VMware Hands-on Labs - HOL-1803-02-NET


実習ラボの概要: HOL-1803-02-NET: VMware NSX によるアプリケーション インフラストラクチャの保護

実習ラボのガイダンス


注: この実習ラボの所要時間は 90 分以上を想定しています。1 回のラボ時間あたり 2 ~ 3 モジュールを目安に学習してください。モジュールは相互に独立しているため、どのモジュールから開始することも、どの順序で実施することもできます。各モジュールには、目次から直接移動できます。

目次を表示するには、実習ラボ マニュアルの右上の [目次] をクリックします。

この実習ラボでは、VMware NSX とマイクロ セグメンテーションのユースケースについて説明します。分散ファイアウォールや Service Composer の UI について詳しく学ぶこともできます。ここで取り上げるユースケースには、分割されたネットワークの集約、サーバーの高度なグループ化、およびユーザー ベースのセキュリティに関するソリューションが含まれています。

実習ラボのモジュール リスト:

実習ラボ責任者:

 

この実習ラボ マニュアルは、次のハンズオン ラボ ドキュメント サイトからダウンロードできます。

http://docs.hol.vmware.com

一部の実習ラボは、英語以外の言語でも提供されています。言語設定を変更し、翻訳版のマニュアルを実習ラボで使用する手順については、次のドキュメントを参照してください。

http://docs.hol.vmware.com/announcements/nee-default-language.pdf


 

メイン コンソールの表示位置

 

  1. 図の赤枠で囲まれた領域がメイン コンソールです。実習ラボ マニュアルは、メイン コンソールの右側のタブに表示されます。
  2. 実習ラボによっては、左上のタブに別のコンソールが用意されていることがあります。その場合は、実習ラボ マニュアルの説明に従って、指定されたコンソールを開いてください。
  3. この実習ラボでは、開始時に 90 分のタイマーが表示されます。この実習ラボは保存できません。実習ラボを開始したら、そのセッション内ですべての作業を完了してください。必要であれば、[延長] をクリックして時間を延長できます。VMware イベントでご使用の場合は、実習ラボの時間を 2 回まで、最大 30 分延長できます。[延長] を 1 回クリックすると、15 分間延長されます。VMware イベント以外でご使用の場合は、実習ラボの時間を最大 9 時間 30 分延長できます。[延長] を 1 回クリックすると、時間が 1 時間延長されます。

 

 

キーボード以外の方法によるデータ入力

このモジュールでは、メイン コンソールでテキストを入力します。複雑なデータを入力する場合、キーボードから直接入力する以外に、次の 2 つの方法があります。

 

 

クリック アンド ドラッグによるコピー

実習ラボ マニュアルに記載されているテキストやコマンド ライン インターフェイス (CLI) のコマンドは、クリック アンド ドラッグによってメイン コンソールのアクティブ ウィンドウに直接コピーできます。 

 

 

オンラインの国際キーボードを使用する

 

キーボード配列によっては、特定の文字や記号が入力しにくいことがあります。そのような場合、メイン コンソールに、オンラインの国際キーボードを表示して使用すると便利です。

  1. 国際キーボードを表示するには、Windows のクイック起動タスク バーで、キーボードのアイコンをクリックします。

 

 

Windows アクティベーションに関するウォーターマーク

 

実習ラボを初めて開始すると、Windows のライセンス認証が完了していないことを知らせるウォーターマーク (透かし) がデスクトップに表示される場合があります。 

仮想化の大きなメリットの 1 つは、仮想マシンを任意のプラットフォームに移動して実行できることです。ハンズオン ラボも、このメリットを活用して複数のデータセンターから実行できるようになっています。ただし、データセンターによってプロセッサーのタイプが異なることがあり、そのような場合、インターネット経由で Microsoft 社のアクティベーション チェックが行われます。

VMware とハンズオン ラボは Microsoft 社のライセンス要件に完全に準拠しているので、安心してご利用ください。この実習ラボは自己完結型ポッドであり、Windows のアクティベーション チェックに必要なインターネットへのフル アクセス権限がありません。インターネットへの完全なアクセスがないと、この自動プロセスは失敗し、このようなウォーターマークが表示されます。

