Hands-On Lab di VMware - HOL-1803-02-NET


Presentazione del laboratorio HOL-1803-02-NET - VMware NSX: Distributed Firewall e microsegmentazione

Istruzioni per il laboratorio


Nota: per seguire l'intero laboratorio serviranno più di 90 minuti. Nel tempo a tua disposizione potrai presumibilmente completare solo 2-3 moduli. I moduli non sono interdipendenti, pertanto puoi cominciare da quello che preferisci e procedere nell'ordine che ritieni opportuno. Per accedere ai vari moduli, puoi usare il sommario.

Il sommario è disponibile nell'angolo in alto a destra del manuale del laboratorio.

In questo laboratorio esploreremo i casi d'uso di VMware NSX e della microsegmentazione, con analisi più approfondite di Distributed Firewall e della UI di Service Composer. I casi d'uso includono soluzioni per la compressione delle reti segmentate, il raggruppamento intelligente dei server e la sicurezza basata sull'utente.

Elenco dei moduli del laboratorio:

Responsabili del laboratorio:

  • Modulo 1: Chris Cousins, Sr. Systems Engineer, USA
  • Modulo 2: Chris Cousins, Sr. Systems Engineer, USA
  • Modulo 3: Chris Cousins, Sr. Systems Engineer, USA
  • Modulo 4: Chris Cousins, Sr. Systems Engineer, USA

 

Puoi scaricare questo manuale dal sito dedicato ai documenti per gli Hands-on Lab dal seguente indirizzo:

http://docs.hol.vmware.com

Questo laboratorio potrebbe essere disponibile in altre lingue. Le istruzioni contenute in questo documento ti aiuteranno a impostare le tue preferenze e a distribuire un manuale localizzato per il laboratorio:

http://docs.hol.vmware.com/announcements/nee-default-language.pdf


 

Ubicazione della console principale

 

  1. L'area nel riquadro ROSSO contiene la console principale. Il manuale del laboratorio è disponibile nella scheda a destra della console principale.
  2. Alcuni laboratori potrebbero disporre di console aggiuntive in schede separate nella parte in alto a sinistra. Se necessario, verrai invitato ad aprire un'altra console specifica.
  3. All'inizio del laboratorio il timer segnerà 90 minuti. Non puoi salvare il laboratorio. Tutto il lavoro dovrà essere portato a termine durante la sessione. Puoi comunque fare clic su EXTEND (Estendi) per aumentare il tempo a disposizione. Se stai partecipando a un evento VMware, puoi estendere la durata del laboratorio per due volte, fino a 30 minuti totali. Ogni clic garantisce ulteriori 15 minuti. Se non stai partecipando a un evento VMware, puoi estendere la durata del laboratorio fino a 9 ore e 30 minuti totali. Ogni clic garantisce un'ulteriore ora.

 

 

Metodi alternativi per l'immissione dei dati da tastiera

Nel corso di questo modulo, ti verrà richiesto di inserire dei contenuti di testo nella console principale. Oltre alla digitazione diretta, esistono altri due metodi, particolarmente utili per inserire dati complessi.

 

 

Selezione e trascinamento del contenuto del manuale del laboratorio nella finestra della console attiva

 
 

Puoi anche fare clic e trascinare il testo e i comandi dell'interfaccia della riga di comando (CLI) direttamente dal manuale del laboratorio nella finestra attiva della console principale.

 

 

Accesso alla tastiera internazionale online

 

Puoi anche utilizzare la tastiera internazionale online disponibile nella console principale.

  1. Fai clic sull'icona della tastiera presente nella barra delle applicazioni Avvio veloce di Windows.

 

 

Prompt di attivazione o filigrana

 

Quando avvii per la prima volta il laboratorio, sul desktop viene visualizzata una filigrana a indicare che Windows non è attivato.

Uno dei vantaggi principali della virtualizzazione è che le macchine virtuali possono essere spostate ed eseguite su qualsiasi piattaforma. Gli Hands-on Lab sfruttano questa caratteristica e pertanto possono essere eseguiti su più data center. Tuttavia questi data center potrebbero non essere dotati degli stessi processori, causando così l'avvio di un controllo di attivazione Microsoft su Internet.

È comunque garantita la piena compliance di VMware e degli Hands-on Lab ai requisiti di licenza Microsoft. Il laboratorio in uso è un pod completamente indipendente e non prevede l'accesso completo a Internet, necessario affinché Windows possa verificare l'attivazione. Senza l'accesso completo a Internet, questo processo automatizzato non va a buon fine e viene quindi visualizzata questa filigrana.

Questo problema estetico non ha alcun effetto sul laboratorio.

 

 

Informazioni nella parte inferiore dello schermo

 

Verifica che siano state completate tutte le routine di avvio e che il laboratorio sia pronto per l'esecuzione. Se compaiono indicazioni diverse da "Ready" (Pronto), attendi alcuni minuti. Se dopo cinque minuti lo stato del laboratorio non è ancora passato a "Ready", richiedi assistenza.

 

Modulo 1 - Introduzione a Service Composer e Distributed Firewall (45 minuti)

Distributed Firewall: introduzione alla microsegmentazione


NSX Distributed Firewall (DFW) è un firewall integrato nel kernel dell'hypervisor che garantisce visibilità e controllo delle reti e dei carichi di lavoro virtualizzati. Puoi creare policy di controllo dell'accesso basate sugli oggetti di VMware vCenter, ad esempio nomi di macchine virtuali, data center e cluster, strutture di rete come IP o set di IP, VLAN (gruppi di porte DVS), VXLAN (switch logici), gruppi di sicurezza, nonché identità dei gruppi di utenti di Active Directory. Le regole firewall vengono applicate a livello di vNIC di ogni macchina virtuale per fornire un controllo dell'accesso coerente anche in caso di spostamento della macchina virtuale con vMotion. L'integrazione del firewall nell'hypervisor garantisce un throughput prossimo alla velocità della linea per consentire un maggiore consolidamento del carico di lavoro nei server fisici. La natura distribuita del firewall fornisce un'architettura scalabile orizzontalmente che estende in modo automatico la capacità del firewall quando vengono aggiunti altri host a un data center.

La microsegmentazione è garantita dal componente Distributed Firewall (DFW) di NSX. DFW opera nel layer del kernel dell'hypervisor ESXi ed elabora i pacchetti a una velocità prossima a quella della linea. Ogni VM dispone di un proprio contesto e di regole firewall specifiche. La mobilità dei carichi di lavoro (vMotion) è completamente supportata con DFW, e le connessioni attive rimangono intatte durante lo spostamento. Questa funzionalità di sicurezza avanzata migliora la protezione della rete del data center isolando ogni gruppo correlato di macchine virtuali su un segmento di rete logica separato, consentendo all'amministratore di proteggere con un firewall il traffico tra i vari segmenti del data center (traffico est-ovest). Tutto questo limita la possibilità per gli hacker di spostarsi lateralmente nel data center.

La struttura del modulo è la seguente:

Funzionalità di base di Distributed Firewall 

Meccanismo ottimizzato per l'individuazione dell'IP per la funzione di firewall

Applicazione della sicurezza dal punto di vista logico con Service Composer

Inizia a seguire il modulo dal tuo desktop, che rappresenta il JumpBox per il centro di controllo nell'ambiente virtuale. Da questo desktop puoi accedere alla soluzione vCenter Server Appliance distribuita nel tuo data center virtuale.

N.B. Nel desktop troverai il file LEGGIMI.txt in cui sono riportati gli account utente e le password utilizzati per tutti i dispositivi virtuali e le macchine virtuali del laboratorio.


