  1. ウィンドウを閉じます。

 

 

セキュリティ グループの検索

 

  1. キャンバス ウィンドウの右上にある検索フィールドに 「Web」 と入力すると、名前に 「Web」 が含まれるセキュリティ グループのみを表示します。

 

 

セキュリティ グループの階層表示

 

  1. ウィンドウの左上にある [トップ レベル] アイコンをクリックします。
  2. [Web Security Group] をクリックします。

こうしてセキュリティ グループの階層を表示すると、ネストされたセキュリティ グループがこのセキュリティ グループに存在するかどうかを確認できます。

 

 

親のセキュリティ グループ サービスの表示

 

上のバーには親のセキュリティ グループの名前が表示されます。バーのアイコンには親のグループに該当するセキュリティ ポリシー、エンドポイント サービス、ファイアウォール サービス、ネットワーク内部監視サービスの総数が表示されます。

  1. ウィンドウの左上にある青い [一つ上のレベルへ移動] 矢印アイコンをクリックすると、一番上の階層に戻ります。

 

 

キャンバス ビューのスムーズな拡大と縮小

 

キャンバス ビューは、スムーズに拡大と縮小ができます。ウィンドウの右上にあるズーム スライダーをドラッグします。[ナビゲータ] ボックスには、キャンバス全体が見える縮小ビューが表示されます。キャンバスがコンピュータで表示できる画面より大きいサイズの場合、実際に見えている領域を示す四角形が表示されます。これを動かすと、表示するキャンバス領域を変更できます。

 

モジュール 1: まとめ


モジュール 1 の、Service Composer と分散ファイアウォールの説明はこれで終わりです。ここでは静的および動的なセキュリティ グループの作成、静的および動的なセキュリティ ポリシーの適用 (ファイアウォール ルールを含む)、VMware Tools が導入されていない環境での SpoofGuard を使用したネットワーク上の仮想マシンの検出および許可について学習しました。


 

モジュール 1 の終了

モジュール 1 はこれで終了です。お疲れ様でした。

NSX のルーティング機能について、さらに詳しい情報が必要な場合は、表示されている URL から NSX 6.2 ドキュメント センターをご確認ください。

表示されているモジュールのうち、最も関心の高いものに進んでください。

実習ラボのモジュール リスト:

実習ラボ責任者

 

 

実習ラボの終了方法

 

実習ラボを終了するには、[終了] ボタンをクリックします。

 

モジュール 2: 3 層アプリケーションの集約機能の詳細説明 (15 分)

NSX の分散ファイアウォール機能で集約されたアーキテクチャの保護


このモジュールでは、分散ファイアウォール (DFW) 機能を使用して、NSX で従来のマルチティア ネットワーク アーキテクチャを単一のフラット ネットワークに集約し、同時にアプリケーションの分離を確保する方法を学習します。これはセキュリティにおいて、ネットワーク中心のアプローチを止め、ワークロードを中心としたアプローチに転換する場合に必須となる機能です。ここでは 2 つのアプリケーション (「HR」 および 「Finance」) を使用します。どちらも同じ論理スイッチおよびサブネットに配置されています。  

これらに対して次の構成とテストを行います。

この実習ラボ モジュールを修了すると、同じネットワーク インフラストラクチャにある複数のアプリケーションを NSX 分散ファイアウォールで保護および分離でき、同時にアプリケーション内の通信を許可して機能を正常に保てることがわかります。 


 

サンプルのネットワーク アーキテクチャの確認

 

3 層ネットワーク アプリケーションを単一のネットワークに集約する前に、ネットワークが Web 層、アプリケーション層、データベース層の 3 つのレイヤーからなる個別のサブネットに分割された 3 層アプリケーションの例を確認します。ここで注目したいのは、セキュリティ ファイアウォール ルールが欠けているため、同じレイヤー 2 ドメインにある仮想マシン間の通信が保護されていない点、およびアプリケーションの各層の間の通信も保護されていない点です。こうした複数の層からなるワークロードを大量にスケール アウトする必要が出てきた場合の選択肢は 2 つあります。1 つはサブネットを追加導入することです。もう 1 つは複数のアプリケーション コンポーネント (複数のアプリケーションの各データベースなど) を同じ L2 ドメインに展開することです。 

たとえば、複数のアプリケーションで使用できるデータベース コンポーネントを 「DB-Tier」 ネットワーク上に用意します。従来のファイアウォールでは、このようなデータベース間の保護が存在しません。この状態では、いずれかの仮想マシンのデータベースへのアクセス権のあるユーザーが、同じネットワーク上のほかのデータベースにもアクセスできてしまう可能性があります。NSX の分散ファイアウォールでは、ネットワーク構成全体を単一の L2 セグメントに集約することで、各アプリケーションの機能を損なわずに、それぞれのアプリケーションを分離できます。

 

 

集約したネットワーク トポロジーの確認

 

時間を節約するため、論理スイッチを用意してあります。「Collapsed_Logical_Switch」 という名前で、サブネットは 「172.16.60.0/24」 です。この単一のサブネットに、2 つのマルチティア アプリケーション (HR および Finance) を移行してあります。現在、このネットワークに適用されているセキュリティはありません。

HR アプリケーションおよび Finance アプリケーションに対応する仮想マシン間の通信を検証した後、セキュリティ グループを作成してください。論理的なファイアウォール ルールを適用し、仮想マシン間の通信の保護と制御を行います。

 

 

vSphere Web Client へのアクセス

 

  1. [Main Console] ウィンドウで、Google Chrome のショートカットをクリックします。

 

 

vSphere Web Client へのログイン

 

デフォルトのホーム ページは vSphere Web Client です。

  1. [Window セッション認証を使用してください] をクリックすると、自動的に administrator@corp.local / VMware1! の認証情報が入力されます。
  2. [ログイン] をクリックします。

 

 

ネットワーク  UI へのアクセス

 

  1. [Networking and Security] をクリックします。

 

 

論理スイッチへの移動

 

  1. 左側のメニューで [論理スイッチ] をクリックします。
  2. [Collapsed_Logical_Switch] (セグメント ID - 5004) をダブルクリックします。

 

 

接続されている仮想マシンの表示

 

  1. [仮想マシン] をクリックします。

人事アプリケーションと財務アプリケーション両方の仮想マシン (fin-db-01a.corp.local、fin-app-01a.corp.local、fin-web-01a.corp.local、hr-web-01a.corp.local、hr-db-01a.corp.local、hr-app-01a.corp.local) が表示されます。

 

 

財務アプリケーションの稼動検証

 

  1. Chrome で新しいタブを開きます。
  2. ブックマーク [Finance_App] をクリックします。

財務部門コスト センターのデータベースにアクセスしているかどうかを検証します。fin-web-01a からデータを受信しています。

 

 

人事アプリケーションの検証

 

  1. Chrome で新しいタブを開きます。
  2. ブックマーク [HR_App] をクリックします。

医療制度加入者のデータベースにアクセスしているかどうかを検証します。

 

