VMware Hands-on Labs - HOL-1803-02-NET


Hands-on Lab im Überblick – HOL-1803-02-NET – VMware NSX – Distributed Firewall und Mikrosegmentierung

Anleitung für das Hands-on Lab


Hinweis: Dieses Hands-on Lab dauert mehr als 90 Minuten. Sie werden wahrscheinlich nur zwei bis drei Module in einer Sitzung schaffen.  Da die Module unabhängig voneinander sind, können Sie mit jedem beliebigen Modul beginnen. Über das Inhaltsverzeichnis gelangen Sie direkt zum Modul Ihrer Wahl.

Das Inhaltsverzeichnis können Sie rechts oben im Hands-on Lab-Handbuch aufrufen.

In diesem Lab lernen Sie die Anwendungsbereiche von VMware NSX und Mikrosegmentierung kennen, einschließlich ausführlicherer Erläuterungen zu Distributed Firewall und zur Service Composer-UI.  Die Anwendungsbereiche beinhalten Lösungen zum Zusammenführen segmentierter Netzwerke, zum intelligenten Gruppieren von Servern sowie zur anwenderbasierten Sicherheit.

Liste der Module des Hands-on Lab:

 Hands-on Lab-Dozenten:

  • Modul 1 – Chris Cousins, Sr. Systems Engineer, USA
  • Modul 2 – Chris Cousins, Sr. Systems Engineer, USA
  • Modul 3 – Chris Cousins, Sr. Systems Engineer, USA
  • Modul 4 – Chris Cousins, Sr. Systems Engineer, USA

 

Das Handbuch für dieses Hands-on Lab kann unter der folgenden Adresse heruntergeladen werden:

http://docs.hol.vmware.com

Dieses Hands-on Lab ist möglicherweise auch in anderen Sprachen verfügbar.  Informationen zum Einstellen Ihrer gewünschten Sprache und zum Abrufen eines übersetzten Hands-on Lab-Handbuchs finden Sie im folgenden Dokument:

http://docs.hol.vmware.com/announcements/nee-default-language.pdf


 

Position der Hauptkonsole

 

  1. Der ROT umrahmte Bereich ist die Hauptkonsole.  Das Hands-on Lab-Handbuch finden Sie auf der Registerkarte rechts neben der Hauptkonsole.
  2. Für bestimmte Hands-on Labs sind auf separaten Registerkarten links oben möglicherweise zusätzliche Konsolen verfügbar. Falls Sie eine andere Konsole öffnen müssen, erhalten Sie entsprechende Anweisungen.
  3. Für die Bearbeitung des Hands-on Lab haben Sie 90 Minuten Zeit.  Das Hands-on Lab kann nicht gespeichert werden.  Sie müssen alle Aufgaben während dieser Zeit erledigen.  Sie können jedoch die verfügbare Zeit verlängern, indem Sie auf die Schaltfläche EXTEND klicken.  Auf einer Veranstaltung von VMware können Sie die Zeit für Hands-on Labs zweimal um bis zu 30 Minuten verlängern.  Mit jedem Klick erhalten Sie weitere 15 Minuten.  Außerhalb von VMware-Veranstaltungen können Sie Ihre Zeit für das Hands-on Lab um bis zu 9 Stunden und 30 Minuten verlängern. Mit jedem Klick verlängert sich die Dauer um eine Stunde.

 

 

Alternativen zur Tastatureingabe

Im Verlauf des Moduls geben Sie Text in die Hauptkonsole ein. Neben der Tastatureingabe gibt es zwei weitere, äußerst hilfreiche Methoden, die die Eingabe komplexer Daten erleichtern.

 

 

Inhalte im Hands-on Lab-Handbuch anklicken und in das aktive Konsolenfenster ziehen

 
 

Sie können Text und Befehle in der Befehlszeilenschnittstelle (CLI) anklicken und direkt aus dem Hands-on Lab-Handbuch in das aktive Fenster der Hauptkonsole ziehen.  

 

 

Internationale Online-Tastatur aufrufen

 

Darüber hinaus können Sie die internationale Online-Tastatur in der Hauptkonsole verwenden.

  1. Klicken Sie auf das Tastatursymbol in der Windows-Schnellstartleiste.

 

 

Aktivierungsaufforderung oder Wasserzeichen

 

Wenn Sie Ihr Hands-on Lab erstmals starten, sehen Sie möglicherweise ein Wasserzeichen auf dem Desktop, das angibt, dass Windows nicht aktiviert wurde.  

Einer der großen Vorteile von Virtualisierung ist, dass virtuelle Maschinen verschoben und auf jeder beliebigen Plattform ausgeführt werden können.  Die Hands-on Labs machen sich diesen Vorteil zunutze, d.h. sie können von mehreren Rechenzentren aus ausgeführt werden.  Allerdings können sich die Prozessoren dieser Rechenzentren unterscheiden. Dies veranlasst Microsoft zu einer Aktivierungsprüfung über das Internet.

Wir können Ihnen jedoch versichern, dass VMware und die Hands-on Labs die Lizenzierungsanforderungen von Microsoft uneingeschränkt erfüllen.  Bei dem Hands-on Lab, mit dem Sie gerade arbeiten, handelt es sich um einen gekapselten Pod ohne Vollzugriff auf das Internet. Ein solcher Zugriff ist jedoch für die Windows-Aktivierungsprüfung erforderlich.  Ohne Vollzugriff auf das Internet schlägt dieser automatisierte Prozess fehl und es wird dieses Wasserzeichen angezeigt.

Hierbei handelt es sich um ein kosmetisches Problem, das Ihr Hands-on Lab nicht beeinträchtigt.  

 

 

Info rechts unten auf dem Bildschirm

 

Überprüfen Sie, ob das Hands-on Lab alle Startroutinen abgeschlossen hat und gestartet werden kann. Warten Sie einige Minuten, falls eine andere Meldung als „Ready“ angezeigt wird.  Wenn der Status Ihres Hands-on Lab nach fünf Minuten immer noch nicht zu „Ready“ gewechselt hat, bitten Sie um Hilfe.

 

Modul 1 – Übersicht über Service Composer und Distributed Firewall (45 Minuten)

Distributed Firewall – Übersicht über Mikrosegmentierung


Bei NSX Distributed Firewall (DFW) handelt es sich um eine in den Hypervisor-Kernel integrierte Firewall, die Transparenz und Kontrolle für virtualisierte Workloads und Netzwerke bietet. Mit ihr können Sie Richtlinien für die Zugriffskontrolle basierend auf VMware vCenter-Objekten (z.B. Rechenzentren, Cluster und Namen von virtuellen Maschinen), Netzwerkkonstrukten (z.B. IP-Adressen oder IP-Sätze), VLAN (DVS-Portgruppen), VXLAN (logische Switches), Sicherheitsgruppen sowie einer Anwendergruppenidentität von Active Directory erstellen. Firewall-Regeln werden für jede virtuelle Maschine auf vNIC-Ebene durchgesetzt. Auf diese Weise ist auch bei Verschiebung der virtuellen Maschine mit vMotion eine einheitliche Zugriffskontrolle gegeben. Durch die Integration der Firewall in den Hypervisor wird ein Durchsatz erreicht, der fast der Übertragungsgeschwindigkeit entspricht. Dies ermöglicht eine stärkere Workload-Konsolidierung auf physischen Servern. Durch die dezentrale Natur der Firewall wird eine horizontal skalierbare Architektur erreicht, die die Firewall-Kapazität automatisch erhöht, wenn das Rechenzentrum um weitere Hosts ergänzt wird.

Mikrosegmentierung basiert auf der Komponente „Distributed Firewall“ (DFW) von NSX. DFW wird im Kernel-Layer des ESXi-Hypervisors ausgeführt und verarbeitet Pakete nahezu in Übertragungsgeschwindigkeit. Jede VM verfügt über eigene Firewall-Regeln und einen eigenen Kontext. Workload-Mobilität (vMotion) wird von DFW uneingeschränkt unterstützt und aktive Verbindungen bleiben während der Verschiebung intakt. Diese erweiterte Sicherheitsfunktion macht das Rechenzentrumsnetzwerk noch sicherer, indem jede zugehörige Gruppe von virtuellen Maschinen in einem bestimmten logischen Netzwerksegment isoliert wird. Dadurch ist es dem Administrator möglich, den Datenverkehr zwischen Segmenten des Rechenzentrums (Ost-West-Datenverkehr) über die Firewall zu leiten. Auf diese Weise wird es Angreifern erschwert, sich seitlich im Rechenzentrum zu bewegen.  