 

Avviso per gli utenti sulla sezione relativa a Distributed Firewall e microsegmentazione

Si ricorda agli utenti che hanno completato HOL-1803-01-NET, Modulo 6 - Distributed Firewall, che questa sezione del presente laboratorio, relativa a Distributed Firewall, è una ripetizione del suddetto modulo e che pertanto non deve essere necessariamente completata. Se lo desiderano, tali utenti possono utilizzare il link riportato sotto per passare direttamente alla sezione successiva.

Fai clic qui per passare al modulo Meccanismo ottimizzato per l'individuazione dell'IP per le macchine virtuali e SpoofGuard

 

 

 

Metodi alternativi per l'immissione dei dati da tastiera

Nel corso di questo modulo, ti verrà richiesto di inserire dei contenuti di testo nella console principale. Oltre alla digitazione diretta, esistono altri due metodi, particolarmente utili per inserire dati complessi.

 

 

Accesso a vSphere Web Client

 

  1. Puoi richiamare vSphere Web Client utilizzando l'icona Google Chrome sul desktop.

 

 

Configurazione delle regole per l'accesso all'applicazione web

A questo punto, puoi configurare l'accesso con Distributed Firewall a un'applicazione a tre livelli. L'applicazione ha due server web, più un server applicativo e uno di database, con un'unità di bilanciamento del carico che provvede ai due server web.

 

 

Creazione di gruppi di sicurezza a tre livelli

 

  1. Fai clic su Service Composer.

Service Composer definisce un nuovo modello di utilizzo dei servizi di sicurezza e di rete in ambienti cloud e virtuali. Le policy vengono rese operative tramite semplice visualizzazione e utilizzo dei servizi che sono integrati oppure ottimizzati da soluzioni di terze parti. Le stesse policy possono essere rese ripetibili attraverso funzionalità di esportazione/importazione, che possono contribuire ad approntare e ripristinare un ambiente in caso di problemi. Uno di questi oggetti destinati all'uso ripetibile è un gruppo di sicurezza. Parleremo di Service Composer e dei gruppi di sicurezza in modo più dettagliato nel modulo "Introduzione a Service Composer e Distributed Firewall".

 

 

Creazione di regole di accesso a tre livelli

 

A questo punto, aggiungerai nuove regole per consentire l'accesso alla macchina virtuale web e quindi configurerai l'accesso tra i livelli.

  1. Nel menu a sinistra seleziona Firewall.

 

 

Riavvio della sessione PuTTY su web-01a

 

  1. Fai clic sull'icona Session (Sessione) in alto a sinistra.
  2. Fai clic su Riavvia sessione.

 

 

Topologia dopo l'aggiunta delle regole di Distributed Firewall per l'applicazione a tre livelli

 

Lo schema illustra il punto di applicazione relativo del firewall a livello vNIC. Sebbene DFW sia un modulo KLM (Kernel Loadable Module) dell'host ESXi vSphere, le regole vengono applicate a livello di vNIC della VM guest. Questa protezione segue la VM durante lo spostamento con vMotion per garantire una sicurezza completa e continua che impedisce il verificarsi di una "finestra di opportunità" durante la quale la VM è esposta a potenziali attacchi.

 

 

Ripristino delle condizioni precedenti dopo il completamento del modulo

 

Per passare al modulo successivo, devi reimpostare la regola predefinita su "Allow".

  1. Reimposta l'azione della regola predefinita su "Allow".
  2. Pubblica le modifiche.

 

Meccanismo ottimizzato per l'individuazione dell'IP per le macchine virtuali e SpoofGuard


Dopo la sincronizzazione con vCenter Server, NSX Manager raccoglie gli indirizzi IP di tutte le macchine virtuali guest di vCenter. Se una macchina virtuale è stata compromessa, è possibile che l'indirizzo IP sia oggetto di spoofing e che trasmissioni dannose riescano ad aggirare le policy firewall.

È possibile creare, per reti specifiche, una policy SpoofGuard che consente di autorizzare gli indirizzi IP segnalati e, se necessario, li modifica per evitare lo spoofing. SpoofGuard considera intrinsecamente affidabili gli indirizzi MAC delle macchine virtuali raccolti dai file VMX e da vSphere SDK. Agendo in modo separato rispetto alle regole firewall, SpoofGuard può essere utilizzato per bloccare il traffico identificato come oggetto di spoofing.

SpoofGuard supporta indirizzi sia IPv4 che IPv6. Con il protocollo IPv4, la policy SpoofGuard supporta un unico indirizzo IP assegnato a una vNIC. IPv6 supporta più indirizzi IP assegnati a una vNIC. La policy SpoofGuard consente il monitoraggio e la gestione degli indirizzi IP segnalati dalle macchine virtuali in uno dei seguenti modi:

Questa modalità permette il passaggio di tutto il traffico dalle macchine virtuali con contemporanea creazione di una tabella delle assegnazioni tra vNIC e indirizzi IP. Se necessario, possiamo consultare questa tabella e apportare modifiche agli indirizzi IP. Questa modalità approva automaticamente tutti gli indirizzi IPv4 e IPv6 su una vNIC.

Questa modalità blocca tutto il traffico finché non viene approvata ogni singola assegnazione tra vNIC e indirizzi IP.

Nota: SpoofGuard consente di per sé le richieste DHCP, indipendentemente dalla modalità attivata. Tuttavia, in modalità di analisi manuale, il passaggio del traffico non avviene finché non viene approvato l'indirizzo IP assegnato da DHCP.

SpoofGuard include una policy predefinita generata dal sistema che si applica ai port group e alle reti logiche che non sono coperti dalle altre policy SpoofGuard. Una rete appena aggiunta viene automaticamente associata alla policy predefinita finché l'amministratore non la associa a una policy esistente oppure non crea una nuova policy specifica.

Il funzionamento di NSX Distributed Firewall richiede l'individuazione degli indirizzi IP per gli oggetti che sono specificati come origine o come destinazione. Prima dell'avvento di NSX 6.2, a questo scopo veniva utilizzato VMware Tools nell'ambito della VM. Questo esercizio spiega come individuare gli indirizzi IP con VMware Tools e il modello Trust-On-First-Use.


 

Analisi delle impostazioni di SpoofGuard

 

Fai clic sulla scheda del browser per vSphere Web Client.

  1. Fai clic sull'icona Home.
  2. Fai clic su Networking & Security.

 

 

Esplorazione di SpoofGuard

 

  1. Fai clic su SpoofGuard nella sezione "Navigator" (Navigatore).

 

 

Attivazione dell'individuazione dell'indirizzo IP tramite ARP Snooping

 

  1. Fai clic su Change (Cambia).

 

 

Migrazione di linux-01a da vDS a un nuovo switch logico

Innanzitutto, dobbiamo eseguire la migrazione della VM linux-01a dal vDS esistente a uno switch logico per utilizzare al meglio le funzionalità di individuazione dell'IP di SpoofGuard.

 

 

Ritorno alla sezione "Networking & Security"

 

  1. Nella sezione "Navigator", fai clic sul pulsante Back (Indietro) nel campo della cronologia fino a tornare all'interfaccia di configurazione di NSX.

 

 

Verifica che la VM linux-01a sia stata individuata tramite ARP Snooping

 

  1. Seleziona SpoofGuard dal menu "Navigator".
  2. Fai clic su Default Policy.
  3. Seleziona Active Virtual NICs (vNIC attive) nell'elenco a discesa "View" (Visualizza).
  4. Inserisci "lin" e premi Invio per filtrare i risultati per linux-01a.