 

仮想マシン fin-web-01a のリモート コンソールの起動

 

  1. [vSphere Web Client] タブをクリックします。
  2. [fin-web-01a.corp.local] をクリックします。
  3. [サマリ] タブをクリックします。
  4. [Remote Console を起動] をクリックします。

 

 

仮想マシン fin-web-01a にログイン

 

Virtual Machine Remote Console (VMRC) ウィンドウを最初に開いたときは、全体が黒く表示されます。ウィンドウ内をクリックし、<Enter> キーを数回押すと、スクリーンセーバーが終了してコンソールが表示されます。

  1. 「root」 としてログインします。
  2. パスワードに 「VMware1!」 と入力します。

 

 

財務 Web 仮想マシンと人事アプリケーション仮想マシン間の ping テスト

 

次のコマンドを入力し、fin-web-01a から hr-web-01a と hr-db-01a に ping を送信して、人事と財務のアプリケーション間の通信テストを行います。

  1. ping -c 3 hr-web-01a
# ping -c 3 hr-web-01a
  1. ping -c 3 hr-db-01a
# ping -c 3 hr-db-01a

人事と財務のアプリケーション仮想マシンが相互に通信できることが検証されました。これは望ましいセキュリティ モデルではありません。人事アプリケーションにアクセスできるユーザーであれば、たとえば財務アプリケーションのコンポーネントにも簡単にアクセスできるということです。

注: リモート コンソール ウィンドウからカーソルを解放するには、<Ctrl> + <Alt> キーを押します。

 

 

vSphere Web Client セッションに戻る

 

  1. タスク バーにある vSphere Web Client ブラウザのアイコンをクリックします。

 

 

仮想マシン hr-db-01a のリモート コンソールの起動

 

  1. [hr-db-01a.corp.local] をクリックします。
  2. [サマリ] をクリックします。
  3. [Remote Console を起動] をクリックします。

注: リモート コンソールを起動するには、仮想マシンの [サマリ] タブが選択されている必要があります。デフォルトで選択されていない場合は、[サマリ] タブをクリックしてください。

 

 

仮想マシン hr-web-01a へのログイン

 

VMRC ウィンドウを最初に開いたときは、全体が黒く表示されます。ウィンドウ内をクリックし、<Enter> キーを数回押すと、スクリーンセーバーが終了してコンソールが表示されます。

  1. 「root」 としてログインします。
  2. パスワードに 「VMware1!」 と入力します。

 

 

人事仮想マシンと財務アプリケーション仮想マシン間の ping テスト

 

次のコマンドを入力し、hr-db-01a から fin-app-01a と fin-db-01a に ping を送信して、人事と財務のアプリケーション間の通信テストを行います。

  1. ping -c 3 fin-app-01a
# ping -c 3 fin-app-01a
  1. ping -c 3 fin-db-01a
# ping -c 3 fin-db-01a

人事と財務のアプリケーション仮想マシンが相互に通信できることが検証されました。集約されたアプリケーション層でアプリケーションの分離を可能にするため、分散ファイアウォールを設定して、セキュリティ グループの通信を阻止します。

注: リモート コンソール ウィンドウからカーソルを解放するには、<Ctrl> + <Alt> キーを押します。

 

 

vSphere Web Client に戻る

 

  1. タスク バーにある vSphere Web Client ブラウザのアイコンをクリックします。

 

 

[Networking  Security] に戻る

 

  1. [バック] ボタンをクリックして、[Networking and Security] に戻ります。

 

 

ファイアウォール構成へのアクセス

 

  1. 左側の [ナビゲータ] メニューで [ファイアウォール] をクリックします。

 

 

新しいセクションの追加

 

  1. Firewall 構成ルールの 1 行目で、緑色のプラス記号が付いたフォルダのアイコンをクリックします。

 

 

新しいファイアウォール セクションに名前を付ける

 

  1. 新しいセクション名を 「Collapsed App Tier Rules」 と入力します。
  2. [セクションを上に追加] をクリックします。
  3. [保存] をクリックします。

注: 変更はまだ発行しないでください。

 

 

新しいファイアウォール ルールの作成

 

  1. 新しいセクション名 [Collapsed App Tier Rules] の右側にある緑色のプラス記号アイコンをクリックして、新しいファイアウォール ルールを追加します。

 

 

新しいルールを開く

 

  1. 展開 / 折りたたみアイコンをクリックし、[Collapsed App Tier Rules] セクションのドロップダウン メニューを開きます。
  2. [名前] セルの右側にカーソルを合わせ、鉛筆アイコンをクリックして、新しいルールの名前を編集します。

 

 

「Block HR to Finance Traffic」 というルール名を付ける

 

  1. [ルール名] フィールドに 「Block HR to Finance Traffic」 と入力します。
  2. [保存] をクリックします。

 

 

ソース オブジェクトの編集

 

  1. 編集アイコン (鉛筆のアイコン) をクリックして、ソース オブジェクトを編集します。

 

 

人事アプリケーションのセキュリティ グループ作成

 

  1. [オブジェクト タイプ] ドロップダウン メニューから [Security Group] を選択します。
  2. [新規 Security Group] をクリックし、人事アプリケーションのセキュリティ グループを定義します。

 

 

人事アプリケーションのセキュリティ グループに名前を付ける

 

  1. セキュリティ グループの名前として、[名前] に 「HR App」 と入力します。
  2. [次へ] をクリックします。

 

 

動的メンバーシップの定義

 

  1. [基準の詳細] ドロップダウン メニューから [仮想マシン名] を選択します。
  2. テキスト フィールドに 「hr」 と入力し、この条件を仮想マシンの名前に設定します。
  3. [終了] をクリックします。

注: [基準の詳細] の中央にあるドロップダウン メニューは [含む] のままにしておきます。これにより、仮想マシンの名前に 「hr」 という文字が含まれ、実習環境ですべての人事仮想マシンを見つけることができます。

 

 

人事アプリケーションが選択されていることを確認

 

  1. 新しいセキュリティ グループ [HR App] が [選択したオブジェクト] に追加されていることを確認します。
  2. [OK] をクリックします。

 

 

ターゲット オブジェクトの編集

 

  1. 編集アイコン (鉛筆のアイコン) をクリックして、ターゲット オブジェクトを編集します。

 

 

財務アプリケーションのセキュリティ グループの作成

 

  1. [オブジェクト タイプ] ドロップダウン メニューから [Security Group] を選択します。
  2. [新規 Security Group] をクリックし、財務アプリケーションのセキュリティ グループを定義します。

 

 

財務アプリケーションのセキュリティ グループに名前を付ける

 

  1. セキュリティ グループの名前として、[名前] に 「Finance App」 と入力します。
  2. [次へ] をクリックします。

 

 

動的メンバーシップの定義

 