これは表面上の問題であり、実習ラボには影響しません。 

 

 

画面右下でラボの準備完了を確認

 

実習ラボを開始すると、画面の右下の [Lab Status] に準備状況が表示されます。表示が [Ready] になったことを確認して、学習を開始してください。[Ready] になるまで数分間かかります。5 分経過しても [Ready] にならない場合は、サポートにお問い合わせください。

 

モジュール 1: Service Composer と分散ファイアウォールの概要 (45 分)

分散ファイアウォール: マイクロ セグメンテーションの概要


NSX 分散ファイアウォール (DFW) はハイパーバイザー カーネルに組み込まれたファイアウォールであり、仮想化されたワークロードとネットワークの視認性および制御性を高めます。データセンター、クラスター、仮想マシン名などの VMware vCenter オブジェクト、IP や IP セット、DVS ポート グループの VLAN、論理スイッチの VXLAN などのネットワーク構成要素、ならびにセキュリティ グループ、Active Directory からのユーザー グループ ID などに基づいてアクセス制御ポリシーを作成できます。各仮想マシンの仮想 NIC 単位でファイアウォール ルールが適用されるため、仮想マシンを vMotion で移行してもアクセス制御の一貫性が維持されます。このファイアウォールはハイパーバイザーに組み込まれているため、ライン レートに近いスループットが実現し、物理サーバー上のワークロードの統合率が向上します。ファイアウォールの分散性により、新たなホストをデータセンターに追加した場合に、ファイアウォールのキャパシティを自動的に拡張するスケール アウト アーキテクチャが提供されます。

マイクロ セグメンテーションは NSX の分散ファイアウォール (DFW) コンポーネントによって稼動しています。DFW は ESXi ハイパーバイザーのカーネル レイヤーで動作し、ライン レートに近い速度でパケットを処理します。各仮想マシンは専用のファイアウォール ルールとコンテキストを持ちます。DFW では vMotion (完全なワークロードのモビリティ) がサポートされ、移行中でも正常な接続が維持されます。この高度なセキュリティ機能では、関連する仮想マシンのグループを、個別の論理ネットワーク セグメントに分離することにより、データセンターのネットワークをよりセキュアにします。これにより管理者は、あるデータセンター セグメントから別のセグメントに伝送されるトラフィック (East-West トラフィック) にファイアウォールを適用できます。このようにしてデータセンター内部における攻撃者の水平方向の移動を制限できます。 

このモジュールの概要は次のとおりです。

分散ファイアウォールの基本機能

ファイアウォール機能のための IP 検出メカニズムの改善

Service Composer によるセキュリティの論理適用

デスクトップからモジュールを開始してください。デスクトップは、仮想環境での ControlCenter であり、ここからアクセス先に接続します。このデスクトップから、仮想データセンターに展開した vCenter Server Appliance にアクセスします。

特記事項: README.txt という名前のファイルがデスクトップにあります。そこに記載されたユーザー アカウントとパスワードを使って、実習ラボのすべての仮想デバイスや仮想マシンを利用できます。


 

分散ファイアウォールのユーザーへの通知: マイクロ セグメンテーション セクション

HOL-1803-01-NET のモジュール 6 「分散ファイアウォール」 を修了した方には、本セクション 「分散ファイアウォール」 は同じ内容で重複となります。この実習ラボで再度学習する必要はありません。表示されているリンクをクリックすると、このセクションを飛ばして実習ラボの次のセクションに進みます。

ここをクリックして 「仮想マシンと SpoofGuard のための強化された IP 検出メカニズム」 モジュールに進みます。

 

 

 

キーボード以外の方法によるデータ入力

このモジュールでは、メイン コンソールでテキストを入力します。複雑なデータを入力する場合、キーボードから直接入力する以外に、次の 2 つの方法があります。

 

 

vSphere Web Client へのアクセス

 

  1. Google Chrome というラベルの付いたデスクトップ上のアイコンから vSphere Web Client を起動します。

 

 

Web アプリケーションにアクセスするためのルールを構成

3 層アプリケーションへのアクセスについて分散ファイアウォールを構成します。このアプリケーションには 2 台の Web サーバーと、それぞれ 1 台のアプリケーション サーバーおよびデータベース サーバーがあります。また、2 台の Web サーバーにサービスを提供するロード バランサーも利用されています。