Nota: il campo dell'origine indica TOFUARP (Trust-On-First-Use ARP) per l'indirizzo 192.168.120.115.

 

 

Riepilogo su SpoofGuard

Siamo quindi giunti alla conclusione della sezione sul meccanismo ottimizzato per l'individuazione dell'IP per le macchine virtuali e SpoofGuard. Abbiamo eseguito la migrazione di una VM nell'ambiente NSX e utilizzato SpoofGuard per apprendere l'indirizzo IP della VM con la nuova funzionalità Trust-On-First-Use ARP.

 

Panoramica sui gruppi di sicurezza


Presenteremo ora più in dettaglio le funzionalità dei gruppi di sicurezza che abbiamo individuato nel corso della sezione relativa alla panoramica su Distributed Firewall e microsegmentazione. I gruppi di sicurezza di NSX rappresentano un modo per raggruppare secondo criteri logici e definire gli asset da proteggere. I gruppi di sicurezza possono essere statici (incluse specifiche macchine virtuali) o dinamici, per i quali l'appartenenza può essere definita in uno dei seguenti modi:

Nota: l'appartenenza ai gruppi di sicurezza cambia continuamente. Ad esempio, una macchina virtuale a cui è stato assegnato il tag AntiVirus.virusFound viene spostata nel gruppo di sicurezza Quarantena. Una volta eliminato il virus e rimosso il tag, la macchina virtuale esce nuovamente dal gruppo di sicurezza Quarantena.


 

Accesso a Service Composer

 

  1. Fai clic su Service Composer nel pannello di sinistra.

 

 

Visualizzazione dell'appartenenza

 

  1. Nella colonna "Virtual Machines" fai clic sul numero associato al nuovo gruppo di sicurezza Web.

Nota: il numero indicato nella colonna "Virtual Machines" per il gruppo di sicurezza Web dovrebbe essere 6 (sono incluse tutte le VM con "WEB" nel relativo nome, senza considerare maiuscole/minuscole, o reti IP).

  1. Fai clic sul simbolo X nell'angolo in alto a destra per chiudere la finestra di dialogo.

 

Panoramica sulle policy di sicurezza


Le policy di sicurezza di NSX possono essere una raccolta dei seguenti elementi: configurazioni di servizio, regole firewall, servizi di endpoint, servizi di analisi della rete. Le regole firewall possono essere regole che definiscono il traffico da consentire verso, da o all'interno del gruppo di sicurezza. I servizi di endpoint possono essere implementati tramite servizi di provider di soluzioni di terze parti (ad esempio, antivirus o servizi di gestione delle vulnerabilità). I servizi di analisi della rete consentono il monitoraggio della rete (ad esempio, IPS).

Durante la distribuzione dei servizi in NSX, il vendor di terze parti seleziona la categoria del servizio in fase di distribuzione. Per ogni template di vendor viene creato un profilo di servizi predefinito.

Nota: se devi associare la stessa policy di sicurezza a più gruppi di sicurezza, puoi creare un gruppo di sicurezza principale contenente tutti i gruppi di sicurezza interessati, quindi applicare la policy di sicurezza comune al gruppo di sicurezza principale. In questo modo, NSX Distributed Firewall utilizza la memoria dell'host ESXi in modo efficiente.


 

Creazione di una nuova policy di sicurezza

 

  1. Seleziona la scheda Security Policies (Policy di sicurezza) nel pannello Service Composer.
  2. Fai clic sull'icona Create Security Policy (Crea policy di sicurezza).
  3. Digita "Block Web-to-Web Traffic" (Blocca traffico da web a web) nel campo Name (Nome).
  4. Fai clic su Firewall Rules (Regole firewall) nel pannello di sinistra.

 

 

Verifica della sincronizzazione delle regole firewall

 

  1. Fai clic su Firewall.

 

 

Test della connettività tra macchine virtuali Web tramite PuTTY

 

Passiamo quindi testare la comunicazione e l'accesso tra le VM Web che compongono l'applicazione a tre livelli. Il nostro primo test prevede di aprire una console su web-01a e inviare un ping a web-02a.

  1. Fai clic sul collegamento a PuTTY nella barra delle applicazioni del desktop.
  2. Seleziona web-01a.corp.local.
  3. Fai clic su Open.

 

Analisi del template di Service Composer


Service Composer offre una vista del template in cui sono mostrati tutti i gruppi di sicurezza presenti nell'appliance NSX Manager selezionata. Questa vista mostra anche dettagli come i membri di ogni gruppo di sicurezza, oltre alla policy di sicurezza applicata ad essi.

Questo argomento serve a introdurre Service Composer illustrando un sistema parzialmente configurato in modo da poter visualizzare le mappature tra i gruppi di sicurezza e gli oggetti policy di sicurezza a livello generale dalla vista del template.


 

Vista grafica del template di Service Composer

 

 

  1. Fai clic su Service Composer.
  2. Fai clic su Canvas (Template).

Tutti i gruppi di sicurezza nell'appliance NSX Manager selezionata (e non inclusi in un altro gruppo di sicurezza) vengono visualizzati insieme alle policy applicate ad essi. Nell'elenco a discesa NSX Manager sono elencate tutte le appliance NSX Manager nelle quali è stato assegnato un ruolo all'utente attualmente connesso.

Ogni riquadro rettangolare nel template rappresenta un gruppo di sicurezza e le icone presenti nel riquadro rappresentano i membri del gruppo di sicurezza e i dettagli della policy di sicurezza mappata al gruppo di sicurezza stesso.

 

 

Modulo 1 - Conclusioni


Siamo giunti al termine del modulo 1 riguardante Service Composer e Distributed Firewall. Abbiamo creato gruppi di sicurezza statici e dinamici, applicato policy di sicurezza statiche e dinamiche (incluse regole firewall) e utilizzato SpoofGuard per individuare e abilitare nella rete le VM sulle quali VMware Tools non è in esecuzione.


 

Ripristino delle condizioni precedenti dopo il completamento del modulo 1

 

Prima di terminare il modulo 1, devi rimuovere la regola che è stata creata nell'ambito di questa sezione.

  1. Torna a Service Composer.
  2. Seleziona la scheda Security Policies.
  3. Fai clic con il pulsante destro del mouse sulla riga Block Web-to-Web Traffic.
  4. Seleziona l'opzione Delete (Elimina). Quando compare il prompt "Remove security policy?" (Rimuovere policy di sicurezza?), fai clic su Yes (Sì).

 

 

Hai completato il modulo 1.

Congratulazioni per aver completato il modulo 1.

Per ulteriori informazioni sulle funzionalità e sulla configurazione del routing NSX, visita il Documentation Center per NSX 6.3 all'indirizzo:

Passa al modulo che ti interessa di più tra quelli riportati sotto:

Elenco dei moduli del laboratorio:

Responsabile del laboratorio:

 

 

Come terminare il laboratorio

 

Per terminare il laboratorio, fai clic sul pulsante END.

 

Modulo 2 - Approfondimento della funzionalità di compressione di un'applicazione a tre livelli (15 minuti)

Protezione delle architetture compresse con la funzionalità NSX Distributed Firewall


Questo modulo spiega in che modo la funzionalità Distributed Firewall (DFW) di NSX consente ai clienti di comprimere le tradizionali architetture di rete multi-tier in reti singole non strutturate mantenendo al contempo l'isolamento delle applicazioni. Si tratta di un cambiamento essenziale per passare da un approccio alla sicurezza basato sulla rete a un approccio basato sul carico di lavoro. Utilizzerai due diverse applicazioni, ossia HR (Risorse umane) e Finance (Finanza), che sono state collocate sullo stesso switch logico e nella stessa sottorete.