  1. [基準の詳細] ドロップダウン メニューから [仮想マシン名] を選択します。
  2. テキスト フィールドに 「fin」 と入力し、この条件を仮想マシンの名前に設定します。
  3. [終了] をクリックします。

注: [基準の詳細] の中央にあるドロップダウン メニューは [含む] のままにしておきます。これにより、仮想マシンの名前に 「fin」 という文字が含まれ、実習環境ですべての財務仮想マシンを見つけることができます。

 

 

財務アプリケーションが選択されていることを確認

 

  1. 新しいセキュリティ グループ [Finance App] が [選択したオブジェクト] に追加されていることを確認します。
  2. [OK] をクリックします。

 

 

人事アプリケーション仮想マシンのメンバーシップを確認

 

  1. ファイアウォール ルールの [ソース] フィールドで [HR App] という名前をクリックし、このセキュリティ グループの仮想マシンのメンバーシップを表示します。

表示されている図のように、すべての仮想マシンの名前に 「hr」 が付いていることを確認します。

  1. 右上にある [X] をクリックして、ウィンドウを閉じます。

 

 

財務アプリケーション仮想マシンのメンバーシップを確認

 

  1. ファイアウォール ルールの [ターゲット] フィールドで [Finance App] という名前をクリックし、このセキュリティ グループの仮想マシンのメンバーシップを表示します。

表示されている図のように、すべての仮想マシンの名前に 「fin」 が付いていることを確認します。

  1. 右上にある [X] をクリックして、ウィンドウを閉じます。

 

 

アクション設定の編集

 

  1. ファイアウォール ルールの [操作] セルの右側にカーソルを合わせ、鉛筆アイコンをクリックして、アクションを編集します。

 

 

アクションのブロックの選択

 

  1. [操作] ドロップダウン メニューから [Block] を選択します。
  2. [保存] をクリックします。

 

 

新しいファイアウォール ルールの追加

 

  1. [Collapsed App Tier Rules] セクションにある緑色のプラス記号アイコンをクリックして、新しいルールを追加します。

 

 

ルール名の編集

 

  1. [名前] セルの右側にカーソルを合わせ、鉛筆アイコンをクリックして、新しいルールの名前を編集します。

 

 

「Block Finance to HR Traffic」 というルール名を付ける

 

  1. [ルール名] フィールドに 「Block Finance to HR Traffic」 と入力します。
  2. [保存] をクリックします。

 

 

ソース オブジェクトの編集

 

  1. 編集アイコン (鉛筆のアイコン) をクリックして、ソース オブジェクトを編集します。

 

 

財務アプリケーションのセキュリティ グループの選択

 

  1. [オブジェクト タイプ] ドロップダウン メニューから [Security Group] を選択します。
  2. [Finance App] セキュリティ グループを選択します。
  3. 青色の矢印アイコンをクリックして、オブジェクトを [選択したオブジェクト] リストに追加します。
  4. [OK] をクリックします。

 

 

ターゲット オブジェクトの編集

 

  1. 鉛筆アイコンをクリックして、ターゲット オブジェクトを編集します。

 

 

人事アプリケーションのセキュリティ グループの選択

 

  1. [オブジェクト タイプ] ドロップダウン メニューから [Security Group] を選択します。
  2. [HR App] セキュリティ グループを選択します。
  3. 青色の矢印アイコンをクリックして、オブジェクトを [選択したオブジェクト] リストに追加します。
  4. [OK] をクリックします。

 

 

アクション設定の編集

 

  1. ファイアウォール ルールの [操作] セルの右側にカーソルを合わせ、鉛筆アイコンをクリックして、アクションを編集します。

 

 

アクションのブロックの選択

 

  1. [操作] ドロップダウン メニューから [ブロック] を選択します。
  2. [保存] をクリックします。

 

 

変更の発行

 

  1. [変更の発行] をクリックし、対象となる仮想マシンとホストに新しいファイアウォール ルールを適用します。

 

 

Collapsed App Tier Rules の検証

 

  1. 展開 / 折りたたみアイコンをクリックし、[Collapsed App Tier Rules] セクションのドロップダウン メニューを開きます。
  2. 新しいファイアウォール ルールは、実習環境で発行されて初めてルール ID 番号が割り振られます。

注: ルール番号は、どの順番で実習ラボ モジュールを受講したかによって異なります。

 

 

財務アプリケーションの稼動検証

 

  1. [HOL- Finance Department] タブをクリックします。
  2. [Refresh] ボタンをクリックします。

財務部門コスト センターのデータベースにアクセスしているかどうかを検証します。

 

 

元に戻って財務 Web 仮想マシンのリモート コンソールを開く

 

新しいファイアウォール ルールが適用された後、仮想マシンのアプリケーション間の通信をテストします。

  1. タスクバーで [fin-web-01a.corp.local] リモート コンソール セッションをクリックします。

 

 

財務 Web 仮想マシンと人事アプリケーション仮想マシン間の ping テスト

 

次のコマンドを入力し、fin-web-01a から hr-web-01a と hr-db-01a に ping を送信して、財務 Web 仮想マシンと人事アプリケーション仮想マシン間の通信テストを開始します。

  1. ping -c 3 hr-web-01a
# ping -c 3 hr-web-01a
  1. ping -c 3 hr-db-01a
# ping -c 3 hr-db-01a

パケット ロスが 100 % の場合、同じ L2 ネットワーク上で財務 Web 仮想マシンが人事アプリケーション仮想マシンと通信できないことを示しています。

 

 

財務アプリケーション仮想マシン間の ping テスト

 

次のコマンドを入力し、fin-web-01a から fin-app-01a と fin-db-01a に ping を送信して、財務アプリケーション仮想マシン間の通信を確認します。

  1. ping -c 3 fin-app-01a
# ping -c 3 fin-app-01a
  1. ping -c 3 fin-db-01a
# ping -c 3 fin-db-01a

成功率が 100 % の場合、すべての財務仮想マシンが同じ L2 ネットワーク上で相互に通信できることを示しています。

注: リモート コンソール ウィンドウからカーソルを解放するには、<Ctrl> + <Alt> キーを押します。

 

 

人事アプリケーションの検証

 

  1. [HR-Medical Enrollment] タブをクリックします。
  2. [Refresh] ボタンをクリックします。

医療制度加入者のデータベースにアクセスしているかどうかを検証します。

 

 

リモート コンソールで人事 DB 仮想マシンに戻る

 

  1. タスクバーで [hr-db-01a.corp.local] リモート コンソール セッションをクリックします。

 

 

人事 DB 仮想マシンと財務アプリケーション仮想マシン間の ping テスト

 

次のコマンドを入力し、hr-db-01a から fin-app-01a と fin-db-01a に ping を送信して、人事データベース仮想マシンと財務アプリケーション仮想マシン間の通信テストを行います。

  1. ping -c 3 fin-app-01a
# ping -c 3 fin-app-01a
  1. ping -c 3 fin-db-01a
# ping -c 3 fin-db-01a