 

 

3 層セキュリティ グループの作成

 

  1. [Service Composer] をクリックします。

[Service Composer] では、仮想環境およびクラウド環境で、ネットワーク サービスとセキュリティ サービスを利用するための新しいモデルを定義します。付属のサービスまたはサードパーティ製のソリューションによるサービスを簡単に表示したり利用したりして、ポリシーを適用できます。これらのポリシーは、エクスポートおよびインポート機能を用いて再利用できるため、問題がある場合に環境を立ち上げて復旧するのが容易になります。再利用可能なオブジェクトの 1 つがセキュリティ グループです。Service Composer とセキュリティ グループについては、この後のモジュールで詳細に説明します。

 

 

3 層アプリケーションのアクセス ルールを作成

 

新しいルールを追加して Web 仮想マシンにアクセスできるようにします。その後、各層間のアクセス設定をします。 

  1. 左側のメニューで [Firewall] を選択します。

 

 

web-01a への PuTTY セッションを再開

 

  1. 左上のセッション アイコンをクリックします。
  2. [Restart Session] をクリックします。

 

 

3 層アプリケーションに分散ファイアウォールのルールを設定した後のトポロジー

 

仮想 NIC レベルのファイアウォールの相対的な適用ポイントを図に示します。分散ファイアウォールは vSphere ESXi ホストのカーネル ローダブル モジュール (KLM) ですが、ルールはゲスト仮想マシンの仮想 NIC に適用されます。このセキュリティは vMotion 実行中に仮想マシンとともに移行されるため、仮想マシンが 「攻撃を受けやすい時間」 を作ることなく、抜けのない保護ができます。

 

 

モジュールのクリーンアップ

 

次のモジュールに進む前に、デフォルト ルールを [Allow] に戻す必要があります。

  1. [Default Rule] の [Action] を [Allow] に変更します
  2. [Publish Changes] をクリックします。

 

仮想マシンと SpoofGuard のための強化された IP 検出メカニズム


vCenter Server と同期した後で、NSX Manager はすべての vCenter ゲスト仮想マシンの IP アドレスを収集します。仮想マシンが攻撃された場合、IP アドレスが偽装され、悪意のある通信がファイアウォール ポリシーをバイパスするおそれがあります。

SpoofGuard ポリシーを特定のネットワークに対して作成することで、通知された IP アドレスを許可し、必要に応じてそれらを変更して、IP アドレスの偽装を防ぐことができます。SpoofGuard が本質的に信用するのは、VMX ファイルと vSphere SDK から収集した仮想マシンの MAC アドレスです。ファイアウォール ルールとは別に機能する SpoofGuard は、IP アドレスの偽装として特定されたトラフィックをブロックするために使用できます。

SpoofGuard では、IPv4 アドレスと IPv6 アドレスの両方がサポートされています。IPv4 を使用している場合、SpoofGuard ポリシーでは、1 つの仮想 NIC に IP アドレスを 1 つだけ割り当てることができます。IPv6 を使用している場合は、1 つの仮想 NIC に IP アドレスを複数割り当てることができます。SpoofGuard ポリシーでは、次のいずれかのモードで、仮想マシンから通知された IP アドレスが監視および管理されます。

仮想マシンから届いたすべてのトラフィックが許可され、仮想 NIC と IP アドレスの対応テーブルが作成されます。いつでもこのテーブルの内容を確認し、IP アドレスを変更できます。このモードでは、仮想 NIC 上のすべての IPv4 アドレスおよび IPv6 アドレスが自動許可されます。

仮想 NIC と IP アドレスの各割り当てを許可するまで、すべてのトラフィックがブロックされます。

注: DHCP 要求は、基本的に有効モードにかかわらず SpoofGuard によって許可されます。ただし、手動モードの場合、DHCP で割り当てられた IP アドレスが承認されるまで、トラフィックはブロックされます。

SpoofGuard にはシステムで生成されたデフォルトのポリシーが含まれ、ほかの SpoofGuard ポリシーがカバーしないポート グループと論理ネットワークに適用されます。新しく追加されたネットワークは、管理者が既存のポリシーまたはそのネットワーク用の新しいポリシーに追加するまで、デフォルトのポリシーに追加されます。