Eseguirai quindi le seguenti operazioni di configurazione e test:

Una volta completato questo modulo del laboratorio, avrai dimostrato che NSX DFW ha protetto e isolato le applicazioni reciprocamente, consentendo il normale funzionamento della comunicazione all'interno delle applicazioni, come previsto nella stessa infrastruttura di rete.


 

Analisi di un'architettura di rete di esempio

 

Prima di comprimere una rete di applicazioni a tre livelli in una singola rete, vediamo un esempio di un'applicazione a tre livelli segmentata in singole sottoreti per garantire un isolamento layer 3 tra i livelli web, applicazione e database.È importante notare che ci mancavano le regole firewall di sicurezza a protezione della comunicazione tra le VM residenti nello stesso dominio layer 2 e anche tra i vari livelli dell'applicazione. Quando le organizzazioni iniziano a scalare orizzontalmente più carichi di lavoro multi-tier, la soluzione può consistere nella distribuzione di più sottoreti o nella distribuzione di componenti applicativi (ad esempio, database di diverse applicazioni) nello stesso dominio L2.

Ad esempio, è possibile che un'organizzazione disponga dei componenti di database per più applicazioni residenti nella rete di livello DB. Con i firewall tradizionali, tra questi database non è possibile alcuna protezione. In questo modo, un utente approvato per l'accesso a un DB potrebbe riuscire a ottenere l'accesso anche a un altro DB nella stessa rete. NSX DFW permette alle organizzazioni di comprimere l'intera struttura della rete in un singolo segmento L2 e di assicurare la funzionalità all'interno delle applicazioni garantendo al contempo l'isolamento reciproco tra le applicazioni.

 

 

Accesso a vSphere Web Client

 

  1. Fai clic sul collegamento a Google Chrome nella finestra della console principale.

 

 

Convalida del funzionamento dell'applicazione Finance

 

  1. Apri una nuova scheda in Google Chrome.
  2. Fai clic sul segnalibro Finance DB App (App DB Finanza).

Verifica che sia in corso l'accesso a Financial Department Cost Centers Database (Database centri di costo reparto finanziario). Dovresti ricevere i dati da fin-web-01a.

 

 

Convalida dell'applicazione HR

 

  1. Apri una nuova scheda in Google Chrome.
  2. Fai clic sul segnalibro HR DB App (App DB Risorse umane).

Verifica che sia in corso l'accesso a HR Employee Salary Database (Database stipendi dipendenti Risorse umane).

 

 

Avvio di una console remota sulla VM fin-web-01a

 

  1. Fai clic sulla scheda per vSphere Web Client.
  2. Fai clic su fin-web-01a.corp.local.
  3. Fai clic sulla scheda Summary (Riepilogo).
  4. Fai clic sull'icona a forma di ingranaggio e su Launch Remote Console (Avvia console remota).

 

 

Ritorno alla sessione di vSphere Web Client

 

  1. Fai clic sull'icona del browser di vSphere Web Client nella barra delle applicazioni.

 

 

Ritorno a vSphere Web Client

 

  1. Fai clic sull'icona del browser di vSphere Web Client nella barra delle applicazioni.

 

 

Accesso alla configurazione del firewall

 

  1. Fai clic su Firewall dal menu "Navigator" a sinistra.

 

 

Creazione del gruppo di sicurezza HR App

 

  1. Seleziona Security Group dal menu a discesa Object Type.
  2. Fai clic su New Security Group per definire il gruppo di sicurezza HR App.

 

 

Creazione del gruppo di sicurezza Finance App

 

  1. Seleziona Security Group dal menu a discesa Object Type.
  2. Fai clic su New Security Group per definire il gruppo di sicurezza Finance App.

 

 

Aggiunta di una nuova regola firewall

 

  1. Fai clic sul simbolo più di colore verde della sezione Collapsed App Tier Rules per aggiungere una nuova regola.

 

 

Pubblicazione delle modifiche

 

  1. Fai clic su Publish Changes per distribuire le nuove regole firewall alle VM e agli host interessati.

 

 

Convalida del funzionamento dell'applicazione Finance

 

  1. Fai clic sulla scheda "HOL - Finance Department".
  2. Fai clic sul pulsante per aggiornare la pagina.

Verifica che sia in corso l'accesso a Financial Department Cost Centers Database.

 

 

Convalida dell'applicazione HR

 

  1. Fai clic sulla scheda "HOL - HR Department".
  2. Fai clic sul pulsante per aggiornare la pagina.

Verifica che sia in corso l'accesso a HR Employee Salary Database.

 

 

Ripristino delle condizioni precedenti prima del passaggio al modulo successivo del laboratorio

 

Prima di passare al prossimo modulo, dobbiamo rimuovere le regole firewall.

  1. Fai clic sulla scheda del browser per vSphere Web Client.

 

Modulo 2 - Conclusioni


Siamo giunti al termine del modulo 2 in cui abbiamo illustrato in modo dettagliato l'isolamento delle applicazioni con NSX Distributed Firewall (DFW) per una rete singola non strutturata. In questo modulo, abbiamo visto che la compressione di un'applicazione di rete a tre livelli in un singolo switch logico NSX non influisce minimamente sul modo in cui NSX offre un modello di sicurezza Zero Trust tramite Distributed Firewall. Abbiamo iniziato il laboratorio verificando la comunicazione tra le VM delle applicazioni HR e Finance nella stessa rete. Quindi abbiamo creato regole firewall con raggruppamenti logici delle VM per proteggere e impedire la comunicazione tra le applicazioni HR e Finance, infine abbiamo verificato l'applicazione delle regole create testando la comunicazione delle VM tra gli stack applicativi e al loro interno. Dopo aver verificato l'isolamento reciproco delle applicazioni, abbiamo eliminato le regole firewall create per poter passare a un altro modulo del laboratorio.

Ci auguriamo che le informazioni sulle funzionalità Zero Trust di isolamento delle applicazioni disponibili con NSX DFW ti siano utili.


 

Hai completato il modulo 2.

Congratulazioni per aver completato il modulo 2.

Per ulteriori informazioni sulle funzionalità e sulla configurazione del routing NSX, visita il Documentation Center per NSX 6.3 all'indirizzo:

Passa al modulo che ti interessa di più tra quelli riportati sotto:

Elenco dei moduli del laboratorio:

Responsabile del laboratorio:

 

 

Come terminare il laboratorio

 

Per terminare il laboratorio, fai clic sul pulsante END.

 

Modulo 3 - Raggruppamento intelligente (30 minuti)

Raggruppamento intelligente


Modulo 3 - Raggruppamento intelligente


 

Introduzione

La fine dell'assistenza prevista dalle principali piattaforme aziendali, come Windows XP, Windows 2000 Server e Windows Server 2003, rappresenta un'importante problematica per le organizzazioni che eseguono applicazioni mission critical necessarie per le attività quotidiane. Ad esempio, quando Microsoft ha terminato l'assistenza per Windows 2003 (a luglio 2015), ha messo a rischio milioni di server aziendali.

Con buone probabilità, gli ambienti delle organizzazioni che usano un sistema operativo a fine assistenza sono soggetti a seri rischi in termini di sicurezza, a meno che tali organizzazioni non abbiano completato la preparazione alla migrazione a una nuova piattaforma oppure non abbiano attuato controlli di compensazione. Gli hacker sanno che i provider di piattaforme come Microsoft non riconoscono più le vulnerabilità né rilasciano patch dedicate dopo il termine di fine assistenza. Di conseguenza, i suddetti sistemi diventano bersagli perfetti per i loro attacchi. Inoltre, i rischi correlati all'utilizzo di una piattaforma non supportata dopo il suddetto termine aumentano nel tempo, man mano che vengono individuati nuovi problemi per cui non esistono patch.