注: パケット ロスが 100 % の場合、同じ L2 ネットワーク上で財務 Web 仮想マシンが人事アプリケーション仮想マシンと通信できないことを示しています。

 

 

人事アプリケーション仮想マシン間の ping テスト

 

最後に、次のコマンドを入力し、hr-db-01a から hr-web-01a と hr-app-01a に ping を送信して、人事アプリケーション仮想マシン間の通信を確認します。

  1. ping -c 3 hr-web-01a
# ping -c 3 hr-web-01a
  1. ping -c 3 hr-app-01a
# ping -c 3 hr-app-01

これで、アプリケーション層間のトラフィックが可能になります。

  1. hr-db-01a のコンソール ウィンドウを閉じます。注: リモート コンソール ウィンドウからカーソルを解放するには、<Ctrl> + <Alt> キーを押します。

これで、分散ファイアウォールによるアプリケーションの分離についての検証は終了です。人事アプリケーションと財務アプリケーションが同じレイヤー 2 論理スイッチ上に存在する場合でも、相互の通信が阻止されるようになりました。 

 

 

次の実習ラボ モジュールに進む前に実習ラボのクリーン アップ

 

次の実習ラボ モジュールに進む前に、まずここで設定したファイアウォール ルールをクリーン アップする必要があります。   

  1. [vSphere Web Client] ブラウザ タブをクリックします。

 

 

[Collapsed App Tier] セクションの削除

 

  1. [Collapsed App Tier Rules] セクションの右側にある赤い [X] をクリックして、セクション全体を削除します。

 

 

ルール セクションの削除を確認

 

  1. [はい] をクリックし、ルール セクションの削除を続行します。

 

 

変更の発行

 

  1. [変更の発行] をクリックしてファイアウォール ルールの変更を保存し、アプリケーション仮想マシンからファイアウォール ルールを削除します。

 

モジュール 2: まとめ


これで、モジュール 2 は終了です。単一のフラット ネットワークで NSX 分散ファイアウォール (DFW) を用いて、アプリケーションの分離を行う方法について学習しました。このモジュールでは、3 層ネットワーク アプリケーションを単一の NSX 論理スイッチに集約しても、分散ファイアウォールを用いた NSX のゼロ トラスト セキュリティに影響を与えないことを示しました。この実習ラボでは、まず同じネットワーク上にある人事アプリケーション仮想マシンと財務アプリケーション仮想マシン間の通信を確認しました。次に、仮想マシンを論理的なグループでファイアウォール ルールを作成し、人事と財務のアプリケーション間で通信が行われないようにしてから、仮想マシンの通信をアプリケーション スタック間およびアプリケーション スタック内でテストすることによって、作成したルールの適用を検証しました。アプリケーションが相互に分離されていることを確認した後、次の実習ラボ モジュールに備えるために、作成したファイアウォール ルールを削除しました。

この実習ラボにご参加いただき、ありがとうございました。NSX 分散ファイアウォールのアプリケーションの分離、ゼロ トラスト機能についてご理解いただければ幸いです。


 

モジュール 2 の終了

モジュール 2 はこれで終了です。お疲れ様でした。

NSX のルーティング機能について、さらに詳しい情報が必要な場合は、表示されている URL から NSX 6.2 ドキュメント センターをご確認ください。

表示されている中から関心のあるモジュールに進んでください。

実習ラボ モジュールのリスト

実習ラボ責任者

 

 

実習ラボの終了方法

 

実習ラボを終了するには、[終了] ボタンをクリックします。

 

モジュール 3: 高度なグループ化 (30 分)

高度なグループ化


モジュール 3 高度なグループ化


 

はじめに

日常のビジネスで必要とされるミッション クリティカルなアプリケーションを稼動させている組織にとって、Windows XP、Windows 2000 Server、Windows Server 2003 などの主要なエンタープライズ プラットフォームがサポートを終了する (EOS) ということは、極めて大きな問題です。たとえば、2015 年 7 月に Microsoft 社が Windows 2003 のサポートを終了したときも、何百万台というエンタープライズ サーバが危険にさらされました。

サポートが終了するオペレーティング システムを使用している組織は、新しいプラットフォームへの移行準備や制御を補完できる状態が完全に整っていない限り、組織内の環境に深刻なセキュリティ リスクを負うことになります。Microsoft 社のようなプラットフォーム プロバイダが脆弱性に対する通知やパッチの提供を行わなくなることはハッカーもよく分かっているため、こうしたシステムはすぐに絶好の攻撃対象となります。また、EOS 後にサポートされていないプラットフォームを使用していると、問題が見つかっても未対応のままとなるものが増え続け、時間とともにリスクが大きくなります。

NSX は、分散ファイアウォール (DFW) と Service Composer でセキュリティを強化することによって、サポートが終了するオペレーティング システムの問題を低減することができます。この実習ラボでは、NSX セキュリティ グループを使用して Windows XP 仮想マシンを囲い込み、シミュレートされた環境でファイアウォール ポリシーを適用して、この仮想マシンを保護します。 

このモジュールの概要は次のとおりです。

実習ラボ責任者

モジュール 3: ブライアン・ウィルソン (Brian Wilson)、システム エンジニア スタッフ、米国

 

 

サポートが終了する仮想マシンへのログイン


Windows XP 仮想マシンを使用して、内外のリソースにアクセスする際のセキュリティ状態が現在どのようになっているかを確認します。


 

vCenter へのログイン

 

vSphere Web Client にまだログインしていない場合

Google Chrome のタスクバー アイコンをクリックします。ホームページは vSphere Web Client です。

  1. [Windows セッション認証を使用してください] チェックボックスをオンにして、ログインします。
  2. [ログイン] をクリックして vSphere Web Client にログインします。

 

 

表示スペースの確保

 

  1. 押しピンをクリックすると、タスク ペインが折りたたまれ、メイン ペインの表示スペースが拡大します。左側のペインも折りたたむと、表示スペースが最大になります。

 

 

サポートが終了する仮想マシンへのログイン

 

  1. [ホストおよびクラスタ] を選択します。

 

 

win-xp-01 の仮想マシン コンソールの起動

 

  1. [win-xp-01.corp.local] を選択します。
  2. [サマリ] タブを選択します。
  3. 起動コンソールをクリックします。

 

 

win-xp-01 デスクトップの起動

 

クリックしてデスクトップを起動します。

1. [Send Ctrl-Alt-Delete] ボタンをクリックしてログインします。

 

 

win-xp-01 デスクトップへのログイン

 

認証情報を入力してログインします。

  1. ユーザー名: Administrator
  2. パスワード: VMware1!
  3. [OK] をクリックしてログインします。

 

 

内部アクセスの確認

 

デスクトップから Mozilla ブラウザを起動します。

  1. [Customer_DB_App] リンクをクリックして、内部アプリケーションを起動します。

 

 

内部アプリケーションの起動

 