Modulübersicht:

Grundlegende Funktionen von Distributed Firewall 

Verbesserter IP-Erkennungsmechanismus für die Firewall-Funktion

Logisches Anwenden von Sicherheitsmaßnahmen mit Service Composer

Starten Sie das Modul auf Ihrem Desktop. Der Desktop ist Ihr Kontrollzentrum bzw. Ihre JumpBox in der virtuellen Umgebung. Über diesen Desktop greifen Sie auf die in Ihrem virtuellen Rechenzentrum bereitgestellte vCenter Server Appliance-Instanz zu.

Besonderer Hinweis: Auf dem Desktop finden Sie die Datei „README.txt“.  Sie enthält die Anwenderkonten und Kennwörter für sämtliche virtuelle Geräte und VMs im Lab.


 

Hinweis für Anwender zum Abschnitt „Distributed Firewall – Übersicht über Mikrosegmentierung“

Beachten Sie Folgendes, wenn Sie Modul 6 von „HOL-1803-01-NET“ zum Thema Distributed Firewall bereits abgeschlossen haben: Der Abschnitt zu Distributed Firewall in diesem Lab ist eine Wiederholung von Modul 6 und kann daher übersprungen werden.  Wenn Sie diesen Abschnitt überspringen und mit dem nächsten Abschnitt in diesem Lab fortfahren möchten, finden Sie unten einen entsprechenden Link.

Klicken Sie hier, um mit dem Abschnitt „Verbesserter IP-Erkennungsmechanismus für virtuelle Maschinen und SpoofGuard“ fortzufahren.

 

 

 

Alternativen zur Tastatureingabe

Im Verlauf des Moduls geben Sie Text in die Hauptkonsole ein. Neben der Tastatureingabe gibt es zwei weitere, äußerst hilfreiche Methoden, die die Eingabe komplexer Daten erleichtern.

 

 

Auf vSphere Web Client zugreifen

 

  1. Starten Sie vSphere Web Client über das Google Chrome-Symbol auf dem Desktop.

 

 

Regeln für den Zugriff auf die Webanwendung konfigurieren

Sie konfigurieren nun den Zugriff von Distributed Firewall auf eine dreischichtige Anwendung. Die Anwendung hat zwei Webserver, die jeweils über einen Anwendungs- und Datenbankserver verfügen. Außerdem gibt es eine Lastausgleichsfunktion für die beiden Webserver.

 

 

Dreischichtige Sicherheitsgruppen erstellen

 

  1. Klicken Sie auf Service Composer.

Service Composer revolutioniert die Nutzung von Netzwerk- und Sicherheitsservices in virtuellen und Cloud-Umgebungen. Richtlinien können durch die einfache Visualisierung und Verwendung von integrierten bzw. durch Drittanbieterlösungen erweiterten Services umgesetzt werden. Zudem sind die Richtlinien dank Export- und Importfunktionen wiederholbar. Falls Probleme auftreten, erleichtert dies den Aufbau und die Wiederherstellung von Umgebungen. Zu den Objekten, die wiederholt verwendet werden können, zählen u.a. Sicherheitsgruppen.  Service Composer und Sicherheitsgruppen werden im weiteren Verlauf des Moduls noch genauer behandelt.

 

 

Dreischichtige Zugriffsregeln erstellen

 

Als Nächstes fügen Sie neue Regeln zum Zugriff auf die Web-VM hinzu und richten anschließend den Zugriff zwischen den Schichten ein.  

  1. Wählen Sie im Menü auf der linken Seite Firewall aus.

 

 

PuTTY-Sitzung für „web-01a“ neu starten

 

  1. Klicken Sie oben links auf das Sitzungssymbol.
  2. Klicken Sie auf Restart Session.

 

 

Topologie nach dem Hinzufügen von Distributed Firewall-Regeln für die dreischichtige Anwendung

 

Das Diagramm zeigt den relativen Durchsetzungspunkt der Firewall auf vNIC-Ebene.  Obwohl DFW ein ladefähiges Kernel-Modul (Kernel Loadable Module, KLM) des vSphere ESXi-Hosts ist, werden die Regeln für die jeweiligen Gast-VMs auf vNIC-Ebene durchgesetzt.  Dieser Schutz ist auch beim Verschieben von VMs durch vMotion gegeben, d.h. es gibt kein Zeitfenster für Angriffe auf die VM.

 

 

Modulbereinigung

 

Sie müssen die Standardregel wieder zurück auf „Allow“ setzen, um mit dem nächsten Modul fortfahren zu können.

  1. Setzen Sie die Standardregel zurück auf „Allow“.
  2. Klicken Sie auf Publish Changes.

 

Verbesserter IP-Erkennungsmechanismus für virtuelle Maschinen und SpoofGuard


Nach der Synchronisierung mit vCenter Server erfasst NSX Manager die IP-Adressen aller vCenter-Gast-VMs. Beim Angriff auf eine virtuelle Maschine kann deren IP-Adresse manipuliert und somit bösartiger Datenverkehr an den Firewall-Richtlinien vorbeigeschleust werden.

Sie erstellen eine SpoofGuard-Richtlinie für bestimmte Netzwerke, mit der Sie die gemeldeten IP-Adressen autorisieren und bei Bedarf ändern können, um Manipulationen vorzubeugen. Standardmäßig vertraut SpoofGuard den MAC-Adressen virtueller Maschinen, die aus VMX-Dateien und dem vSphere SDK erfasst werden. SpoofGuard wird getrennt von den Firewall-Regeln ausgeführt und kann zum Blockieren von als manipuliert erkanntem Datenverkehr eingesetzt werden.

SpoofGuard unterstützt sowohl IPv4- als auch IPv6-Adressen. Bei IPv4 unterstützt die SpoofGuard-Richtlinie eine einzige IP-Adresse, die einer vNIC zugewiesen wurde. IPv6 hingegen unterstützt mehrere IP-Adressen, die einer vNIC zugewiesen wurden. Die SpoofGuard-Richtlinie überwacht und verwaltet die von Ihren virtuellen Maschinen gemeldeten IP-Adressen über einen der folgenden Modi:

In diesem Modus wird sämtlicher Datenverkehr Ihrer virtuellen Maschinen zugelassen und gleichzeitig eine Tabelle mit vNIC-zu-IP-Adressenzuweisungen erstellt. Sie können diese Tabelle nach Bedarf überprüfen und Änderungen der IP-Adressen vornehmen. In diesem Modus werden automatisch alle IPv4- und IPv6-Adressen auf einer vNIC genehmigt.

In diesem Modus wird der gesamte Datenverkehr so lange blockiert, bis Sie die jeweiligen vNIC-zu-IP-Adressenzuweisungen genehmigen.

Hinweis: SpoofGuard lässt standardmäßig DHCP-Anfragen zu – unabhängig vom aktivierten Modus. Im manuellen Prüfmodus wird der Datenverkehr allerdings erst durchgeleitet, nachdem die von DHCP zugewiesene IP-Adresse genehmigt wurde.

SpoofGuard umfasst eine vom System generierte Standardrichtlinie. Diese wird auf Portgruppen und logische Netzwerke angewendet, die keinen anderen SpoofGuard-Richtlinien unterliegen. Ein neu hinzugefügtes Netzwerk wird automatisch der Standardrichtlinie zugewiesen, bis der Administrator das Netzwerk zu einer bestehenden Richtlinie hinzufügt oder eine neue Richtlinie dafür erstellt.

Der Betrieb von NSX Distributed Firewall erfordert IP-Adressenerkennung für Objekte, die als Quelle oder Ziel definiert sind.  Vor NSX 6.2 wurde dies durch VMware Tools innerhalb der VM sichergestellt. Im Rahmen dieser Übung erfahren Sie, wie Sie mithilfe von VMware Tools und „Trust On First Use“ (TOFU) IP-Adressen erkennen können.


 

SpoofGuard-Einstellungen überprüfen

 

Klicken Sie auf die Browser-Registerkarte für vSphere Web Client.

  1. Klicken Sie auf das Haussymbol.
  2. Klicken Sie auf Networking & Security.

 

 

SpoofGuard überprüfen

 

  1. Klicken Sie im Navigationsbereich auf SpoofGuard.

 

 

IP-Adressenerkennung mit ARP-Snooping aktivieren

 

  1. Klicken Sie auf Change.

 

 

„linux-01a“ von vDS auf einen neuen logischen Switch migrieren

Zunächst müssen Sie die VM linux-01a vom bestehenden vDS auf einen logischen Switch migrieren, um die IP-Erkennungsfunktionen von SpoofGuard verwenden zu können.

 

 

Zu „Networking & Security“ zurückkehren

 

  1. Klicken Sie unter „Navigator“ im Verlaufsfeld so lange auf die Schaltfläche Back, bis Sie zur NSX-Konfigurationsschnittstelle gelangen.