NSX può contribuire a ridurre i problemi legati ai sistemi operativi a fine assistenza offrendo sicurezza aggiuntiva attraverso Distributed FireWall (DFW) e Service Composer. In questo laboratorio useremo i gruppi di sicurezza NSX per riunire insieme le VM di Windows XP e fornire policy firewall per proteggere tali VM in un ambiente simulato.

La struttura del modulo è la seguente:

Responsabile del laboratorio:

Modulo 3: Chris Cousins, Sr. Systems Engineer, USA

 

 

Accesso alle macchine virtuali a fine assistenza


Utilizzando le VM di Windows XP, determineremo l'attuale sicurezza dell'accesso a risorse esterne e interne.


 

Accedere a vSphere Web Client

 

Se non hai ancora effettuato il login a vSphere Web Client:

La home page dovrebbe essere quella di vSphere Web Client. In caso contrario, fai clic sull'icona Google Chrome di vSphere Web Client nella barra delle applicazioni.

  1. Digita administrator@vsphere.local come nome utente.
  2. Digita VMware1! come password.
  3. Fai clic su Login.
  1. Facendo clic sulle icone a forma di puntina, sarà possibile comprimere i riquadri delle attività per lasciare più spazio alla visualizzazione del riquadro principale. Puoi anche comprimere il riquadro di sinistra per aumentare al massimo lo spazio.

 

 

Accesso alle macchine virtuali a fine assistenza

 

  1. Seleziona Home.
  2. Seleziona VMs and Templates (VM e template).

 

 

Verifica dell'accesso interno

 

Avvia il browser Mozilla dal desktop.

  1. Fai clic sul link Customer DB-App (App DB cliente) per avviare l'applicazione interna.

 

 

Apertura del prompt dei comandi per l'accesso esterno

 

La VM della console di controllo esiste al di fuori dell'ambiente virtuale che stiamo usando per questo laboratorio. Di conseguenza, essa rappresenta un servizio esterno al nostro ambiente. Utilizzeremo l'indirizzo IP del centro di controllo 192.168.110.10 per rappresentare i servizi Internet.

  1. Fai clic sul menu "Start".
  2. Avvia il prompt dei comandi.

Se l'icona del prompt dei comandi non è visualizzata, fai clic su "Esegui" e digita "cmd", quindi premi Invio per richiamare il prompt dei comandi.

 

Creazione di gruppi di sicurezza


Ora che abbiamo riscontrato la potenziale vulnerabilità legata alla possibilità per le VM a fine assistenza di accedere alle risorse esterne, vogliamo trovare un modo per proteggerle. Useremo i gruppi di sicurezza in NSX per identificare rapidamente le macchine con sistemi operativi a fine assistenza e proteggerle tramite applicazione delle policy.


 

Creazione di un gruppo di sicurezza

 

  1. Fai clic sulla scheda del browser per vSphere Web Client.
  2. Fai clic sull'icona HOME.
  3. Seleziona Networking & Security.

 

Limitazione dell'accesso delle VM


Applicheremo ora delle regole per limitare l'accesso esterno delle VM.


 

Applicazione della policy

 

Vai a Service Composer.

  1. Seleziona il gruppo di sicurezza "Windows XP EOS" precedentemente creato.
  2. Fai clic sull'icona "Apply Policy" (Applica policy).

 

 

Configurazione della prima regola firewall

 

  1. Nome: Access Internal Resources (Accesso risorse interne)
  2. Azione: Allow
  3. Origine: Policy's Security Group (Gruppo di sicurezza della policy)
  4. Destinazione: fai clic su Change (Cambia).

 

 

Aggiunta di un'altra regola firewall

 

Abbiamo creato un gruppo di sicurezza per consentire alla VM con Windows XP di accedere ai servizi interni (applicazioni interne). Tuttavia, dobbiamo aggiungere ancora un'altra regola per consentire l'accesso tra servizi interni e anche modificare la regola firewall predefinita per bloccare qualsiasi altro accesso, incluso quello esterno.

  1. Fai clic su Firewall per accedere alle regole firewall.

 

 

Modifica della regola firewall predefinita

 

Per bloccare qualsiasi traffico indesiderato, incluso quello verso i servizi esterni, dalle VM con Windows XP a fine assistenza, dobbiamo attivare il blocco sulla regola firewall predefinita. Quest'ultima regola si trova nella sezione del firewall predefinito.

  1. Fai clic per espandere la sezione "Default Firewall Rule" (Regola firewall predefinita).
  2. Fai clic sul simbolo a forma di matita sulla colonna "Action" di "Default Rule" (Regola predefinita).
  3. Seleziona Block per l'azione.
  4. Fai clic su Save.

 

Verifica dell'accesso limitato dalle VM di Windows XP


Ora abbiamo applicato delle regole per le VM con Windows XP a fine assistenza. Possiamo quindi procedere con il test dell'accesso ai servizi interni ed esterni.


 

Riapertura della console su win-xp-01a

 

  1. Fai clic sulla scheda del browser per "win-xp-01a".

 

 

Verifica che l'accesso esterno sia bloccato

 

  1. Riapri il prompt dei comandi sul desktop win-xp-01a.
  2. Nel prompt dei comandi, digita: ping 192.168.110.10
  3. Verifica che l'accesso esterno al centro di controllo sia ora bloccato.
ping 192.168.110.10

Ora possiamo vedere che win-xp-01a ha accesso ai servizi interni, ma anche che il relativo accesso esterno è stato completamente bloccato come previsto dalla policy del gruppo.

 

 

Ripristino delle condizioni precedenti dopo il completamento del modulo: impostazione della regola predefinita su "Allow"

 

  1. Espandi "Default Section Layer3" (Sezione predefinita livello 3).
  2. Passa il cursore del mouse e fai clic sul simbolo a forma di matita sulla colonna "Action" di "Default Rule".
  3. Seleziona "Allow" per l'azione.
  4. Fai clic su Save.

 

Modulo 3 - Conclusioni


Congratulazioni per aver completato il modulo 3.

In questo laboratorio abbiamo visto come l'uso del raggruppamento intelligente può containerizzare rapidamente i sistemi operativi a fine assistenza attraverso i gruppi di sicurezza. Una volta configurati i gruppi di sicurezza, possiamo utilizzarli per creare regole firewall che consentono di limitare l'accesso da e verso le macchine virtuali incluse nei gruppi. I gruppi di sicurezza rappresentano uno strumento versatile che può essere riutilizzato per modificare le policy o crearne di nuove al variare dei nostri requisiti in termini di sicurezza.

Per ulteriori informazioni sulle funzionalità e sulla configurazione dei gruppi di sicurezza di NSX, visita il Documentation Center per NSX 6.3 all'indirizzo:

Elenco dei moduli del laboratorio:

Responsabile del laboratorio:


 

Come terminare il laboratorio

 

Per terminare il laboratorio, fai clic sul pulsante END.

 

Modulo 4 - Sicurezza basata sull'utente tramite JumpBox (45 minuti)

Sicurezza basata sull'utente in uno scenario con JumpBox


Modulo 4

Sicurezza basata sull'utente in uno scenario con JumpBox


 

Introduzione

In questo modulo del laboratorio, creerai delle regole firewall utilizzando la funzionalità Identity Based Firewall di NSX che utilizza una connessione ad Active Directory da NSX Manager. NSX Manager scansiona il registro degli eventi del server AD per stabilire gli eventi e le credenziali di accesso. Gli utenti che effettuano il login alle VM possono assegnare istantaneamente queste ultime ai gruppi di sicurezza in base ai relativi gruppi AD. Unendo i gruppi di sicurezza con le regole firewall, possiamo controllare l'accesso all'interno del nostro ambiente.