Windows XP 仮想マシンが内部アプリケーションに完全にアクセスできることが分かります。これは望ましいセキュリティ状態です。

 

 

外部アクセスのコマンド プロンプト ウィンドウを開く

 

コントロール コンソール仮想マシンは、この実習ラボで使用する仮想環境の外にあります。つまり、これが環境の外部にあるサービスを表します。内部サービスとしては、コントロール センターの IP アドレス 192.168.110.10 を使用します。

  1. [Start] メニューをクリックします。
  2. [All Programs] -> [Accessories]->[コマンド プロンプト]を起動します。

 

 

外部アクセスの確認

 

まず、定義されている仮想データセンターの外にある仮想マシンに ping を実行して、win-xp-01 が外部ネットワークにアクセスできることを確認します。ここでは Main Console のアドレス (192.168.110.10) を使用します。これはインターネットを表します。

ping 192.168.110.10

下図の ping が示すとおり、外部サービスにアクセスできることが分かりました。サポートが終了するオペレーティング システムを実行している仮想マシンには、この状態が潜在的なセキュリティ上の大きな問題になります。

 

セキュリティ グループの作成


サポートが終了する仮想マシンが外部リソースにアクセスできる状態には、潜在的な脆弱性があることが分かったため、セキュリティ対策が必要です。NSX のセキュリティ グループを使用して、サポートの終了するオペレーティング システムをすばやく特定し、ポリシーを適用してセキュリティを確保します。


 

セキュリティ グループの作成

 

  1. [vSphere Web Client] ブラウザ タブをクリックします。
  2. [ホーム] アイコンをクリックします。
  3. [Networking and Security] を選択します。

 

 

Service Composer の起動

 

  1. [Service Composer] をクリックします。

 

 

セキュリティ グループの作成

 

  1. [Security Group] タブを選択します。
  2. [新規 Security Group] をクリックします。

 

 

新しいセキュリティ グループ

 

  1. [Name] に 「Windows XP EOS」 と入力します。
  2. [次へ] をクリックします。

 

 

動的メンバーシップの定義

 

  1. [コンピュータ OS 名] を選択します。
  2. [含む] を選択します。
  3. [Windows XP] を選択します。
  4. [終了] をクリックします。

 

 

セキュリティ グループのメンバーシップの確認

 

作成されたセキュリティ グループは、両方の Windows XP 仮想マシンに動的に含まれました。

[仮想マシン] 列にマウスを移動します。「2」 が表示されています。 

  1. この 「2」 という数字をクリックすると、このセキュリティ グループに入っている仮想マシンの名前が表示されます。

注: 両方のマシンがこのグループに入っています。

  1. [X] をクリックしてウィンドウを閉じます。

 

仮想マシンのアクセス制限


ルールを適用して仮想マシンの外部アクセスを制限します。


 

ポリシーの適用

 

Service Composer を開きます。

  1. 先ほど作成した [Windows XP EOS] セキュリティ グループを選択します。
  2. [ポリシーの適用] アイコンをクリックします。

 

 

新しいセキュリティ ポリシー

 

  1. [新規セキュリティポリシー] をクリックします。

 

 

セキュリティ ポリシーの作成

 

  1. [名前] に 「Security Policy Internal Only Access」 と入力します。
  2. [ファイアウォール ルール] をクリックします。

 

 

ファイアウォール ルールの作成

 

  1. [新規ファイアウォール ルール] をクリックします。

 

 

最初のファイアウォール ルールの設定

 

  1. [名前] に 「Access Internal Resources」 と入力します。
  2. [操作] で [許可] を選択します。
  3. [ソース] で [ポリシーの Security Group] を選択します。
  4. [ターゲット] で [変更] をクリックします。

 

 

送信先の選択

 

この実習ラボでは簡単に内部サービスの設定を行うために、内部アプリケーションの一部を構成している仮想マシンを含むセキュリティ グループがあらかじめ作成されています。ここでは、サポートが終了する XP 仮想マシンがこれらの内部サービスにアクセスできるようにし、外部サービス (インターネット) にはアクセスできないようにするルールを作成します。

  1. [Security Group の選択] を選択します。
  2. [Internal Services] を選択します。
  3. [OK] をクリックします。

 

 

ファイアウォール ルール設定の確認

 

設定を確認します。

[サービス] で [任意] を選択します。

[状態] で [有効] を選択します。

[ログ] で [ログに記録しない] を選択します。

  1. [OK] をクリックします。

 

 

ファイアウォール ルールの確認

 

  1. [終了] をクリックします。

 

 

ファイアウォール ルールの追加

 

セキュリティ グループを作成し、Windows XP 仮想マシンが内部サービス (内部アプリケーション) にアクセスできるようになりました。ただし、内部サービス間のアクセスを許可するルールを追加し、さらに外部アクセスを含むその他のすべてのアクセスをブロックするために、デフォルトのファイアウォール ルールを変更する必要があります。

  1. [ファイアウォール] をクリックし、ファイアウォール ルールにアクセスします。

 

 

セクション名の編集

 

ファイアウォールの [操作] 列で次の操作を行います。

  1. Flow Monitoring のルール セクションで [セクションを追加します] アイコンをクリックします。
  2. [セクション名] に 「Internal Services to Internal Services」 と入力します。
  3. [セクションを下に追加] が選択されていることを確認します。
  4. [保存] をクリックします。

 

 

変更の発行

 

  1. [変更の発行] をクリックします。

 

 

新しいセクションへのルールの追加

 

  1. [ルールの追加] アイコンをクリックします。
  2. ルール セクションをクリックして展開します。

 

 

ファイアウォール ルール名の編集

 

  1. [名前] 列にマウスを移動し、鉛筆のアイコンにマウスを合わせてクリックして、ファイアウォール ルール名を編集します。
  2. [ルール名] に 「App to App」 と入力します。
  3. [保存] をクリックします。

 

 

送信元の選択

 

  1. [ソース] 列の鉛筆のアイコンをクリックします。
  2. [オブジェクト タイプ] として [Security Group] を選択します。
  3. [Internal Services] セキュリティ グループを選択します。
  4. 矢印アイコンをクリックして、それを [選択したオブジェクト] に追加します。
  5. [OK] をクリックします。

 

 

送信先の選択

 

  1. [ターゲット] 列の鉛筆のアイコンをクリックします。
  2. [オブジェクト タイプ] として [Security Group] を選択します。
  3. [Internal Services] セキュリティ グループを選択します。
  4. 矢印アイコンをクリックして、それを [選択したオブジェクト] に追加します。
  5. [OK] をクリックします。

 

 

ファイアウォール ルールの確認

 

新しいファイアウォール ルールにより、内部アプリケーションでは、アプリケーション層間の通信が可能になります。

[ソース] のセキュリティ グループが 「Internal Services」 になっていることを確認します。

[ターゲット] のセキュリティ グループが 「Internal Services」 になっていることを確認します。

[操作] が 「許可」 になっていることを確認します。

  1. [変更の発行] をクリックします。

 