 

 

Sicherstellen, dass „linux-01a“ über ARP-Snooping erkannt wurde

 

  1. Wählen Sie im Navigationsbereich SpoofGuard aus.
  2. Klicken Sie auf Default Policy.
  3. Wählen Sie Active Virtual NICs im Dropdown-Menü „View“ aus.
  4. Geben Sie lin ein und drücken Sie die Eingabetaste, um nach „linux-01a“ zu filtern.

Hinweis: Im Feld „Source“ wird TOFUARP (Trust On First Use ARP) für die Adresse 192.168.120.115 angezeigt.

 

 

Zusammenfassung zu SpoofGuard

Hier ist der Abschnitt „Verbesserter IP-Erkennungsmechanismus für virtuelle Maschinen und SpoofGuard“ zu Ende.  Sie haben eine VM erfolgreich in die NSX-Umgebung migriert und SpoofGuard verwendet, um die IP-Adresse der VM mithilfe der neuen Funktion „Trust On First Use ARP“ zu ermitteln.

 

Übersicht über Sicherheitsgruppen


Sie bauen nun auf dem Wissen über Sicherheitsgruppenfunktionen auf, das Sie sich in der Lektion „Distributed Firewall – Übersicht über Mikrosegmentierung“ erarbeitet haben.  Mit NSX-Sicherheitsgruppen können Sie Ressourcen, die Sie schützen möchten, logisch gruppieren und definieren. Sicherheitsgruppen können statisch (einschließlich bestimmter virtueller Maschinen) oder dynamisch sein, wobei sich die Mitgliedschaft über einen oder mehrere der folgenden Aspekte definiert:

Beachten Sie, dass die Mitgliedschaft in Sicherheitsgruppen ständigen Veränderungen unterliegt. Wenn z.B. eine virtuelle Maschine mit dem Tag „AntiVirus.virusFound“ gekennzeichnet wurde, wird sie in die Sicherheitsgruppe der Quarantäne verschoben. Wenn der Virus beseitigt und dieses Tag von der virtuellen Maschine entfernt wurde, ist die virtuelle Maschine auch kein Mitglied der Quarantäne-Sicherheitsgruppe mehr.


 

Auf Service Composer zugreifen

 

  1. Klicken Sie im linken Fensterbereich auf Service Composer.

 

 

Mitgliedschaft anzeigen

 

  1. Klicken Sie für die neue Sicherheitsgruppe Web Security Group auf die Zahl in der entsprechenden Spalte Virtual Machines.

Hinweis: Für „Web Security Group“ sollten sechs virtuelle Maschinen in der Spalte „Virtual Machines“ angezeigt werden, einschließlich aller VMs mit „web“ im Namen. Gleichzeitig werden Groß- und Kleinschreibung sowie IP-Netzwerke nicht berücksichtigt.

  1. Klicken Sie rechts oben auf das X, um das Dialogfeld zu schließen.

 

Übersicht über Sicherheitsrichtlinien


NSX-Sicherheitsrichtlinien stellen eine Sammlung der folgenden Servicekonfigurationen, Firewall-Regeln, Endpunkt- und Netzwerkselbstprüfungsservices dar.  Firewall-Regeln bestehen aus Regeln, die den zulässigen eingehenden oder ausgehenden Datenverkehr bzw. den Datenverkehr innerhalb der Sicherheitsgruppe festlegen.  Endpunktservices können über eine Drittanbieterlösung, z.B. Virenschutz oder Services zum Schwachstellenmanagement, implementiert werden. Services zur Netzwerkselbstprüfung (z.B. IPS) überwachen Ihr Netzwerk.

Während der Servicebereitstellung in NSX wählt der Drittanbieter die Servicekategorie für den bereitzustellenden Service aus. Für jede Anbietervorlage wird ein standardmäßiges Serviceprofil erstellt.

Hinweis: Wenn Sie über viele Sicherheitsgruppen verfügen, die alle mit derselben Sicherheitsrichtlinie verknüpft werden sollen, erstellen Sie eine übergeordnete Sicherheitsgruppe, die sämtliche untergeordneten Sicherheitsgruppen umfasst, und wenden Sie die gemeinsame Sicherheitsrichtlinie auf die übergeordnete Sicherheitsgruppe an. Dadurch wird sichergestellt, dass NSX Distributed Firewall den Arbeitsspeicher des ESXi-Hosts effizient nutzen kann.


 

Neue Sicherheitsrichtlinie erstellen

 

  1. Wählen Sie die Registerkarte Security Policies im Bereich Service Composer aus.
  2. Klicken Sie auf das Symbol zum Erstellen einer Sicherheitsrichtlinie.
  3. Geben Sie Block Web-to-Web Traffic in das Feld Name ein.
  4. Klicken Sie im linken Fensterbereich auf Firewall Rules.

 

 

Synchronisierung der Firewall-Regeln überprüfen

 

  1. Klicken Sie auf Firewall.

 

 

Web-VM-zu-Web-VM-Konnektivität mithilfe von PuTTY testen

 

Als Nächstes testen Sie Kommunikation und Zugriff zwischen den Web-VMs, die die dreischichtige Anwendung bilden. Im Rahmen des ersten Tests werden Sie eine Konsole für „web-01a“ öffnen und „web-02a“ anpingen.

  1. Klicken Sie auf die PuTTY-Verknüpfung in der Desktop-Taskleiste. 
  2. Wählen Sie web-01a.corp.local aus.
  3. Klicken Sie auf Open.

 

Service Composer-Übersicht


Service Composer bietet eine Übersicht über alle Sicherheitsgruppen innerhalb der ausgewählten NSX Manager-Instanz. Zudem zeigt die Ansicht Details an, z.B. die Mitglieder jeder Sicherheitsgruppe sowie die angewendete Sicherheitsrichtlinie.

In dieser Lektion lernen Sie Service Composer kennen. Sie werden durch ein teilweise konfiguriertes System geführt, sodass Sie die Zuordnungen zwischen Sicherheitsgruppen- und Sicherheitsrichtlinienobjekten auf einer übergeordneten Ansichtsebene überblicken können.


 

Grafische Ansicht der Service Composer-Übersicht

 

 

  1. Klicken Sie auf Service Composer.
  2. Klicken Sie auf Canvas.

Alle Sicherheitsgruppen (die nicht Teil einer anderen Sicherheitsgruppe sind) innerhalb der ausgewählten NSX Manager-Instanz werden zusammen mit ihren angewendeten Richtlinien angezeigt. Das NSX Manager-Dropdown-Menü listet alle NSX Manager-Instanzen auf, in denen dem aktuell angemeldeten Anwender eine Rolle zugewiesen wurde.

Jedes rechteckige Feld in der Übersicht steht für eine Sicherheitsgruppe und die Symbole in den Feldern stellen die Mitglieder der Sicherheitsgruppe dar. Zudem bieten die Symbole Details zur zugeordneten Sicherheitsrichtlinie.

 

 

Modul 1 – Abschluss


Modul 1 zu Service Composer und Distributed Firewall ist hiermit beendet.  Sie haben sowohl statische als auch dynamische Sicherheitsgruppen erstellt, statische und dynamische Sicherheitsrichtlinien (einschließlich Firewall-Regeln) angewendet und SpoofGuard genutzt, um VMs im Netzwerk zu erkennen und zuzulassen, die nicht mit VMware Tools ausgeführt werden.


 

Modul 1 – Bereinigung

 

Vor dem Abschluss von Modul 1 müssen Sie die Regel entfernen, die Sie im Verlauf dieses Abschnitts erstellt haben.

  1. Navigieren Sie zurück zu Service Composer.
  2. Wählen Sie die Registerkarte Security Policies aus.
  3. Klicken Sie mit der rechten Maustaste auf die Zeile Block Web-to-Web Traffic.
  4. Wählen Sie die Option Delete aus. Wenn die Frage „Remove security policy?“ angezeigt wird, klicken Sie auf Yes.

 

 

Abschluss von Modul 1

Sie haben Modul 1 abgeschlossen.

Weitere Informationen zu NSX-Routing-Funktionen und der entsprechenden Konfiguration finden Sie im NSX 6.3 Documentation Center unter der folgenden URL:

Fahren Sie mit dem Modul fort, das Sie am meisten interessiert:

Liste der Module des Hands-on Lab:

Hands-on Lab-Dozent:

 

 

Hands-on Lab beenden

 

Klicken Sie auf die Schaltfläche END, wenn Sie Ihr Hands-on Lab beenden möchten.  

 

Modul 2 – Zusammenführen einer dreischichtigen Anwendung (Funktionsvorstellung, 15 Minuten)

Zusammengeführte Architekturen mithilfe der Distributed Firewall-Funktion von NSX schützen


Im Rahmen dieses Moduls erfahren Sie, wie herkömmliche Multi-Tier-Netzwerkarchitekturen mithilfe der Distributed Firewall(DFW)-Funktion von NSX in einzelnen, flachen Netzwerken zusammengeführt werden können. Die Anwendungsisolation wird dabei aufrechterhalten.  Dies ist ausschlaggebend, um von einem netzwerkorientierten Sicherheitsansatz auf einen workloadorientierten Ansatz umzusteigen. Sie verwenden zwei verschiedene Anwendungen („HR“ und „Finance“), die sich auf demselben logischen Switch und im selben Subnetz befinden.   