Questo laboratorio utilizza due diversi gruppi Active Directory e due utenti differenti. Il primo utente è un amministratore di rete che deve poter accedere a qualsiasi applicazione nell'ambiente, mentre il secondo utente è un amministratore delle Risorse umane che deve poter accedere solo a una specifica applicazione HR basata sul web.

 

La struttura del modulo è la seguente:

 Responsabile del laboratorio:

Modulo 4: Chris Cousins, Sr. Systems Engineer, USA

 

Esplorazione del collegamento tra NSX e Active Directory


Il collegamento tra NSX e Active Directory consente di utilizzare i gruppi AD per offrire regole firewall basate sull'identità.


 

Avvio del browser e di vSphere Web Client

 

 

 

Esplorazione del collegamento tra NSX e Active Directory

 

  1. Fai clic sull'icona Home.
  2. Fai clic su Networking & Security.

 

 

Sincronizzazione dell'AD

 

  1. Fai clic sull'icona a forma di "doppio ingranaggio".
  2. Fai clic sull'icona a forma di "ingranaggio singolo" per ottenere gli aggiornamenti dall'AD. Dovrebbero comparire lo stato "SUCCESS" (Operazione eseguita) e la data corrente.

Affinché l'operazione venga completata correttamente potrebbero essere necessari 2-3 minuti.

Una volta configurato e sincronizzato il collegamento con l'AD, puoi utilizzare i gruppi dell'AD nelle tue policy di sicurezza.

 

Analisi guest con NSX


Prima di creare regole IDFW (Identity Based Firewall), dovremo configurare l'analisi guest di NSX.


 

Distribuzione del servizio di analisi guest

 

  1. Fai clic sull'icona Home.
  2. Fai clic su Networking & Security.

 

 

Scheda "Service Deployments"

 

  1. Seleziona Installation (Installazione).
  2. Seleziona la scheda Service Deployments (Distribuzioni dei servizi).
  3. Fai clic sul simbolo + per distribuire il servizio di analisi guest.

 

 

Procedura di distribuzione guidata del servizio di analisi guest

 

  1. Seleziona il servizio Guest Introspection (Analisi guest).
  2. Fai clic su Next.

 

  1. Seleziona RegionA01-COMP02.
  2. Fai clic su Next.

 

  1. Lascia i valori predefiniti.
  2. Fai clic su Next.

 

 

Avvio della raccolta dei dati

 

  1. Fai clic su Finish.

Attendi alcuni minuti perché l'installazione venga completata, quindi conferma la corretta installazione sul cluster.

 

 

 

Verifica dell'installazione del servizio di analisi guest sugli host

 

  1. Fai clic sull'icona Home.
  2. Fai clic su Hosts and Clusters (Host e cluster).

 

  1. Espandi la cartella RegionA01-COMP02.
  2. Verifica che la VM con il servizio di analisi guest sia operativa e distribuita sull'host esx-03a.corp.local.
  3. Verifica che alla VM con il servizio di analisi guest sia stato assegnato un indirizzo IP.

 

Uso di oggetti di sicurezza basati sui gruppi AD


  1. Gli oggetti di sicurezza sono definiti in base all'appartenenza ai gruppi AD e vengono utilizzati per applicare la policy di sicurezza.

 

Creazione di un oggetto di sicurezza in base ai gruppi AD

 

  1. Passa il cursore del mouse sul pulsante "Home".
  2. Fai clic su Networking & Security.

 

 

Creazione di una nuova sezione della regola firewall

 

  1. Fai clic sul link Firewall nel riquadro di navigazione.
  2. Fai clic sull'icona Add Section nella sezione Flow Monitoring & Traceflow Rules (Monitoraggio dei flussi e regole per il tracciamento dei flussi).

 

 

Aggiunta della regola per l'amministratore di rete

 

  1. Fai clic sull'icona Add rule nella sezione della regola appena creata.
  2. Fai clic per espandere la sezione della regola appena creata.
  3. Fai clic sul simbolo a forma di matita sulla colonna "Name" per modificare la nuova regola.

 

 

Aggiunta della regola per l'amministratore delle Risorse umane

 

  1. Fai clic per espandere la sezione AD Based Firewall Rules.
  2. Fai clic sull'icona Add Rule.

 

Definizione di regole firewall per le applicazioni interne


Le applicazioni interne prese in esame in questo laboratorio richiederanno regole aggiuntive per consentire la comunicazione tra i livelli delle applicazioni.


 

Aggiunta di un'altra regola firewall

 

Abbiamo creato una regola firewall basata su AD per consentire agli amministratori delle Risorse umane di accedere alle applicazioni appropriate in base al rispettivo ruolo. Tuttavia, dobbiamo aggiungere ancora un'altra regola per consentire l'accesso tra servizi interni e anche modificare la regola firewall predefinita per bloccare qualsiasi altro accesso, incluso quello esterno.

  1. Fai clic su Firewall per accedere alle regole firewall.

 

 

Modifica della regola firewall predefinita

 

Per bloccare tutto il traffico indesiderato, dobbiamo attivare il blocco sulla regola firewall predefinita. Quest'ultima regola si trova nella sezione del firewall predefinito.

  1. Fai clic per espandere la sezione "Default Firewall Rule".
  2. Fai clic sul simbolo a forma di matita sulla colonna Action di Default Rule.
  3. Seleziona Block per l'azione.
  4. Fai clic su Save.

 

Test delle regole basate sull'identità dell'utente


Per testare le nuove regole create, dobbiamo effettuare l'accesso alla VM win12-jump con diverse credenziali AD utente.


 

Test della regola basata sull'identità utente

 

Puoi testare le nuove regole basate sull'identità aprendo una console sulla VM JumpBox (win-12-jump) nel dominio ed effettuando il login come membro del gruppo "AppConfiguration" di Active Directory o del gruppo "Human Resources". L'utente Net-Admin è un membro del gruppo "AppConfiguration" e pertanto può effettuare il login a qualsiasi applicazione interna o livello dell'applicazione. L'utente HR-Admin è un membro del gruppo "Human Resources" e pertanto può effettuare il login solo all'applicazione web HR e all'applicazione web Finance. Dovrai effettuare il login con entrambi gli utenti per vedere i risultati dei tentativi di accesso alle varie applicazioni a tre livelli.

  1. Fai clic sull'icona "Home".
  2. Fai clic su VMs and Templates.

 

 

Apertura della console sul JumpBox

 

Espandi i container "RegionA01" e "Discovered virtual machines" (Macchine virtuali individuate) per trovare win12-jump.

  1. Espandi le varie VM.
  2. Fai clic con il pulsante destro del mouse su "win12-jump".
  3. Fai clic su "Open Console" (Apri console).

 

 

Passaggio a un altro utente

 

  1. Fai clic su "Send Ctrl-Alt-Delete".
  2. Fai clic su "Other user".

 

 

Login come "NetAdmin"

 

  1. Inserisci il nome utente "NetAdmin".
  2. Password = VMware1!. Non dimenticare di aggiungere "." dopo il simbolo "!".
  3. Fai clic sulla freccia.

 

Modulo 4 - Conclusioni


Congratulazioni per aver completato il modulo 4.