 

デフォルトのファイアウォール ルールの変更

 

サポートが終了する Windows XP 仮想マシンから外部サービスへのトラフィックなど、不要なトラフィックをブロックするために、デフォルトのファイアウォール ルールでブロックを有効にする必要があります。デフォルトのファイアウォール ルールは、[Default Firewall Rule] セクションにあります。

  1. [デフォルトのセクション レイヤ3] セクションをクリックして展開します。
  2. [デフォルト ルール] の [操作] 列で鉛筆のアイコンをクリックします。
  3. [操作] で [ブロック] を選択します。
  4. [保存] をクリックします。

 

 

変更の発行

 

  1. [変更の発行] をクリックします。

 

Windows XP 仮想マシンからの限定的なアクセスの確認


サポートが終了する Windows XP 仮想マシンのルールを設定したので、内部と外部のサービスへのアクセス テストに進みます。


 

[win-xp-01] のコンソールを再度開く

 

  1. ブラウザの [win-xp-01a] タブをクリックします。

 

 

内部サービスが許可されていることを確認

 

  1. [HOL-Multi-Tier App] のブラウザ タブを更新します。

更新されたページが表示されます。これは内部サービス間のファイアウォール ルールで許可されています。

 

 

モジュールのクリーンアップ: デフォルト ルールを [Allow] に設定

 

  1. [デフォルトのセクション レイヤ 3] を展開します。
  2. [デフォルト ルール] の [操作] 列にカーソルを合わせ、鉛筆のアイコンをクリックします。
  3. [操作] で [許可] を選択します。
  4. [保存] をクリックします。

 

 

変更の発行

 

  1. [変更の発行] をクリックします。

 

モジュール 3 のまとめ


モジュール 3 はこれで終了です。お疲れ様でした。

NSX のルーティング機能について、さらに詳しい情報が必要な場合は、表示されている URL から NSX 6.2 ドキュメント センターをご確認ください。

表示されている中から関心のあるモジュールに進んでください。

実習ラボ モジュールのリスト

実習ラボ責任者


 

実習ラボの終了方法

 

実習ラボを終了するには、[終了] ボタンをクリックします。

 

モジュール 4: ジャンプ ボックスを使用したユーザー ベースのセキュリティ (45 分)

ジャンプ ボックスを使用したユーザー ベースのセキュリティ


モジュール 4

ジャンプ ボックスを使用したユーザー ベースのセキュリティ


 

はじめに

はじめに

この実習ラボ モジュールでは、NSX の ID 認証ファイアウォール機能を使用して、ファイアウォール ルールを作成します。この機能は、NSX Manager から Active Directory への接続を使用します。NSX Manager は、Active Directory サーバのイベント ログをスキャンして、認証情報およびイベントのログを特定します。仮想マシンにログ オンしているユーザーは、Active Directory グループに基づいて、仮想マシンをセキュリティ グループにすぐに割り当てることができます。セキュリティグループとファイアウォール ルールを組み合わせることで、環境内でのアクセス制御が可能になります。

この実習ラボでは、異なる 2 つの Active Directory グループと 2 人のユーザーを使用します。1 人目のユーザーは、環境内のあらゆるアプリケーションにアクセスできるネットワーク管理者で、2 人目のユーザーは、特定の Web ベースの人事アプリケーションのみにアクセスできる人事管理者です。

 

このモジュールの概要は次のとおりです。

実習ラボ責任者

モジュール 4: ブライアン・ウィルソン (Brian Wilson)、システム エンジニア スタッフ、米国

 

NSX と Active Directory のリンクの詳細


NSX は、Active Directory と連携し、Active Directory グループを使用して ID 認証ファイアウォール ルールを作成します。


 

ブラウザと vSphere Web Client の起動

 

 

 

vSphere Web Client へのログイン

 

  1. [Windows セッション認証を使用してください] チェックボックスをオンにして、ログインします。
  2. [ログイン] をクリックします。

 

 

表示スペースの確保

 

 

 

NSX と Active Directory のリンクの詳細

 

  1. [Networking and Security] をクリックします。

 

 

NSX Manager の選択

 

画面左側の下にある [NSX Manager] を探します。1 つだけ表示されています。

  1. [NSX Manager] をクリックします。

 

 

NSX Manager の選択

 

  1. [192.168.110.15] をクリックします。

 

 

ドメイン コネクタの詳細

 

表にはエントリが 1 つ表示されています。これは別の実習ラボ モジュールで部分的に構成済みのものですが、手順を追って、接続を作成した方法を確認します。

この接続には Active Directory の情報が必要です。その情報を使用して、vCenter は Active Directory にアクセスし、グループ情報を得ることができます。注: これは、ユーザーやロールで使用される権限を付与するために vCenter を Active Directory に関連付けることとは異なります。

  1. [管理] タブをクリックします。
  2. [ドメイン] タブをクリックします。
  3. [corp.local] をクリックします。
  4. 鉛筆のアイコンをクリックして編集します。

 

 

NetBIOS 名の入力

 

  1. [名前] フィールドにはドメイン名を入力します。
  2. [NetBIOS 名] にはドメインの NetBIOS 名を入力します。 
  3. [次へ] をクリックします。

 

 

LDAP オプションの入力

 

ここでは、次の構成を設定します。

  1. [パスワード] に 「VMware1!」 と入力します。
  2. [次へ] をクリックします。

 

 

セキュリティ イベント ログ アクセスのオプション

 

ログ アクセスの設定を入力します。

  1. [ドメイン認証情報を仕様] チェック ボックスをオフにします。
  2. 認証情報として 「Administrator」 および 「VMware1!」 を入力します。
  3. [次へ] をクリックします。

 

 

[Ready to complete]: 設定の確認

 

すべての設定を確認します。

  1. [終了] をクリックします。

 

 

Active Directory の同期

 

  1. 2 つの歯車のアイコンをクリックします。
  2. 1 つの歯車のアイコンをクリックして Active Directory の最新情報を入手します。ステータス ([SUCCESS]) と現在の日時が表示されます。

同期が成功するまでに 2 ~ 3 分かかる場合があります。

Active Directory の接続を構成して同期すると、Active Directory グループをセキュリティ ポリシーに利用することができます。

 

Active Directory グループに基づいたセキュリティ オブジェクトの使用


  1. セキュリティ オブジェクトは、Active Directory グループ メンバーシップに基づいて定義され、セキュリティ ポリシーの適用に使用されます。

 

Active Directory グループに基づいたセキュリティ オブジェクトの作成

 

  1. [ホーム] ボタンにマウス カーソルを重ねます。
  2. [Networking and Security] をクリックします。

 

 

新しいファイアウォール ルール セクションの作成

 

  1. ナビゲーション ペインで [ファイアウォール] リンクをクリックします。
  2. Flow Monitoring のルール セクションで [セクションを追加します] アイコンをクリックします。