NSX の分散ファイアウォールの処理では、送信元または送信先として指定したオブジェクトの IP アドレスを検出する必要があります。NSX 6.2 より前のバージョンでは、仮想マシン内の VMware Tools でこの操作を行います。ここでは、VMware Tools と Trust-On-First-Use を使用して IP アドレスを検出する方法を学習します。


 

SpoofGuard の設定を確認

 

[vSphere Web Client] のブラウザー タブをクリックします。

  1. [Home] アイコンをクリックします。
  2. [Networking & Security] をクリックします。

 

 

SpoofGuard の確認

 

  1. [Navigator] で [SpoofGuard] をクリックします。

 

 

ARP スヌーピングを使用した IP アドレスの検出を有効化

 

  1. [Change] をクリックします。

 

 

仮想分散スイッチから新しい論理スイッチへ Linux-01a を移行

SpoofGuard の IP 検出機能を活用するには、まず、仮想マシン linux-01a を既存の仮想分散スイッチから論理スイッチに移行する必要があります。

 

 

[Networking & Security] に戻る

 

  1. [Navigator] で、履歴フィールドの [Back] ボタンをクリックして、NSX の構成インターフェイスまで戻ります。

 

 

ARP スヌーピングによって Linux-01a が検出されたことを確認

 

  1. [Navigator] メニューで [SpoofGuard] を選択します。
  2. [Default Policy] をクリックします。
  3. [View] ドロップダウンで [Active Virtual NICs] を選択します。
  4. 「lin」 と入力し、<Enter> キーを押して、linux-01a を検索します。

アドレス 192.168.120.115 の [Source] フィールドに 「TOFUARP」 (Trust On First Use ARP) と表示されます。

 

 

SpoofGuard のまとめ

これで、「仮想マシンと SpoofGuard のための強化された IP 検出メカニズム」 セクションは終了です。ここでは、仮想マシンを NSX 環境に移行し、SpoofGuard を活用して新機能の Trust-On-First-Use ARP で IP アドレスを検出しました。

 

セキュリティ グループの概要


「分散ファイアウォール: マイクロ セグメンテーションの概要」 で紹介したセキュリティ グループの機能を確認します。NSX セキュリティ グループを使用すると、保護する資産を指定する論理的なグループを作成できます。セキュリティ グループには、静的 (特定の仮想マシンを指定) と動的 (次の 1 つまたは複数の条件によりメンバーシップを定義) なものがあります。

セキュリティ グループにはメンバーの出入りが頻繁にあることに注意してください。たとえば、タグ 「AntiVirus.virusFound」 が付いた仮想マシンを 「隔離」 セキュリティ グループに移す設定を行なったとします。ウイルスが除去された時点でこのタグは取り除かれ、その仮想マシンは 「隔離」 セキュリティ グループから外れます。


 

Service Composer へのアクセス

 

  1. 左側のパネルで [Service Composer] をクリックします。

 

 

メンバーの表示

 

  1. [Virtual Machines] 列で、新しい Web Security Group に関連付けられた仮想マシンを示す数字をクリックします。

注: Web Security Group の [Virtual Machines] 列には 「6」 が表示されます。ここでは大文字小文字の区別なく 「WEB」 が名前に含まれる仮想マシンが、IP ネットワークにかかわらずすべて含まれます。

  1. ダイアログ ボックスの右上にある [X] をクリックしてウィンドウを閉じます。

 

セキュリティ ポリシーの概要


NSX セキュリティ ポリシーは、ファイアウォール ルール、エンドポイント サービス、ネットワーク内部監視サービスのようなサービス構成の集合として設定できます。ファイアウォール ルールは、セキュリティ グループへのトラフィック、セキュリティ グループからのトラフィック、またはセキュリティ グループ内のトラフィックを定義するルールの集まりです。エンドポイント サービスは、ウイルス対策サービスや脆弱性管理サービスなど、サードパーティ ソリューション プロバイダーのサービスを使用して実装できます。ネットワーク内部監視サービスとは、IPS などのネットワークを監視するサービスです。