In questo laboratorio abbiamo visto come possiamo controllare l'accesso alle applicazioni interne utilizzando le funzionalità Identity Based Firewall di NSX. Abbiamo creato regole firewall basate su AD sia per un amministratore di rete che per un amministratore delle Risorse umane. Queste regole consentono a quest'ultimo amministratore di connettersi solo all'applicazione web HR tramite protocollo HTTP. Le regole consentono inoltre all'amministratore di rete di connettersi a qualsiasi applicazione tramite qualunque protocollo. In questo modo, possiamo controllare l'accesso alle applicazioni corrette con il livello di privilegio appropriato in base ai ruoli nell'ambito dell'organizzazione.

Per ulteriori informazioni sulle funzionalità e sulla configurazione di Identity Based Firewall di NSX, visita il Documentation Center per NSX 6.3 all'indirizzo:

Elenco dei moduli del laboratorio:

Responsabile del laboratorio:


 

Come terminare il laboratorio

 

Per terminare il laboratorio, fai clic sul pulsante END.

 

Modulo 5 - Application Rule Manager (45 minuti)

Modulo 5 - Application Rule Manager



 

Introduzione

Application Rule Manager (ARM) è un nuovo set di strumenti introdotto in NSX 6.3. ARM utilizza dati di flusso in tempo reale per consentire una pianificazione rapida ed efficiente della microsegmentazione e l'implementazione di modelli di sicurezza Zero Trust. ARM offre un nuovo modo per contribuire alla protezione di applicazioni nuove o esistenti in ambienti su scala più vasta rispetto a quelli gestibili con Log Insight e in ambienti su scala più ridotta rispetto a quelli gestibili con vRealize Network Insight (vRNI).

ARM raccoglie dati di flusso in tempo reale sui carichi di lavoro in entrata, in uscita e tra le applicazioni, consentendo la creazione di modelli di sicurezza incentrati sulle app. ARM consente di monitorare fino a 30 VM per sessione; in qualsiasi momento può essere in esecuzione un totale di 5 sessioni. ARM offre inoltre visibilità dei flussi bloccati e delle regole firewall che bloccano il traffico.

Il workflow di Application Rule Manager è composto da tre fasi:

  1. Selezione delle macchine virtuali (VM) che formano l'applicazione e che devono essere monitorate. Una volta configurato questo aspetto, tutti i flussi in entrata e in uscita per un insieme definito di vNIC (virtual Network Interface Card) sulle VM vengono monitorati. La raccolta dei flussi può avvenire da un massimo di cinque sessioni simultanee.
  2. Interruzione del monitoraggi per generare le tabelle di flusso. I flussi vengono analizzati per rivelare l'interazione tra le VM. I flussi possono anche essere filtrati per ridurre i record di flusso a un insieme operativo limitato.
  3. Le tabelle di flusso possono essere utilizzate per creare oggetti di raggruppamento, ad esempio gruppi di sicurezza, set di IP, servizi e gruppi di servizi, nonché regole firewall.

Responsabile del laboratorio:

Modulo 5: Chris Cousins, Sr. Systems Engineer, USA

 

Microsegmentazione delle applicazioni



 

Avvio del browser Chrome e di vSphere Web Client

 

  1. Fai doppio clic sull'icona di Google Chrome sul desktop.

 

 

Login a vSphere Web Client

 

Se non hai ancora effettuato il login a vSphere Web Client:

La home page dovrebbe essere quella di vSphere Web Client. In caso contrario, fai clic sull'icona Google Chrome di vSphere Web Client nella barra delle applicazioni.

  1. Digita administrator@vsphere.local come nome utente.
  2. Digita VMware1! come password.
  3. Fai clic su Login.

 

 

Esplorazione di Application Rule Manager

 

  1. Seleziona Home.
  2. Seleziona Networking & Security.

 

 

Selezione del servizio "Flow Monitoring" (Monitoraggio dei flussi)

 

  1. Seleziona Flow Monitoring.

 

 

Avvio di una nuova sessione per HR App

 

  1. Seleziona la scheda Application Rule Manager.
  2. Fai clic su Start New Session (Avvia nuova sessione) per avviare la raccolta dei dati relativi ai flussi delle applicazioni.

 

 

Selezione delle macchine virtuali HR_DB_App

 

  1. Nome sessione: HR_DB_App.
  2. Seleziona Virtual Machine nel menu a discesa "Object Type".
  3. Digita hr nel campo di ricerca.
  4. Seleziona hr-web-01a.corp.local, hr-db-01a.corp.local e hr-app-01a.corp.local.
  5. Fai clic sulla freccia verso destra.
  6. Fai clic su OK.

 

 

Creazione di alcuni flussi di traffico - ICMP

 

Application Rule Manager sta ora raccogliendo i dati di flusso dalle tre macchine virtuali HR_App. Maggiore è la durata del processo di raccolta, superiore è il numero di dati che dovrai analizzare. Ai fini di questo laboratorio, raccoglieremo i dati di flusso per tre minuti. Per generare alcuni dati di flusso:

  1. Apri una sessione PuTTY e seleziona hr-web-01a.corp.local.
  2. Nella riga di comando, digita ping -c 2 172.16.60.12.
  3. Apri il prompt dei comandi sulla console principale.
  4. ping 172.16.60.10
ping -c 2 172.16.60.12
ping 172.16.60.10

 

 

Creazione di altri flussi di traffico - HTTPS

 

  1. Apri una nuova scheda del browser Chrome.
  2. Fai clic sul segnalibro HR DB App.
  3. Aggiorna più volte la pagina.

 

 

Raccolta dei dati: interruzione

 

In tre minuti, vedrai comparire un valore per Flows (Flussi) nella console per il monitoraggio dei flussi. Il numero di flussi varia a seconda del laboratorio in esecuzione.

  1. Dopo tre minuti, fai clic su Stop.
  2. Fai clic su Yes (Sì) per confermare.

 

 

Analisi dei dati di flusso

 

Qui sono visibili gli IP di origine e destinazione, nonché i servizi come HTTP, HTTPS e così via.

 

 

Avvio di una nuova sessione per Finance_DB_App

Prima di analizzare i dati raccolti per HR_App, configureremo una seconda sessione per Fin_App al fine di illustrare la raccolta di dati di flusso in più sessioni.

 

 

Avvio di una sessione per Finance_DB_App

 

  1. Fai clic su Start New Session.

 

 

Selezione delle macchine virtuali Finance_App

 

  1. Nome sessione: Finance_DB_App.
  2. Seleziona Virtual Machine nel menu a discesa "Object Type".
  3. Digita fin nel campo di ricerca.
  4. Seleziona fin-web-01a.corp.local, fin-db-01a.corp.local e fin-app-01a.corp.local.
  5. Fai clic sulla freccia verso destra.
  6. Fai clic su OK.

 

 

Raccolta dei dati di Finance_App

 

Application Rule Manager sta ora raccogliendo i dati di flusso dalle tre macchine virtuali Finance_App. Maggiore è la durata del processo di raccolta, superiore è il numero di dati che dovrai analizzare. Ai fini di questo laboratorio, raccoglieremo i dati di flusso per tre minuti. Per generare dati di flusso, apri una nuova scheda del browser Chrome e fai clic sul segnalibro Finance DB App. Infine aggiorna più volte la pagina. In tre minuti, vedrai comparire un valore per Flows nella console per il monitoraggio dei flussi. Il numero di flussi varia a seconda del laboratorio in esecuzione.

  1. Fai clic su Stop.
  2. Fai clic su Yes.

 

 

Analisi delle sessioni

 

Ora possiamo vedere che Application Rule Manager ha raccolto correttamente i dati di flusso per le macchine virtuali HR_DB_App e Finance_DB_App.