Anschließend konfigurieren und testen Sie Folgendes:

Nach Abschluss dieses Moduls wissen Sie, wie Sie mithilfe von NSX DFW Anwendungen schützen, voneinander isolieren und gleichzeitig die normale Kommunikation innerhalb der Anwendungen in derselben Netzwerkinfrastruktur sicherstellen können.  


 

Beispielhafte Netzwerkarchitektur

 

Bevor Sie das dreischichtige Anwendungsnetzwerk in einem einzigen Netzwerk zusammenführen, sehen Sie sich ein Beispiel einer dreischichtigen Anwendung an, die in einzelne Netzwerksubnetze segmentiert wurde, um Layer 3-Isolation zwischen der Web-, Anwendungs- und Datenbankschicht bereitzustellen. Beachten Sie, dass Firewall-Regeln zum Schutz der Kommunikation zwischen den VMs in derselben Layer 2-Domäne und sogar zwischen den Schichten innerhalb der Anwendungen fehlen.  Wenn Unternehmen eine Vielzahl dieser Multi-Tier-Workloads horizontal skalieren, stehen sie vor der Wahl, entweder mehr Subnetze oder aber Anwendungskomponenten (z.B. Datenbanken von anderen Anwendungen) auf derselben L2-Domäne bereitzustellen.  

Beispiel: Ein Unternehmen verfügt über Datenbankkomponenten für mehrere Anwendungen im Netzwerk „DB-Tier“.  Mit herkömmlichen Firewalls besteht kein Schutz zwischen diesen Datenbanken.  Dadurch können Anwender mit Zugriff auf eine Datenbank auch auf eine andere Datenbank im selben Netzwerk zugreifen.  Mithilfe von NSX DFW können Unternehmen die gesamte Netzwerkstruktur in einem einzigen L2-Segment zusammenführen, Funktionen innerhalb der Anwendung bereitstellen und gleichzeitig Anwendungsisolation sicherstellen.

 

 

Auf vSphere Web Client zugreifen

 

  1. Klicken Sie im Fenster der Hauptkonsole auf die Google Chrome-Verknüpfung.

 

 

Funktionsfähigkeit der „Finance“-Anwendung überprüfen

 

  1. Öffnen Sie eine neue Registerkarte in Chrome.
  2. Klicken Sie auf das Lesezeichen Finance DB App.

Vergewissern Sie sich, dass Sie auf die Financial Department Cost Centers Database  zugreifen. Sie sollten Daten von „fin-web-01a“ empfangen.

 

 

„HR“-Anwendung überprüfen

 

  1. Öffnen Sie eine neue Registerkarte in Chrome.
  2. Klicken Sie auf das Lesezeichen HR DB App.

Vergewissern Sie sich, dass Sie auf die HR Employee Salary Database zugreifen.

 

 

Remote-Konsole für die VM „fin-web-01a“ öffnen

 

  1. Klicken Sie auf die Registerkarte für vSphere Web Client.
  2. Klicken Sie auf fin-web-01a.corp.local.
  3. Klicken Sie auf die Registerkarte Summary.
  4. Klicken Sie auf das Zahnradsymbol und anschließend auf Launch Remote Console.

 

 

Zur vSphere Web Client-Sitzung zurückkehren

 

  1. Klicken Sie auf das vSphere Web Client-Browser-Symbol in der Taskleiste.

 

 

Zu vSphere Web Client zurückkehren

 

  1. Klicken Sie auf das vSphere Web Client-Browser-Symbol in der Taskleiste.

 

 

Auf die Firewall-Konfiguration zugreifen

 

  1. Klicken Sie links im Navigationsbereich auf Firewall.

 

 

Sicherheitsgruppe „HR App“ erstellen

 

  1. Wählen Sie im Dropdown-Menü Object Type die Option Security Group aus.
  2. Klicken Sie auf New Security Group, um die Sicherheitsgruppe „HR App“ zu definieren.

 

 

Sicherheitsgruppe „Finance App“ erstellen

 

  1. Wählen Sie im Dropdown-Menü Object Type die Option Security Group aus.
  2. Klicken Sie auf New Security Group, um die Sicherheitsgruppe „Finance App“ zu definieren.

 

 

Neue Firewall-Regel hinzufügen

 

  1. Klicken Sie auf das grüne Pluszeichen im Abschnitt Collapsed App Tier Rules, um eine neue Regel hinzuzufügen.

 

 

Änderungen veröffentlichen

 

  1. Klicken Sie auf Publish Changes, um die neuen Firewall-Regeln auf die entsprechenden VMs und Hosts anzuwenden.

 

 

Funktionsfähigkeit der „Finance“-Anwendung überprüfen

 

  1. Klicken Sie auf die Registerkarte „HOL - Finance Department“.
  2. Klicken Sie auf die Schaltfläche zum Aktualisieren des Browsers.

Vergewissern Sie sich, dass Sie auf die Financial Department Cost Centers Database zugreifen.

 

 

„HR“-Anwendung überprüfen

 

  1. Klicken Sie auf die Registerkarte „HOL - HR Department“.
  2. Klicken Sie auf die Schaltfläche zum Aktualisieren des Browsers.

Vergewissern Sie sich, dass Sie auf die HR Employee Salary Database zugreifen.

 

 

Lab vor dem Übergang zum nächsten Lab-Modul bereinigen

 

Bevor Sie mit dem nächsten Modul fortfahren können, müssen Sie zuerst die Firewall-Regeln entfernen.    

  1. Klicken Sie auf die Browser-Registerkarte vSphere Web Client.

 

Modul 2 – Abschluss


Modul 2 ist hiermit beendet. Im Rahmen dieses Moduls wurden Sie durch die Schritte der Anwendungsisolation mit NSX Distributed Firewall (DFW) in einem einzelnen flachen Netzwerk geführt.  Sie haben erfahren, dass NSX Zero-Trust-Sicherheitsfunktionen über Distributed Firewall auch beim Zusammenführen einer dreischichtigen Netzwerkanwendung auf einem einzigen logischen NSX-Switch bereitstellen kann.  Zu Beginn dieses Lab haben Sie die Kommunikation zwischen den „HR“- und „Finance“-Anwendungs-VMs im selben Netzwerk überprüft.  Anschließend haben Sie Firewall-Regeln mit logischen VM-Gruppen erstellt, um die Kommunikation zwischen den Anwendungen „HR“ und „Finance“ zu verhindern und sie dadurch zu schützen. Zudem haben Sie die Durchsetzung der erstellten Regeln mithilfe von VM-Kommunikationstests zwischen den Anwendungs-Stacks bzw. innerhalb der Anwendungs-Stacks bestätigt.  Nachdem Sie sichergestellt haben, dass die Anwendungen voneinander isoliert sind, haben Sie die Firewall-Regeln gelöscht, um mit einem anderen Modul fortfahren zu können.

Wir hoffen, Sie haben viele nützliche Einblicke in die Anwendungsisolation und die Zero-Trust-Funktionen von NSX DFW gewinnen können.


 

Abschluss von Modul 2

Sie haben Modul 2 abgeschlossen.

Weitere Informationen zu NSX-Routing-Funktionen und der entsprechenden Konfiguration finden Sie im NSX 6.3 Documentation Center unter der folgenden URL:

Fahren Sie mit dem Modul fort, das Sie am meisten interessiert:

Liste der Module des Hands-on Lab:

Hands-on Lab-Dozent:

 

 

Hands-on Lab beenden

 

Klicken Sie auf die Schaltfläche END, wenn Sie Ihr Hands-on Lab beenden möchten.  

 

Modul 3 – Intelligentes Gruppieren (30 Minuten)

Intelligentes Gruppieren


Modul 3 – Intelligentes Gruppieren


 

Einführung

Das Support-Ende (End of Support, EOS) wichtiger Enterprise-Plattformen (z.B. Windows XP, Windows 2000 Server und Windows Server 2003) stellt für Unternehmen, die im alltäglichen Geschäftsbetrieb auf kritische Anwendungen angewiesen sind, eine große Herausforderung dar. Als Microsoft beispielsweise im Juli 2015 den Support für Windows Server 2003 einstellte, waren auf einen Schlag Millionen von Enterprise-Servern gefährdet.