 

 

Active Directory グループ ファイアウォール ルール セクション

 

  1. 新しいセクションに 「AD based Firewall Rules」 という名前を付けます。
  2. [セクションを下に追加] が選択されていることを確認します。
  3. [保存] をクリックします。

 

 

ネットワーク管理者ルールの追加

 

  1. 新しく作成されたルール セクションで [ルールの追加] アイコンをクリックします。
  2. 新しく作成されたルール セクションをクリックして展開します。
  3. [名前] 列の鉛筆のアイコンをクリックし、新しいルールを編集します。

 

 

ルール名の設定

 

  1. 「Network Admin Access」 という名前を入力します。
  2. [保存] をクリックします。

 

 

ソースの編集

 

ネットワーク管理者ルールの送信元フィールドにドメイン グループを追加します。

  1. [ソース] フィールドにカーソルを合わせ、鉛筆のアイコンをクリックします。
  2. [オブジェクト タイプ] のプルダウン メニューで [Security Group] を選択します。
  3. [新規 Security Group] をクリックします。

 

 

新しいセキュリティ グループに Net-Admin と名前を付ける

 

  1. 名前に 「Net-Admin」 と入力します。
  2. [動的メンバーシップの定義] をクリックします。

 

 

動的メンバーシップの定義

 

  1. ドロップダウン メニューから [エンティティ] を選択します。
  2. [所属先] を選択します。
  3. クリックして [エンティティの選択] ウィンドウを開きます。

 

 

Active Directory グループの選択

 

  1. [タイプ] で [ディレクトリ グループ] を選択します。
  2. 検索ボックスに 「app」 と入力します。
  3. [AppConfiguration] を選択します。
  4. [OK] をクリックします。

 

 

Active Directory グループの終了

 

  1. [終了] をクリックします。

 

 

セキュリティ グループの選択の確認

 

  1. [OK] をクリックします。

 

 

送信先のルールの編集

 

  1. 新しく作成されたルールの [ターゲット] 列にカーソルを合わせ、鉛筆のアイコンをクリックします。

 

 

内部サービス セキュリティ グループの選択

 

  1. [オブジェクト タイプ] プルダウン メニューから [Security Group] を選択します。
  2. 事前に作成された [Internal Services] セキュリティ グループを選択します。
  3. 右矢印アイコンをクリックして、それを [選択したオブジェクト] に追加します。
  4. [OK] をクリックします。

[Internal Services] セキュリティ グループは、社内のすべての仮想マシンで構成されています。このルールにより、管理者は、社内のすべてのアプリケーションおよび仮想マシンに接続できるようになります。

 

 

ルール設定の確認

 

新しいルールでは、ネットワーク管理者 ([AppConfiguration] の Active Directory グループ メンバー) は、任意のサービスを使用して、内部サービス (すべての内部アプリケーション) にアクセスすることができます。

  1. [変更の発行] をクリックします。

 

 

人事管理者ルールの追加

 

  1. Active Directory ベースのルールのセクションをクリックして展開します。
  2. [ルールの追加] アイコンをクリックします。

 

 

ルール名の設定

 

  1. 新しく作成されたルールの [名前] 列にカーソルを合わせ、鉛筆のアイコンをクリックします。
  2. [ルール名] フィールドに 「Human Resources Access」 と入力します。
  3. [保存] をクリックします。

 

 

ソースの編集

 

人事管理者ルールの送信元フィールドにドメイン グループを追加します。

  1. [ソース] 列にカーソルを合わせ、鉛筆のアイコンをクリックします。
  2. [オブジェクト タイプ] のプルダウン メニューで [Security Group] を選択します。
  3. [新規 Security Group] をクリックします。

 

 

新しいセキュリティ グループに HR-Admin と名前を付ける

 

  1. 名前に 「HR-Admin」 と入力します。
  2. [動的メンバーシップの定義] をクリックします。

 

 

動的メンバーシップの定義

 

  1. ドロップダウン メニューから [エンティティ] を選択します。
  2. [所属先] を選択します。
  3. クリックして [エンティティの選択] ウィンドウを開きます。

 

 

Directory Group の選択

 

  1. [タイプ] で [ディレクトリ グループ] を選択します。
  2. 検索ボックスに 「hr」 と入力します。
  3. [hresources] を選択します。
  4. [OK] をクリックします。

 

 

セキュリティ グループ作成の終了

 

  1. [終了] をクリックします。

 

 

セキュリティ グループの選択の確認

 

  1. [OK] をクリックします。

 

 

送信先のルールの編集

 

  1. 新しく作成されたルールの [ターゲット] 列にカーソルを合わせ、鉛筆のアイコンをクリックします。

 

 

送信先の選択の定義

 

人事管理者は、人事の Web アプリケーションのみにアクセスできます。

  1. [オブジェクト タイプ] プルダウン メニューから [仮想マシン] を選択します。
  2. 検索フィールドに 「web」 と入力します。
  3. [使用可能なオブジェクト] ウィンドウで [hr-web-01a] を選択します。
  4. 矢印アイコンをクリックして、それを [選択したオブジェクト] に追加します。
  5. [OK] をクリックします。

 

 

サービスの定義

 

  1. 鉛筆のアイコンをクリックして、サービスを編集します。

 

 

サービスの制限

 

人事管理者は、Web 経由でのアプリケーションにのみアクセスできます。 (HTTPS および HTTP)

  1. [オブジェクト タイプ] プルダウン メニューから [サービス] を選択します。
  2. 検索ウィンドウに 「http」 と入力します。
  3. [使用可能なオブジェクト] ウィンドウで [HTTP] と [HTTPS] を選択します。
  4. 矢印アイコンをクリックして、それを [選択したオブジェクト] に追加します。
  5. [OK] をクリックします。

 

 

ルール設定の確認

 

新しいルールでは、ネットワーク管理者 ([Human Recources] の Active Directory グループ メンバー) は、HTTP サービスおよび HTTPS サービスを使用して、人事アプリケーションおよび Web アプリケーションにアクセスすることができます。

  1. [変更の発行] をクリックします。

 

内部アプリケーションのファイアウォール ルールの定義


この実習ラボでは、内部アプリケーションにアプリケーション層間の通信を許可するためのルールを追加する必要があります。


 

ファイアウォール ルールの追加

 

人事管理者およびネットワーク管理者がロール ベースの適切なアプリケーションへアクセスできるように、Active Directory ベースのファイアウォール ルールを作成しました。ただし、内部サービス間のアクセスを許可するルールを追加し、さらに外部アクセスを含むその他のすべてのアクセスをブロックするために、デフォルトのファイアウォール ルールを変更する必要があります。

  1. [ファイアウォール] をクリックし、ファイアウォール ルールにアクセスします。

 

 

セクション名の編集

 