NSX でのサービス導入中、導入するサービスのサービス カテゴリはサードパーティ ベンダーが選択します。各ベンダーのテンプレートに、デフォルトのサービス プロファイルが作成されます。

注: 同じセキュリティ ポリシーを複数のセキュリティ グループに適用する必要がある場合、それらのグループを 1 つにまとめた親のセキュリティ グループを作成し、各グループを子として含めます。その後、共通のセキュリティ ポリシーを親のセキュリティ グループに適用します。これにより、NSX の分散ファイアウォールが使用する ESXi のホスト側のメモリー効率が高まります。


 

新しいセキュリティ ポリシーを作成

 

  1. [Service Composer] パネルで [Security Policies] タブを選択します。
  2. [Create Security Policy] アイコンをクリックします。
  3. [Name] フィールドに 「Block Web-to-Web Traffic」 と入力します。
  4. 左側のパネルで [Firewall Rules] をクリックします。

 

 

ファイアウォール ルールの同期を確認

 

  1. [Firewall] をクリックします。

 

 

PuTTY を使用して Web 仮想マシン間の通信をテスト

 

3 層アプリケーションを構成している Web 仮想マシン間の通信とアクセスをテストします。最初のテストでは web-01a のコンソールを開き、web-02a に ping を送信します。

  1. デスクトップのタスクバーにある PuTTY のショートカットをクリックします。
  2. [web-01a.corp.local] を選択します。
  3. [Open] をクリックします。

 

Service Composer キャンバスを確認


Service Composer には、選択した NSX Manager 内のすべてのセキュリティ グループを表示するキャンバス ビューがあります。このビューには、各セキュリティ グループのメンバーや、メンバーに適用されるセキュリティ ポリシーなどの詳細情報も表示されます。

このトピックでは、部分的に構成済みのシステムを使って、Service Composer の概要を紹介します。ここでは、セキュリティ グループとセキュリティ ポリシー オブジェクトとの間のマッピングをキャンバス ビューで全体的に可視化できることがわかります。


 

Service Composer キャンバスのグラフィカル表示

 

 

  1. [Service Composer] をクリックします。
  2. [Canvas] をクリックします。

選択した NSX Manager 内のすべてのセキュリティ グループが、適用されているポリシーとともに表示されます (別のセキュリティ グループに含まれているものは表示されません)。[NSX Manager] のドロップダウンには、ログイン中のユーザーがロールを割り当てられている、すべての NSX Manager が一覧化されます。

キャンバス内の長方形のボックスは、セキュリティ グループを表しています。ボックス内のアイコンは、セキュリティ グループのメンバーと、そのセキュリティ グループにマッピングされているセキュリティ ポリシーの詳細を表しています。

 

 

モジュール 1: まとめ


モジュール 1 「Service Composer と分散ファイアウォールの概要」 はこれで終わりです。ここでは静的および動的なセキュリティ グループの作成、静的および動的なセキュリティ ポリシーの適用 (ファイアウォール ルールを含む)、VMware Tools が導入されていない環境での SpoofGuard を使用したネットワーク上の仮想マシンの検出および許可について学習しました。


 

モジュール 1 のクリーンアップ

 

モジュール 1 を終了する前に、このセクションで作成したルールを削除する必要があります。

  1. [Service Composer] に戻ります。
  2. [Security Policies] タブを選択します。
  3. 「Block Web-to-Web Traffic」 の行を右クリックします。
  4. [Delete] オプションを選択します。「Remove security policy?」 というメッセージが表示されたら、[Yes] をクリックします。

 

 

モジュール 1 の終了

モジュール 1 はこれで終了です。

NSX のルーティング機能について、さらに詳しい情報が必要な場合は、表示されている URL から NSX 6.3 ドキュメント センターをご確認ください。

表示されている中から関心のあるモジュールに進んでください。

実習ラボのモジュール リスト:

実習ラボ責任者:

 

 

実習ラボの終了方法

 

実習ラボを終了するには、[終了] ボタンをクリックします。

 

モジュール 2: 3 層アプリケーションの集約機能の詳細説明 (15 分)