Unternehmen mit EOS-Betriebssystemen sind großen Sicherheitsrisiken ausgesetzt, wenn sie nicht schon Vorkehrungen zum Migrieren auf eine neue Plattform getroffen oder zusätzliche Sicherheitsmaßnahmen ergriffen haben. Hacker wissen genau, dass Plattformanbieter wie Microsoft Schwachstellen nicht mehr überprüfen oder beheben, wodurch solche Systeme schnell zu beliebten Angriffszielen werden. Je länger Plattformen nach ihrem Support-Ende noch im Einsatz sind, desto höher das Risiko, da immer mehr Probleme aufgedeckt und nicht behoben werden.

NSX kann dabei helfen, die Risiken, die mit dem Support-Ende von Betriebssystemen einhergehen, durch zusätzliche Sicherheitsmaßnahmen (Distributed Firewall, Service Composer) zu minimieren. In diesem Lab verwenden Sie NSX-Sicherheitsgruppen, um die Zugriffsmöglichkeiten von Windows XP-VMs einzugrenzen, und stellen Firewall-Richtlinien bereit, um die VMs in einer simulierten Umgebung zu schützen.  

Modulübersicht:

Hands-on Lab-Dozent:

Modul 3 – Chris Cousins, Sr. Systems Engineer, USA

 

 

Bei EOS-VMs anmelden


Sie überprüfen den aktuellen Sicherheitszugriff auf externe und interne Ressourcen mithilfe von Windows XP-VMs.


 

Bei vSphere Web Client anmelden

 

Wenn Sie noch nicht bei vSphere Web Client angemeldet sind:

(Die Startseite sollte vSphere Web Client sein.  Falls nicht, klicken Sie auf das vSphere Web Client-Taskleistensymbol für Google Chrome.)

  1. Geben Sie administrator@vsphere.local in das Feld „User name“ ein.
  2. Geben Sie VMware1! in das Feld „Password“ ein.
  3. Klicken Sie auf Login.
  1. Mit einem Klick auf die Stecknadelsymbole werden die Aufgabenfenster ausgeblendet. Dadurch steht mehr Platz auf dem Hauptbildschirm zur Verfügung.  Um den Platz auf dem Bildschirm zu maximieren, können Sie das linke Fenster ausblenden.

 

 

Bei EOS-VMs anmelden

 

  1. Klicken Sie auf das Haussymbol.
  2. Wählen Sie VMs and Templates aus.

 

 

Internen Zugriff überprüfen

 

Starten Sie den Mozilla-Browser über den Desktop.

  1. Klicken Sie auf das Lesezeichen Customer DB-App, um die interne Anwendung zu starten.

 

 

Eingabeaufforderung für externen Zugriff öffnen

 

Die VM der Steuerungskonsole befindet sich außerhalb der virtuellen Lab-Umgebung. Daher stellt sie für die Umgebung einen externen Service dar. Sie verwenden die IP-Adresse des Kontrollzentrums (192.168.110.10) für Internetservices.

  1. Klicken Sie auf das Menü „Start“.
  2. Öffnen Sie die Eingabeaufforderung.

Falls „Command Prompt“ nicht angezeigt wird:  Klicken Sie auf „Run“, geben Sie „cmd“ ein und drücken Sie die Eingabetaste, um die Eingabeaufforderung aufzurufen.

 

Sicherheitsgruppen erstellen


Da Sie nun die potenzielle Schwachstelle kennen, die dadurch entsteht, dass EOS-VMs Zugriff auf externe Ressourcen gewährt wird, müssen Sie einen Weg finden, diese VMs zu schützen. Sie verwenden NSX-Sicherheitsgruppen, um Maschinen mit EOS-Betriebssystemen schnell zu identifizieren und sie mithilfe von Richtlinien zu schützen.


 

Sicherheitsgruppe erstellen

 

  1. Klicken Sie auf die Browser-Registerkarte vSphere Web Client.
  2. Klicken Sie auf das Haussymbol.
  3. Wählen Sie Networking & Security aus.

 

VM-Zugriff einschränken


Sie wenden nun Regeln an, um den externen Zugriff der VM einzuschränken.


 

Richtlinie anwenden

 

Navigieren Sie zu Service Composer.

  1. Wählen Sie die Sicherheitsgruppe Windows XP EOS aus, die Sie zuvor erstellt haben.
  2. Klicken Sie auf das Symbol zum Anwender einer Richtlinie.

 

 

Erste Firewall-Regel konfigurieren

 

  1. Name:  Access Internal Resources
  2. Action : Allow
  3. Source: Policy's Security Group
  4. Destination: Klicken Sie auf Change.

 

 

Zusätzliche Firewall-Regel hinzufügen

 

Sie haben eine Sicherheitsgruppe erstellt, um der Windows XP-VM Zugriff auf interne Services (interne Anwendungen) zu gewähren. Sie müssen jedoch noch eine zusätzliche Regel hinzufügen, um den Zugriff zwischen internen Services zu gewähren. Außerdem muss die standardmäßige Firewall-Regel bearbeitet werden, um andere Zugriffsarten, einschließlich des externen Zugriffs, zu blockieren.

  1. Klicken Sie auf Firewall, um auf die Firewall-Regeln zuzugreifen.

 

 

Standardmäßige Firewall-Regel bearbeiten

 

Um sämtlichen unerwünschten Datenverkehr der „Windows XP EOS“-VM, einschließlich Datenverkehr im Hinblick auf externe Services, zu blockieren, müssen Sie die standardmäßige Firewall-Regel entsprechend bearbeiten. Die standardmäßige Firewall-Regel befindet sich im Abschnitt „Default Section Layer3 (Rule 4 -7)“.

  1. Klicken Sie, um den Abschnitt „Default Section Layer3 (Rule 4 -7)“ zu erweitern.
  2. Klicken Sie in der Spalte „Action“ der Standardregel auf das Stiftsymbol.
  3. Wählen Sie im Dropdown-Menü „Action“ Block aus.
  4. Klicken Sie auf Save.

 

Eingeschränkten Zugriff von Windows XP-VMs überprüfen


Sie haben Regeln für die „Windows XP EOS“-VM festgelegt. Als Nächstes können Sie den Zugriff auf interne und externe Services testen.


 

Konsole für „win-xp-01a“ erneut öffnen

 

  1. Klicken Sie auf die Browser-Registerkarte für „win-xp-01a“.

 

 

Sicherstellen, dass Zugriff auf externe Services blockiert ist

 

  1. Öffnen Sie erneut die Eingabeaufforderung auf dem Desktop win-xp-01a.
  2. Geben Sie Folgendes in die Eingabeaufforderung ein: ping 192.168.110.10.
  3. Vergewissern Sie sich, dass der externe Zugriff auf das Kontrollzentrum nun blockiert ist.
ping 192.168.110.10

Sie können sehen, dass „win-xp-01a“ Zugriff auf interne Services hat, der externe Zugriff jedoch vollständig gemäß der Gruppenrichtlinie blockiert wurde.

 

 

Modulbereinigung: Standardregel auf „Allow“ zurücksetzen

 

  1. Erweitern Sie den Abschnitt „Default Section Layer3 (Rule 4 -7)“.
  2. Bewegen Sie den Mauszeiger in der Standardregel in die rechte obere Ecke des Felds „Action“ und klicken Sie auf das Stiftsymbol.
  3. Wählen Sie im Dropdown-Menü „Action“ die Option „Allow“ aus.
  4. Klicken Sie auf „Save“.

 

Modul 3 – Abschluss


 Sie haben Modul 3 abgeschlossen.

In diesem Lab haben Sie erfahren, wie Sie EOS-Betriebssysteme mithilfe von Sicherheitsgruppen schnell und intelligent gruppieren können.  Sobald Sie Sicherheitsgruppen festgelegt haben, können Sie diese verwenden, um Firewall-Regeln zu erstellen. Mit Firewall-Regeln sind Sie in der Lage, den Zugriff auf und von VMs einzuschränken, die in Sicherheitsgruppen enthalten sind. Eine Sicherheitsgruppe ist ein vielseitiges Tool, das wiederverwendet werden kann, um bestehende Richtlinien an sich ändernde Sicherheitsanforderungen anzupassen oder neue Richtlinien zu erstellen.

Weitere Informationen zu NSX-Sicherheitsgruppen und der entsprechenden Konfiguration finden Sie im NSX 6.3 Documentation Center unter der folgenden URL:

Liste der Module des Hands-on Lab:

Hands-on Lab-Dozent:


 

Hands-on Lab beenden

 

Klicken Sie auf die Schaltfläche END, wenn Sie Ihr Hands-on Lab beenden möchten.  