ファイアウォールの [構成] タブで次の操作を行います。

  1. Flow Monitoring のルール セクションで [セクションの追加] アイコンをクリックします。
  2. [セクション名] に 「Internal Services to Internal Services」 と入力します。
  3. [セクションを下に追加] が選択されていることを確認します。
  4. [保存] をクリックします。

 

 

変更の発行

 

  1. [変更の発行] をクリックします。

 

 

新しいセクションへのルールの追加

 

  1. [ルールの追加] アイコンをクリックします。
  2. ルール セクションをクリックして展開します。

 

 

ファイアウォール ルール名の編集

 

  1. 鉛筆のアイコンをクリックして、ファイアウォール ルール名を編集します。
  2. [ルール名] に 「App to App」 と入力します。
  3. [保存] をクリックします。

 

 

送信元の選択

 

  1. [ソース] 列の鉛筆のアイコンをクリックします。
  2. [オブジェクト タイプ] として [Security Group] を選択します。
  3. [Internal Services] セキュリティ グループを選択します。
  4. 矢印アイコンをクリックして、それを [選択したオブジェクト] に追加します。
  5. [OK] をクリックします。

 

 

送信先の選択

 

  1. [ターゲット] 列の鉛筆のアイコンをクリックします。
  2. [オブジェクト タイプ] として [Security Group] を選択します。
  3. [Internal Services] セキュリティ グループを選択します。
  4. 矢印アイコンをクリックして、それを [選択したオブジェクト] に追加します。
  5. [OK] をクリックします。

 

 

ファイアウォール ルールの確認

 

新しいファイアウォール ルールにより、内部アプリケーションでは、アプリケーション層間の通信が可能になります。

  1. [ソース] および [ターゲット] が 「Internal Services」 セキュリティ グループになっていることを確認します。
  2. [操作] が 「許可」 になっていることを確認します。
  3. [変更の発行] をクリックします。

 

 

デフォルトのファイアウォール ルールの変更

 

不要なトラフィックをブロックするために、デフォルトのファイアウォール ルールでブロックを有効にする必要があります。デフォルトのファイアウォール ルールは、[Default Firewall Rule] セクションにあります。

  1. [デフォルトのセクション レイヤ 3] セクションをクリックして展開します。
  2. [デフォルト ルール] の [操作] 列で鉛筆のアイコンをクリックします。
  3. [操作] で [ブロック] を選択します。
  4. [保存] をクリックします。

 

 

変更の発行

 

  1. [変更の発行] をクリックします。

 

ユーザー ID ベースのルールのテスト


新しく作成されたルールをテストするために、複数のユーザーの Active Directory 認証情報で win12-jump 仮想マシンにログインする必要があります。


 

ユーザー ID ルールのテスト

 

ドメイン内のジャンプ ボックス (win-12-jump) 仮想マシンのコンソールを開き [Active Directory AppConfiguration] グループのメンバーとしてログインすれば、新しい ID ベースのルールをテストすることができます。ユーザー [Netadmin] は、AppConfiguration グループのメンバーであるため、すべての内部アプリケーションまたはアプリケーション層にログインできます。ユーザー [HRadmin] は、Human Resources グループのメンバーであるため、人事の Web アプリケーションおよび財務の Web アプリケーションのみにログインできます。それぞれのユーザーでログインして複数の 3 層アプリケーションへのアクセスの結果を確認します。

  1. [ホーム] アイコンをクリックします。
  2. [仮想マシンおよびテンプレート] をクリックします。

 

 

ジャンプボックスのコンソールを開く

 

[RegionA01] データセンタを展開し、[Discovered virtual machines] で [win12-jump] を探します。

  1. 各種仮想マシンを展開します。
  2. [win12-jump] を右クリックします。
  3. [コンソールを開く] をクリックします。

 

 

HRadmin でのログイン

 

  1. [Send Ctrl-Alt-Del] をクリックします。 コンソール ボタンを使用します。
  2. 左矢印をクリックします。
  3. [Other User] を選択します。
  4. [User name] に 「HRadmin」 と入力します。
  5. [Password] に 「VMware1!」 と入力します。
  6. 矢印をクリックします。

 

 

Firefox ブラウザの起動

 

  1. デスクトップ アイコンから Firefox ブラウザを起動します。

 

 

HR Medical アプリの起動

 

  1. [Favorites] ツールバーの [HR-Medical Enrollment] アプリをクリックします。

ユーザー [HRadmin] は、Hresources ドメイン グループに属しているので、HR Medical アプリケーションへのアクセスのみが許可されています。

 

 

財務 Web アプリの起動を試す

 

  1. [Favorites] ツールバーの [HOL-Finance] アプリをクリックします。

これは接続できません。繰り返しますが、ユーザー [HRadmin] は、Hresources ドメイン グループに属しているので、HR Medical アプリケーションへのアクセスのみが許可されています。

 

 

HRadmin でのログオフ

 

  1. [Send Ctrl-Alt-Del] をクリックします。
  2. [Sign Out] をクリックします。

 

 

他のユーザーへの切り替え

 

  1. [Send Ctrl-Alt-Del] をクリックします。
  2. [Other User] をクリックします。

 

 

NetAdmin でのログイン

 

  1. [User name] に 「NetAdmin」 と入力します。
  2. [Password] に 「VMware1!」 と入力します。
  3. 矢印をクリックします。

 

 

Firefox ブラウザの起動

 

  1. デスクトップ アイコンから Firefox ブラウザを起動します。

 

 

HR Medical アプリの起動

 

  1. [Favorites] ツールバーの [HR-Medical Enrollment] アプリをクリックします。

ユーザー [NetAdmin] は、AppConfiguration ドメイン グループに属しているので、すべてのアプリケーションへのアクセスが許可されています。

 

 

HOL-Finance アプリの起動

 

  1. [Favorites] ツールバーの [HOL-Finance] アプリをクリックします。

ユーザー [NetAdmin] は、AppConfiguration ドメイン グループに属しているので、すべてのアプリケーションへのアクセスが許可されています。

 

 

HOL-Customer アプリの起動

 

  1. [Favorites] ツールバーの [HOL-Customer] アプリをクリックします。

ユーザー [NetAdmin] は、AppConfiguration ドメイン グループに属しているので、すべてのアプリケーションへのアクセスが許可されています。

ジャンプボックスのコンソールを閉じます。

 

モジュール 4 のまとめ


モジュール 4 はこれで終了です。お疲れ様でした。

NSX のルーティング機能について、さらに詳しい情報が必要な場合は、表示されている URL から NSX 6.2 ドキュメント センターをご確認ください。

表示されている中から関心のあるモジュールに進んでください。

実習ラボ モジュールのリスト

実習ラボ責任者


 

実習ラボの終了方法

 

実習ラボを終了するには、[終了] ボタンをクリックします。

 

Conclusion

Thank you for participating in the VMware Hands-on Labs. Be sure to visit http://hol.vmware.com/ to continue your lab experience online.

Lab SKU: HOL-1703-USE-2-JA

Version: 20161106-052557