NSX の分散ファイアウォール機能で集約されたアーキテクチャの保護


このモジュールでは、分散ファイアウォール (DFW) 機能を使用して、NSX で従来のマルチティア ネットワーク アーキテクチャを単一のフラット ネットワークに集約し、同時にアプリケーションの分離を確保する方法を学習します。これはセキュリティにおいて、ネットワーク中心のアプローチを止め、ワークロードを中心としたアプローチに転換する場合に必須となる機能です。ここでは、HR (人事) アプリケーションと Finance (財務) アプリケーションを使用します。どちらも同じ論理スイッチおよびサブネットに配置されています。  

これらに対して次の構成とテストを行います。

この実習ラボ モジュールを修了すると、同じネットワーク インフラストラクチャにある複数のアプリケーションを NSX 分散ファイアウォールで保護および分離でき、同時にアプリケーション内の通信を許可して機能を正常に保てることがわかります。 


 

サンプルのネットワーク アーキテクチャを確認

 

3 層ネットワーク アプリケーションを単一のネットワークに集約する前に、Web 層、アプリケーション層、データベース層をレイヤー 3 で分離するためにネットワークが個別のサブネットに分割された 3 層アプリケーションの例を確認します。ここで注目したいのは、セキュリティ ファイアウォール ルールが欠けているため、同じレイヤー 2 ドメインにある仮想マシン間の通信が保護されていない点、およびアプリケーションの各層の間の通信も保護されていない点です。こうした複数の層からなるワークロードを大量にスケール アウトする必要が出てきた場合の選択肢は 2 つあります。1 つはサブネットを追加導入することです。もう 1 つは複数のアプリケーション コンポーネント (複数のアプリケーションの各データベースなど) を同じ L2 ドメインに展開することです。 

たとえば、複数のアプリケーションのデータベース コンポーネントが 「DB-Tier」 ネットワーク上にあったとします。従来のファイアウォールでは、このようなデータベース間の保護が存在しません。この状態では、いずれかの仮想マシンのデータベースへのアクセス権のあるユーザーが、同じネットワーク上のほかのデータベースにもアクセスできてしまう可能性があります。NSX の分散ファイアウォールでは、ネットワーク構成全体を単一の L2 セグメントに集約することで、各アプリケーションの機能を損なわずに、それぞれのアプリケーションを分離できます。

 

 

vSphere Web Client へのアクセス

 

  1. [Main Console] ウィンドウで、Google Chrome のショートカットをクリックします。

 

 

Finance (財務) アプリケーションが動作していることを確認

 

  1. Chrome で新しいタブを開きます。
  2. ブックマーク [Finance DB App] をクリックします。

Financial Department Cost Center Listings にアクセスしていることを確認します。fin-web-01a からデータを受信しています。

 

 

HR (人事) アプリケーションの検証

 

  1. Chrome で新しいタブを開きます。
  2. ブックマーク [HR DB App] をクリックします。

HR Employee Salary Database にアクセスしていることを確認します。

 

 

仮想マシン fin-web-01a のリモート コンソールを起動

 

  1. [vSphere Web Client] タブをクリックします。
  2. [fin-web-01a.corp.local] をクリックします。
  3. [Summary] タブをクリックします。
  4. 歯車のアイコンをクリックし、[Launch Remote Console] をクリックします。

 

 

vSphere Web Client セッションに戻る

 

  1. タスクバーにある [vSphere Web Client] ブラウザー アイコンをクリックします。

 

 

vSphere Web Client に戻る

 

  1. タスクバーにある [vSphere Web Client] ブラウザー アイコンをクリックします。

 

 

ファイアウォール構成へのアクセス

 

  1. 左側の [Navigator] メニューで [Firewall] をクリックします。

 

 

HR (人事) アプリケーションのセキュリティ グループを作成

 

  1. [Object Type] ドロップダウン メニューから [Security Group] を選択します。
  2. [New Security Group] をクリックし、HR (人事) アプリケーションのセキュリティ グループを定義します。

 

 

Finance (財務) アプリケーションのセキュリティ グループを作成

 

  1. [Object Type] ドロップダウン メニューから [Security Group] を選択します。
  2. [New Security Group] をクリックし、Finance (財務) アプリケーションのセキュリティ グループを定義します。