 

Modul 4 – Anwenderbasierte Sicherheit mithilfe einer JumpBox (45 Minuten)

Anwenderbasierte Sicherheit in einem JumpBox-Szenario


Modul 4 

Anwenderbasierte Sicherheit in einem JumpBox-Szenario


 

Einführung

Im Rahmen dieses Lab erstellen Sie Firewall-Regeln mithilfe der identitätsbasierten Firewall-Funktion von NSX. Diese Funktion nutzt eine Verbindung zwischen NSX Manager und Active Directory. NSX Manager überprüft das Ereignisprotokoll des AD-Servers, um Anmeldedaten und -ereignisse zu ermitteln. Anwender, die sich bei VMs anmelden, können ihre VMs sofort Sicherheitsgruppen zuweisen lassen, basierend auf den jeweiligen AD-Gruppen.  Mit Sicherheitsgruppen und den dazugehörigen Firewall-Regeln können Sie den Anwenderzugriff innerhalb Ihrer Umgebung verwalten.

Für dieses Lab werden zwei verschiedene Active Directory-Gruppen und zwei verschiedene Anwender verwendet. Der erste Anwender ist ein Netzwerkadministrator, der Zugriff auf alle Anwendungen in der Umgebung haben sollte. Der zweite Anwender, ein Administrator der Personalabteilung (Human Resources, HR), sollte lediglich Zugriff auf eine bestimmte webbasierte Anwendung haben.      

 

Modulübersicht:

 Hands-on Lab-Dozent:

Modul 4 – Chris Cousins, Sr. Systems Engineer, USA

 

Die Verbindung zwischen NSX und Active Directory


NSX stellt eine Verbindung zu Active Directory her, um AD-Gruppen verwenden und identitätsbasierte Firewall-Regeln bereitstellen zu können.


 

Browser und vSphere Web Client starten

 

 

 

Die Verbindung zwischen NSX und Active Directory

 

  1. Klicken Sie auf das Haussymbol.
  2. Klicken Sie auf Networking & Security.

 

 

AD-Synchronisierung

 

  1. Klicken Sie auf das Symbol mit den zwei Zahnrädern.
  2. Klicken Sie auf das Zahnradsymbol, um AD zu synchronisieren.  Es sollten der Status „Success“ sowie das aktuelle Datum angezeigt werden.

Beachten Sie, dass dieser Vorgang zwei bis drei Minuten in Anspruch nimmt.

Mit einer konfigurierten und synchronisierten AD-Verbindung können Sie die AD-Gruppen in Ihren Sicherheitsrichtlinien verwenden.

 

NSX-Gastselbstprüfung


Bevor Sie identitätsbasierte Firewall-Regeln (Identity Based Firewall, IDFW) erstellen, müssen Sie die NSX-Gastselbstprüfung konfigurieren.


 

Gastselbstprüfungsfunktion bereitstellen

 

  1. Klicken Sie auf das Haussymbol.
  2. Klicken Sie auf Networking & Security.

 

 

Servicebereitstellungen

 

  1. Wählen Sie Installation aus.
  2. Wählen Sie die Registerkarte Service Deployments aus.
  3. Klicken Sie auf das Pluszeichen, um die Gastselbstprüfungsfunktion bereitzustellen.

 

 

Bereitstellungsassistent für die Gastselbstprüfungsfunktion

 

  1. Wählen Sie den Service Guest Introspection aus.
  2. Klicken Sie auf Next.

 

  1. Wählen Sie RegionA01-COMP02 aus.
  2. Klicken Sie auf Next.

 

  1. Behalten Sie die Standardwerte bei.
  2. Klicken Sie auf Next.

 

 

Datenerfassung starten

 

  1. Klicken Sie auf Finish.

Warten Sie ein paar Minuten, bis der Installationsvorgang abgeschlossen wurde, und vergewissern Sie sich dann, dass die Installation im Cluster erfolgreich war.

 

 

 

Gastselbstprüfungsinstallation auf den Hosts überprüfen

 

  1. Klicken Sie auf das Haussymbol.
  2. Klicken Sie auf Hosts and Clusters.

 

  1. Erweitern Sie den Ordner RegionA01-COMP02.
  2. Stellen Sie sicher, dass die Gastselbstprüfungs-VM betriebsbereit ist und auf dem Host „esx-03a.corp.local“ bereitgestellt wurde.
  3. Vergewissern Sie sich, dass der Gastselbstprüfungs-VM eine IP-Adresse zugewiesen wurde.

 

Auf AD-Gruppen basierende Sicherheitsobjekte verwenden


  1. Sicherheitsobjekte werden basierend auf ihrer AD-Gruppenmitgliedschaft definiert und zur Durchsetzung von Sicherheitsrichtlinien verwendet.

 

Ein auf AD-Gruppen basierendes Sicherheitsobjekt erstellen

 

  1. Bewegen Sie den Mauszeiger über das Haussymbol.
  2. Klicken Sie auf Networking & Security.

 

 

Neuen Firewall-Regelabschnitt erstellen

 

  1. Klicken Sie links im Navigationsbereich auf die Schaltfläche Firewall.
  2. Klicken Sie im Abschnitt Flow Monitoring & Traceflow Rules - Disabled By Default (Rule 1) auf das Symbol zum Hinzufügen eines neuen Abschnitts.

 

 

Regel für den Netzwerkadministrator hinzufügen

 

  1. Klicken Sie im neu erstellten Regelabschnitt auf das Symbol zum Hinzufügen einer Regel.
  2. Klicken Sie, um den neu erstellten Regelabschnitt zu erweitern.
  3. Klicken Sie auf das Stiftsymbol in der Spalte Name, um die neue Regel zu bearbeiten.

 

 

Regel für den HR-Administrator hinzufügen

 

  1. Klicken Sie, um den Abschnitt der AD-basierten Regel zu erweitern.
  2. Klicken Sie auf das Symbol zum Hinzufügen einer Regel.

 

Firewall-Regeln für interne Anwendungen definieren


In diesem Lab sind für interne Anwendungen zusätzliche Regeln erforderlich, um Kommunikation zwischen den Anwendungsschichten zu gewährleisten.


 

Zusätzliche Firewall-Regel hinzufügen

 

Sie haben AD-basierte Firewall-Regeln erstellt, um HR- und Netzwerkadministratoren basierend auf ihrer jeweiligen Rolle Zugriff auf entsprechende Anwendungen zu gewähren. Sie müssen jedoch noch eine zusätzliche Regel hinzufügen, um den Zugriff zwischen internen Services zu gewähren. Außerdem muss die standardmäßige Firewall-Regel bearbeitet werden, um andere Zugriffsarten, einschließlich des externen Zugriffs, zu blockieren.

  1. Klicken Sie auf Firewall, um auf die Firewall-Regeln zuzugreifen.

 

 

Standardmäßige Firewall-Regel bearbeiten

 

Um unerwünschten Datenverkehr blockieren zu können, müssen Sie die standardmäßige Firewall-Regel entsprechend bearbeiten. Die standardmäßige Firewall-Regel befindet sich im Abschnitt „Default Section Layer3 (Rule 4 -7)“.

  1. Klicken Sie, um den Abschnitt „Default Section Layer3 (Rule 4 -7)“ zu erweitern.
  2. Klicken Sie in der Spalte Action der Standardregel auf das Stiftsymbol.
  3. Wählen Sie im Dropdown-Menü „Action“ Block aus.
  4. Klicken Sie auf Save.

 

Auf Anwenderidentität basierende Regeln testen


Um die neu erstellten Regeln zu testen, müssen Sie sich mit verschiedenen AD-Anmeldedaten bei der VM „win12-jump“ anmelden.


 

Anwenderidentitätsregel testen

 

Sie können die neuen identitätsbasierten Regeln testen, indem Sie in der Domäne eine Konsole für die JumpBox-VM (win-12-jump) öffnen und sich als Mitglied der Active Directory-Gruppe „AppConfiguration“ oder „Hresources“ anmelden.  Der Anwender  NetAdmin ist Mitglied der Gruppe „AppConfiguration“ und kann daher auf alle internen Anwendungen bzw. Anwendungsschichten zugreifen. Der Anwender HR Admin ist Mitglied der Gruppe „Hresources“ und hat daher nur Webzugriff auf HR- und Finanzanwendungen.  Sie melden sich mit beiden Anwenderrollen an und versuchen, auf mehrere dreischichtige Anwendungen zuzugreifen.

  1. Klicken Sie auf das Haussymbol.
  2. Klicken Sie auf „VMs and Templates“.

 

 

Konsole für die JumpBox öffnen

 

Erweitern Sie die Container „RegionA01“ und „Discovered virtual machines“, um win12-jump zu finden.

  1. Erweitern Sie „Discovered virtual machines“.
  2. Klicken Sie mit der rechten Maustaste auf „win12-jump“.
  3. Klicken Sie auf „Open Console“.

 

 

Anwender wechseln

 

  1. Klicken Sie auf „Send Ctrl+Alt+Delete“.
  2. Klicken Sie auf „Other user“.

 

 

Als „NetAdmin“ anmelden

 

  1. Der Anwendername lautet „NetAdmin“.
  2. Das Kennwort lautet „VMware1!.“ (Vergessen Sie nicht, „.“ nach „!“ einzufügen).
  3. Klicken Sie auf den Rechtspfeil.