 

 

Analisi delle origini

 

  1. Fai clic su Source per esaminare le vNIC in fase di monitoraggio.

 

 

Analisi della durata dei flussi

 

  1. Fai clic su Flows per esaminare l'orario e la durata della raccolta.

 

 

Avvio dell'analisi dei flussi per Finance_DB_App

 

  1. Fai clic su Analyze (Analizza) per avviare l'analisi dei dati di flusso raccolti.

 

 

Avvio dell'analisi dei flussi per HR_App

 

Una volta completata l'analisi dei dati per Finance_DB_App:

  1. Seleziona HR_DB_App nel menu a discesa "Session" (Sessione).
  2. Fai clic su Analyze.

 

 

Verifica dell'analisi dei dati

 

  1. Verifica che l'opzione Analysis Complete (Analisi completata) abbia un segno di spunta verde a indicare la corretta esecuzione dell'analisi dei dati.

 

 

Vista dei dati elaborati per HR_DB_App

 

Dopo aver analizzato ed elaborato i dati di flusso, NSX ha sostituito gli IP con i nomi delle VM, semplificando in tal modo la mappatura logica dei flussi tra gli oggetti.

 

 

Regole firewall per HR_DB_App

 

Useremo le informazioni forniteci da ARM per microsegmentare le macchine virtuali all'interno di/tra HR__DB_App e Finance_DB_App. Verifichiamo ora se hr-web-01a riesce a comunicare con hr-db-01a.

  1. Apri una sessione PuTTY per hr-web-01a.corp.local.
  2. Fai clic su hr-db-01a.corp.local nella colonna "Destination" per recuperare il relativo indirizzo IP.
  3. Qui possiamo vedere l'indirizzo IP 172.16.60.12 e le informazioni sulle vNIC.
  4. Invia un ping a 172.16.60.12. Dovresti vedere che l'invio del ping è avvenuto correttamente, senza perdita di pacchetti.
ping -c 2 172.16.60.12

Abbiamo appena verificato che la macchina virtuale web-01a di HR_DB_App riesce a comunicare direttamente con la macchina virtuale db-01a. Questa non è la situazione ideale. Configureremo quindi delle regole firewall appropriate per controllare il traffico tra le macchine virtuali a tre livelli.

 

 

Nuove regole firewall

 

  1. Seleziona il flusso con "Source" (192.168.110.10), "Destination" (hr-web-01a.corp.local) e "Service" (SSH).
  2. Fai clic sull'icona a forma di ingranaggio.
  3. Seleziona Create Firewall Rule (Crea regola firewall).

 

 

"Control Center to HR_Web" (Centro di controllo su HR_Web)

 

  1. Digita il nome: Control Center to HR_Web.
  2. Fai clic su Select (Seleziona) a destra del riquadro per "Service".

 

 

Selezione dei servizi

 

  1. Inserisci https nel campo di ricerca.
  2. Seleziona HTTPS.
  3. Fai clic sulla freccia verso destra.
  4. Verifica che siano selezionati SSH e HTTPS.
  5. Fai clic su OK.

 

 

Conferma della configurazione

 

  1. Verifica che la tua configurazione corrisponda a quella mostrata nell'immagine e fai clic su OK.

 

 

Configurazione della regola firewall "HR_Web to HR_App" (Da HR_Web a HR_App)

 

  1. Seleziona la riga in cui hr-app-01a è indicata come destinazione.
  2. Fai clic sull'icona a forma di ingranaggio con il menu "Actions" e seleziona Create Firewall Rule.

 

 

Nuova regola firewall: "HR_Web to HR_App"

 

  1. Digita il nome: HR_Web to HR_App.
  2. Lascia tutte le opzioni predefinite e fai clic su OK.

 

 

Configurazione della nuova regola firewall: "HR_App to HR_DB" (Da HR_App a HR_DB)

 

  1. Seleziona la riga in cui hr-db-01a è indicata come destinazione.
  2. Fai clic sull'icona a forma di ingranaggio e seleziona Create Firewall Rule.
  3. NON selezionare la riga con ICMP Echo (Echo ICMP) come servizio.

 

 

Nuova regola firewall: "HR_App to HR_DB"

 

 

 

Pubblicazione delle regole firewall

 

  1. Sotto "Flow Details" (Dettagli dei flussi), seleziona la scheda Firewall Rules. Qui possiamo vedere le regole firewall che hai appena creato.
  2. Da questa vista è anche possibile modificare ed eliminare le regole firewall.
  3. Fai clic su Publish (Pubblica).

 

 

Inserimento del nome

 

  1. Nome sezione: HR_DB_App
  2. Seleziona Default Section Layer 3.

 

 

Analisi della regola firewall per HR_DB_App

 

  1. Seleziona Firewall nel pannello "Navigator".

 

 

Regola firewall a tre livelli per HR_DB_App

 

Qui possiamo esaminare le regole firewall appena configurate in Application Rule Manager. Possiamo quindi testare HR_DB_App per accertarci che la pagina web si risolva comunque e che il traffico non sicuro sia stato bloccato.

 

 

Modifica della regola firewall predefinita

 

  1. Sotto "Default Rule" (Regola predefinita), fai clic sul simbolo a forma di matita per modificare la regola.
  2. Azione: Block.
  3. Fai clic su Save.

 

  1. Pubblica le modifiche.

 

 

Verifica del funzionamento di HR_DB_App

 

Se hai chiuso la scheda "HOL - HR Department":

  1. Apri una nuova scheda del browser Chrome.
  2. Fai clic sul segnalibro HR DB App.

Dovresti essere in grado di vedere HR Employee Salary Database.

 

 

Apertura del prompt dei comandi

 

Verifichiamo se possiamo inviare correttamente un ping ai server web, di applicazioni e di database dalla console principale:

  1. ping 172.16.60.10
  2. ping 172.16.60.11
  3. ping 172.16.60.12
ping 172.16.60.10
ping 172.16.60.11
ping 172.16.60.12

Ora possiamo vedere che il traffico ICMP viene bloccato. L'unico traffico consentito è quello per HTTPS.

Nota: in questo laboratorio, abbiamo configurato la regola firewall web-01a in modo da consentire SSH per poter accedere alla macchina virtuale tramite PuTTY allo scopo di eseguire il prossimo test.

 

 

Apertura di PuTTY

 

ping -c 2 172.16.60.12
  1. ping -c 2 172.16.60.12
  2. Dopo circa 10 secondi, inserisci Ctrl+C per concludere.

Ora possiamo vedere che il traffico da web-01a a db-01a è stato bloccato.

 

Modulo 5 - Conclusioni


Congratulazioni per aver completato il modulo 5.

Per ulteriori informazioni sulle funzionalità e sulla configurazione di Application Rule Manager di NSX, visita il Documentation Center per NSX 6.3 all'indirizzo:

Elenco dei moduli del laboratorio:

Responsabile del laboratorio:

  • Modulo 1: Chris Cousins, Sr. Systems Engineer, USA
  • Modulo 2: Chris Cousins, Sr. Systems Engineer, USA
  • Modulo 3: Chris Cousins, Sr. Systems Engineer, USA
  • Modulo 4: Chris Cousins, Sr. Systems Engineer, USA

 

Come terminare il laboratorio

 

Per terminare il laboratorio, fai clic sul pulsante END.

 

Conclusioni

Grazie per aver partecipato agli Hands-on Lab di VMware. Per continuare la tua esperienza online, consulta gli altri laboratori disponibili sul sito web http://hol.vmware.com/

SKU del laboratorio: HOL-1803-02-NET

Versione: 20180618-125141