 

 

新しいファイアウォール ルールを追加

 

  1. 新しいルールを追加するため、[Collapsed App Tier Rules] セクションにある緑色のプラス記号アイコンをクリックします。

 

 

変更の発行

 

  1. [Publish Changes] をクリックし、対象となる仮想マシンとホストに新しいファイアウォール ルールを適用します。

 

 

Finance (財務) アプリケーションが動作していることを確認

 

  1. [HOL- Finance Department] タブをクリックします。
  2. [Refresh] ボタンをクリックします。

Financial Department Cost Center Listings にアクセスしていることを確認します。

 

 

HR (人事) アプリケーションの検証

 

  1. [HOL-HR Department] タブをクリックします
  2. [Refresh] ボタンをクリックします。

HR Employee Salary Databse にアクセスしていることを確認します。

 

 

次の実習ラボ モジュールへ進む前に実習ラボをクリーン アップ

 

次の実習ラボ モジュールに進む前に、まずここで設定したファイアウォール ルールをクリーン アップする必要があります。   

  1. [vSphere Web Client] ブラウザー タブをクリックします。

 

モジュール 2: まとめ


これで、モジュール 2 は終了です。単一のフラット ネットワークで NSX 分散ファイアウォール (DFW) を用いて、アプリケーションの分離を行う方法について学習しました。このモジュールでは、3 層ネットワーク アプリケーションを単一の NSX 論理スイッチに集約しても、分散ファイアウォールを用いた NSX のゼロ トラスト セキュリティに影響を与えないことを示しました。この実習ラボでは、まず同じネットワーク上にある人事アプリケーション仮想マシンと財務アプリケーション仮想マシン間の通信を確認しました。次に、仮想マシンの論理的なグループでファイアウォール ルールを作成し、人事と財務のアプリケーション間で通信が行われないようにしてから、仮想マシンの通信をアプリケーション スタック間およびアプリケーション スタック内でテストすることによって、作成したルールの適用を検証しました。アプリケーションが相互に分離されていることを確認した後、次の実習ラボ モジュールに備えるために、作成したファイアウォール ルールを削除しました。

この実習ラボにご参加いただき、ありがとうございました。NSX 分散ファイアウォールのアプリケーションの分離、ゼロ トラスト機能についてご理解いただければ幸いです。


 

モジュール 2 の終了

モジュール 2 はこれで終了です。

NSX のルーティング機能について、さらに詳しい情報が必要な場合は、表示されている URL から NSX 6.3 ドキュメント センターをご確認ください。

表示されている中から関心のあるモジュールに進んでください。

実習ラボのモジュール リスト:

実習ラボ責任者:

 

 

実習ラボの終了方法

 

実習ラボを終了するには、[終了] ボタンをクリックします。

 

モジュール 3: 高度なグループ化 (30 分)

高度なグループ化


モジュール 3 高度なグループ化


 

はじめに

日常のビジネスで必要とされるミッション クリティカルなアプリケーションを稼動させている組織にとって、Windows XP、Windows 2000 Server、Windows Server 2003 などの主要なエンタープライズ プラットフォームがサポートを終了する (EOS) ということは、極めて大きな問題です。たとえば、2015 年 7 月に Microsoft 社が Windows 2003 のサポートを終了したときも、何百万台というエンタープライズ サーバーが危険にさらされました。

サポートが終了するオペレーティング システムを使用している組織は、新しいプラットフォームへの移行準備や制御を補完できる状態が完全に整っていない限り、組織内の環境に深刻なセキュリティ リスクを負うことになります。Microsoft 社のようなプラットフォーム プロバイダーが脆弱性に対する通知やパッチの提供を行わなくなることはハッカーもよく分かっているため、こうしたシステムはすぐに絶好の攻撃対象となります。また、EOS 後にサポートされていないプラットフォームを使用していると、問題が見つかっても未対応のままとなるものが増え続け、時間とともにリスクが大きくなります。

NSX は、分散ファイアウォール (DFW) と Service Composer でセキュリティを強化することによって、サポートが終了するオペレーティング システムの問題を低減することができます。この実習ラボでは、NSX セキュリティ グループを使用して Windows XP 仮想マシンを囲い込み、シミュレートされた環境でファイアウォール ポリシーを適用して、この仮想マシンを保護します。 