 

Modul 4 – Abschluss


Sie haben Modul 4 abgeschlossen.

In diesem Lab haben Sie erfahren, wie Sie den Zugriff auf interne Anwendungen mithilfe der identitätsbasierten Firewall-Funktionen von NSX verwalten können.  Sie haben AD-basierte Firewall-Regeln sowohl für Netzwerk- als auch HR-Administratoren erstellt. Mit diesen Regeln können HR-Administratoren nur auf HR-Webanwendungen über das HTTP-Protokoll zugreifen.  Netzwerkadministratoren hingegen können über ein beliebiges Protokoll auf alle Anwendungen zugreifen.  Dadurch können Sie den Zugriff auf die richtigen Anwendungen steuern, basierend auf den entsprechenden Berechtigungen und Rollen innerhalb des Unternehmens.

Weitere Informationen zu den identitätsbasierten Firewall-Funktionen von NSX und der entsprechenden Konfiguration finden Sie im NSX 6.3 Documentation Center unter der folgenden URL:

Liste der Module des Hands-on Lab:

Hands-on Lab-Dozent:


 

Hands-on Lab beenden

 

Klicken Sie auf die Schaltfläche END, wenn Sie Ihr Hands-on Lab beenden möchten.  

 

Modul 5 – Mikrosegmentierung von Anwendungen mit Application Rule Manager (45 Minuten)

Modul 5 – Application Rule Manager



 

Einführung

Application Rule Manager (ARM) ist ein neues Tool in NSX 6.3. Es verwendet Echtzeit-Datenflussinformationen für eine schnelle und effiziente Mikrosegmentierungsplanung sowie Implementierung von Zero-Trust-Sicherheitsmodellen. Die neue ARM-Lösung kann dabei helfen, neue oder bestehende Anwendungen im Vergleich zu Log Insight in größerem Umfang zu schützen und im Hinblick auf den Schutz von Umgebungen tiefer als vRealize Network Insight (vRNI) zu greifen.

ARM erfasst Echtzeit-Datenflussinformationen innerhalb und außerhalb von Anwendungs-Workloads sowie zwischen ihnen. Dadurch können Sie anwendungsorientierte Sicherheitsmodelle erstellen. ARM kann bis zu 30 VMs pro Sitzung überwachen. Zudem können insgesamt fünf Sitzungen jederzeit ausgeführt werden. Application Rule Manager bietet Ihnen außerdem Einblick in blockierte Datenflüsse und die jeweiligen Firewall-Regeln, die den Datenverkehr blockieren.  

Der Application Rule Manager-Workflow umfasst drei Schritte:

  1. Wählen Sie virtuelle Maschinen (VMs) aus, die die Anwendung bilden und geschützt werden müssen. Nach der Konfiguration werden alle ein- und ausgehenden Datenflüsse für eine definierte Gruppe virtueller Netzwerkkarten (virtualized Network Interface Cards, vNICs) auf den VMs überwacht. Zum Erfassen der Datenflüsse können bis zu fünf Sitzungen gleichzeitig ausgeführt werden.
  2. Halten Sie den Überwachungsprozess an, um Datenflusstabellen zu generieren. Die Datenflüsse werden analysiert, um die Interaktion zwischen den VMs zu ermitteln. Sie können gefiltert werden, um die Ergebnisse einzugrenzen.
  3. Verwenden Sie die Datenflusstabellen, um Gruppierungsobjekte (z.B. Sicherheitsgruppen, IP-Sätze, Services, Servicegruppen und Firewall-Regeln) zu erstellen.

Hands-on Lab-Dozent:

Modul 5 – Chris Cousins, Sr. Systems Engineer, USA

 

Mikrosegmentierung von Anwendungen



 

Chrome-Browser und vSphere Web Client starten

 

  1. Doppelklicken Sie auf das Chrome-Symbol auf dem Desktop.

 

 

Bei vSphere Web Client anmelden

 

Wenn Sie noch nicht bei vSphere Web Client angemeldet sind:

(Die Startseite sollte vSphere Web Client sein. Falls nicht, klicken Sie auf das vSphere Web Client-Taskleistensymbol für Google Chrome.)

  1. Geben Sie administrator@vsphere.local in das Feld „User name“ ein.
  2. Geben Sie VMware1! in das Feld „Password“ ein.
  3. Klicken Sie auf Login.

 

 

Application Rule Manager

 

  1. Klicken Sie auf das Haussymbol.
  2. Wählen Sie Networking & Security aus.

 

 

Datenflussüberwachung auswählen

 

  1. Wählen Sie Flow Monitoring aus.

 

 

Neue Sitzung für „HR_DB_App“ starten

 

  1. Wählen Sie die Registerkarte Application Rule Manager aus.
  2. Klicken Sie auf Start New Session, um Datenflussinformationen von Anwendungen zu erfassen.

 

 

Virtuellen Maschinen für „HR_DB_App“ auswählen

 

  1. Session Name: HR_DB_App
  2. Wählen Sie im Dropdown-Menü „Object Type“ die Option Virtual Machine aus.
  3. Geben Sie hr in das Suchfeld ein.
  4. Wählen Sie hr-web-01a.corp.local, hr-db-01a.corp.local und hr-app-01a.corp.local aus.
  5. Klicken Sie auf den Rechtspfeil.
  6. Klicken Sie auf OK.

 

 

Datenverkehrsflüsse generieren – ICMP

 

Application Rule Manager erfasst nun Datenflussinformationen zu den drei „HR_DB_App“-VMs. Je länger der Erfassungsprozess ausgeführt wird, desto mehr Daten stehen für die Analyse zur Verfügung. In diesem Fall erfassen Sie Datenflussinformationen in einem Zeitraum von drei Minuten. So generieren Sie einige Datenflussinformationen:

  1. Öffnen Sie eine PuTTY-Sitzung und wählen Sie hr-web-01a.corp.local aus.
  2. Geben Sie ping -c 2 172.16.60.12 in die Befehlszeile ein.
  3. Öffnen Sie die Eingabeaufforderung in der Hauptkonsole.
  4. Pingen Sie „172.16.60.10“ an.
ping -c 2 172.16.60.12
ping 172.16.60.10

 

 

Weitere Datenverkehrsflüsse generieren – HTTPS

 

  1. Öffnen Sie eine neue Browser-Registerkarte in Chrome.
  2. Klicken Sie auf das Lesezeichen HR DB App.
  3. Aktualisieren Sie die Seite mehrmals.

 

 

Datenerfassung beenden

 

Innerhalb der drei Minuten sehen Sie Datenflüsse in der entsprechenden Überwachungskonsole. Die Anzahl der Datenflüsse unterscheidet sich von Lab zu Lab.

  1. Klicken Sie nach drei Minuten auf Stop.
  2. Klicken Sie zur Bestätigung auf Yes.

 

 

Datenflussinformationen überprüfen

 

Hier sehen Sie Quell- bzw. Ziel-IP-Adressen und Services wie HTTP, HTTPS, etc.

 

 

Neue Sitzung für „Finance_DB_App“ starten

Bevor Sie die für „HR_DB_App“ erfassten Daten analysieren, konfigurieren Sie eine zweite Sitzung für „Finance_DB_App“. Dadurch zeigen Sie auf, dass mehrere Sitzungen zum Erfassen von Datenflussinformationen ausgeführt werden können.

 

 

Sitzung für „Finance_DB_App“ starten

 

  1. Klicken Sie auf Start New Session.

 

 

Virtuelle Maschinen für „Finance_DB_App“ auswählen

 

  1. Session Name: Finance_DB_App
  2. Wählen Sie im Dropdown-Menü „Object Type“ die Option Virtual Machine aus.
  3. Geben Sie fin in das Suchfeld ein.
  4. Wählen Sie fin-web-01a.corp.local, fin-db-01a.corp.local und fin-app-01a.corp.local aus.
  5. Klicken Sie auf den Rechtspfeil.
  6. Klicken Sie auf OK.

 

 

Datenerfassung für „Finance_DB_App“

 

Application Rule Manager erfasst nun Datenflussinformationen zu den drei „Finance_DB_App“-VMs. Je länger der Erfassungsprozess ausgeführt wird, desto mehr Daten stehen für die Analyse zur Verfügung. In diesem Fall erfassen Sie Datenflussinformationen in einem Zeitraum von drei Minuten. Um Datenflussinformationen zu generieren, öffnen Sie eine neue Browser-Registerkarte in Chrome, klicken Sie auf das Lesezeichen Finance DB App und aktualisieren Sie die Seite mehrmals. Innerhalb der drei Minuten sehen Sie Datenflüsse in der entsprechenden Überwachungskonsole. Die Anzahl der Datenflüsse unterscheidet sich von Lab zu Lab.

  1. Klicken Sie auf Stop.
  2. Klicken Sie auf Yes.

 

 

Sitzungen überprüfen

 

Wie Sie sehen können, hat Application Rule Manager erfolgreich Datenflussinformationen von den HR_DB_App- und Finance_DB_App-VMs erfasst.

 

 

Quellen überprüfen

 

  1. Klicken Sie auf Source, um die überwachten vNICs anzuzeigen.

 

 

Erfassungsdauer überprüfen

 

  1. Klicken Sie auf Flows, um Zeit und Dauer der Erfassung anzuzeigen.

 

 

Datenflussanalyse für „Finance_DB_App“ starten

 

  1. Klicken Sie auf Analyze, um die erfassten Datenflussinformationen analysieren zu lassen.

 

 

Datenflussanalyse für „HR_DB_App“ starten

 

Wenn die Datenanalyse für „Finance_DB_App“ abgeschlossen ist:

  1. Wählen Sie im Dropdown-Menü „Session“ HR_DB_App aus.
  2. Klicken Sie auf Analyze.

 

 

Datenanalyse überprüfen

 

  1. Vergewissern Sie sich, dass über Analysis Complete ein grünes Häkchen angezeigt wird. Dies deutet auf eine erfolgreiche Datenanalyse hin.

 

 

„HR_DB_App“ – Verarbeitungsansicht

 

Nach der Analyse und Verarbeitung der Datenflussinformationen hat NSX die IP-Adressen durch VM-Namen ersetzt. Dadurch wird die logische Zuordnung von Datenflüssen zwischen Objekten erleichtert.

 

 

„HR_DB_App“ – Firewall-Regeln

 

Sie verwenden die von ARM bereitgestellten Informationen nun, um Mikrosegmentierung für virtuelle Maschinen innerhalb bzw. zwischen „HR__DB_App“ und „Finance_DB_App“ bereitzustellen. Überprüfen Sie, ob „hr-web-01a“ mit „hr-db-01a“ kommunizieren kann.

  1. Öffnen Sie eine PuTTY-Sitzung für hr-web-01a.corp.local.
  2. Klicken Sie in der Spalte „Destination“ auf hr-db-01a.corp.local, um die IP-Adresse abzurufen.
  3. Hier können Sie die IP-Adresse 172.16.60.12 sowie die vNIC-Informationen sehen.
  4. Pingen Sie 172.16.60.12 an. Der Ping-Test sollte erfolgreich sein und keinen Paketverlust aufweisen.
ping -c 2 172.16.60.12

Sie haben festgestellt, dass die „HR_DB_App“-VM „hr-web-01a“ direkt mit der VM „hr-db-01a“ kommunizieren kann. Dies ist kein wünschenswertes Szenario. Als Nächstes konfigurieren Sie die entsprechenden Firewall-Regeln, um den Datenverkehr zwischen den dreischichtigen virtuellen Maschinen zu steuern.

 

 

Neue Firewall-Regeln

 

  1. Wählen Sie den Datenfluss mit der Quelle „192.168.110.10“, dem Ziel „hr-web-01a.corp.local“ und dem Service „SSH“ aus.
  2. Klicken Sie auf das Zahnradsymbol.
  3. Wählen Sie Create Firewall Rule aus.

 

 

„Control Center to HR_Web“

 

  1. Name: Control Center to HR_Web
  2. Klicken Sie neben dem Feld „Service“ auf Select.

 

 

Services auswählen

 

  1. Geben Sie https in das Suchfeld ein.
  2. Wählen Sie HTTPS aus.
  3. Klicken Sie auf den Rechtspfeil.
  4. Stellen Sie sicher, dass SSH und HTTPS ausgewählt sind.
  5. Klicken Sie auf „OK“.

 

 

Konfiguration bestätigen

 

  1. Vergewissern Sie sich, dass Ihre Konfiguration der Abbildung entspricht, und klicken Sie auf OK.

 

 

Firewall-Regel „HR_Web to HR_App“ konfigurieren

 

  1. Wählen Sie die Zeile aus, die hr-app-01a als Ziel auflistet.
  2. Klicken Sie auf das Zahnradsymbol und wählen Sie Create Firewall Rule aus.  

 

 

Neue Firewall-Regel: „HR_Web to HR_App“

 

  1. Name: HR_Web to HR_App
  2. Behalten Sie die restlichen Standardwerte bei und klicken Sie auf OK.

 

 

Neue Firewall-Regel konfigurieren: „HR_App to HR_DB“

 

  1. Wählen Sie die Zeile aus, die hr-db-01a als Ziel auflistet.
  2. Klicken Sie auf das Zahnradsymbol und wählen Sie Create Firewall Rule aus.
  3. Wählen Sie NICHT die Zeile aus, die ICMP Echo als Service auflistet.

 

 

Neue Firewall-Regel: „HR_App to HR_DB“

 

 

 

Firewall-Regeln veröffentlichen

 

  1. Wählen Sie unter „Flow Details“ die Registerkarte Firewall Rules aus. Hier können Sie die gerade erstellten Firewall-Regeln sehen.
  2. Die Firewall-Regeln können in dieser Ansicht auch bearbeitet und gelöscht werden.
  3. Klicken Sie auf Publish.

 

 

Namen eingeben

 

  1. Section Name: HR_DB_App
  2. Wählen Sie Default Section Layer 3 aus.

 

 

Firewall-Regel für „HR_DB_App“ überprüfen

 

  1. Wählen Sie im Navigationsbereich Firewall aus.

 

 

Dreischichtige Firewall-Regel für „HR_DB_App“

 

Hier können Sie die Firewall-Regeln sehen, die Sie gerade in Application Rule Manager konfiguriert haben. Als Nächstes testen Sie „HR_DB_App“, um zu sehen, ob die Webseite aufgelöst werden kann und unsicherer Datenverkehr blockiert wurde.

 

 

Standardmäßige Firewall-Regel bearbeiten

 

  1. Klicken Sie in der Standardregel auf das Stiftsymbol, um die Regel zu bearbeiten.
  2. Action: Block
  3. Klicken Sie auf Save.

 

  1. Klicken Sie auf Publish Changes.

 

 

Überprüfen, ob „HR_DB_App“ funktioniert

 

Falls Sie die Registerkarte „HOL - HR Department“ geschlossen haben:

  1. Öffnen Sie eine neue Browser-Registerkarte in Chrome.
  2. Klicken Sie auf das Lesezeichen HR DB App.

Sie sollten die HR Employee Salary Database sehen können.

 

 

Eingabeaufforderung öffnen

 

Testen Sie, ob Sie die Web-, Anwendungs- und Datenbankserver über die Hauptkonsole erfolgreich anpingen können:

  1. Pingen Sie „172.16.60.10“ an.
  2. Pingen Sie „172.16.60.11“ an.
  3. Pingen Sie „172.16.60.12“ an.
ping 172.16.60.10
ping 172.16.60.11
ping 172.16.60.12

Sie können sehen, dass der ICMP-Datenverkehr blockiert wird. Der einzige zulässige Datenverkehr ist HTTPS.

Hinweis: In diesem Lab haben Sie die Firewall-Regel für „hr-web-01a“ konfiguriert, um SSH zuzulassen. Dadurch können Sie über PuTTY auf die virtuelle Maschine zugreifen und den nächsten Test durchführen.

 

 

PuTTY öffnen

 

ping -c 2 172.16.60.12
  1. Pingen Sie „-c 2 172.16.60.12“ an.
  2. Geben Sie nach zehn Sekunden Strg + C ein, um den Vorgang zu beenden.

Der Datenverkehr von web-01a zu db-01a wurde blockiert.

 

Modul 5 – Abschluss


Sie haben Modul 5 abgeschlossen.

Weitere Informationen zu den Funktionen und der Konfiguration von NSX Application Rule Manager finden Sie im NSX 6.3 Documentation Center unter folgender URL:

Liste der Module des Hands-on Lab:

Hands-on Lab-Dozent:

  • Modul 1 – Chris Cousins, Sr. Systems Engineer, USA
  • Modul 2 – Chris Cousins, Sr. Systems Engineer, USA
  • Modul 3 – Chris Cousins, Sr. Systems Engineer, USA
  • Modul 4 – Chris Cousins, Sr. Systems Engineer, USA

 

Hands-on Lab beenden

 

Klicken Sie auf die Schaltfläche END, wenn Sie Ihr Hands-on Lab beenden möchten.  

 

Schlussbemerkung

Vielen Dank für Ihre Teilnahme an den VMware Hands-on Labs. Besuchen Sie http://hol.vmware.com/, um an weiteren Online-Labs teilzunehmen.

Lab-SKU: HOL-1803-02-NET

Version: 20180502-190649