このモジュールの概要は次のとおりです。

実習ラボ責任者:

モジュール 3: Chris Cousins (シニア システム エンジニア、米国)

 

 

サポートが終了する仮想マシンへのログイン


Windows XP 仮想マシンを使用して、内外のリソースにアクセスする際のセキュリティ状態が現在どのようになっているかを確認します。


 

vSphere Web Client にログイン

 

vSphere Web Client にまだログインしていない場合

(ホームページは vSphere Web Client です。それ以外の場合は、Google Chrome のタスクバーで [vSphere Web Client] アイコンをクリックします)。

  1. [User name] に 「administrator@vsphere.local」 と入力します。
  2. [Password] に 「VMware1!」 と入力します。
  3. [Login] をクリックします。
  1. 押しピンをクリックすると、タスク ペインが折りたたまれ、メイン ペインの表示スペースが拡大します。左側のペインも折りたたむと、表示スペースが最大になります。

 

 

サポートが終了する仮想マシンにログイン

 

  1. [Home] を選択します。
  2. [VMs and Templates] を選択します。

 

 

内部アクセスの確認

 

デスクトップから Mozilla ブラウザーを起動します。

  1. [Customer DB-App] リンクをクリックして、内部アプリケーションを起動します。

 

 

外部アクセスのコマンド プロンプト ウィンドウを開く

 

コントロール コンソール仮想マシンは、この実習ラボで使用する仮想環境の外にあります。つまり、これが環境の外部にあるサービスを表します。ここでは、コントロール センターの IP アドレス 192.168.110.10 をインターネット サービスとして使用します。

  1. [Start] メニューをクリックします。
  2. コマンド プロンプトを起動します。

[Command Prompt] アイコンが表示されていない場合は、[Run] をクリックし、「cmd」 と入力して <Enter> キーを押すと、コマンド プロンプトが起動します。

 

セキュリティ グループの作成


サポートが終了する仮想マシンが外部リソースにアクセスできる状態には、潜在的な脆弱性があることが分かったため、セキュリティ対策が必要です。NSX のセキュリティ グループを使用して、サポートが終了するオペレーティング システムを実行しているマシンをすばやく特定し、ポリシーを適用してセキュリティを確保します。


 

セキュリティ グループの作成

 

  1. [vSphere Web Client] ブラウザー タブをクリックします。
  2. [Home] アイコンをクリックします。
  3. [Networking & Security] を選択します。

 

仮想マシンのアクセス制限


ルールを適用して仮想マシンの外部アクセスを制限します。


 

ポリシーの適用

 

Service Composer を開きます。

  1. 先ほど作成した [Windows XP EOS] セキュリティ グループを選択します。
  2. [Apply Policy] アイコンをクリックします。

 

 

最初のファイアウォール ルールを設定

 

  1. [Name] に 「Access Internal Resources」 と入力します。
  2. [Action] で [Allow] を選択します。
  3. [Source] で [Policy's Security Groups] を選択します。
  4. [Destination] で [Change] をクリックします。

 

 

ファイアウォール ルールの追加

 

セキュリティ グループを作成し、Windows XP 仮想マシンが内部サービス (内部アプリケーション) にアクセスできるようになりました。さらに、内部サービス間のアクセスを許可するルールを追加し、デフォルトのファイアウォール ルールを変更してその他のすべてのアクセス (外部アクセスを含む) をブロックする必要があります。

  1. [Firewall] をクリックし、ファイアウォール ルールにアクセスします。

 

 

デフォルトのファイアウォール ルールを変更

 

サポートが終了する Windows XP 仮想マシンから外部サービスへのトラフィックなど、不要なトラフィックをブロックするために、デフォルトのファイアウォール ルールでブロックを有効にする必要があります。デフォルトのファイアウォール ルールは [Default Section] に表示されます。

  1. ファイアウォール ルールの [Default Section] をクリックして展開します。
  2. [Default Rule] の [Action] 列で鉛筆のアイコンをクリックします。
  3. [Action] で [Block] を選択します。
  4. [Save] をクリックします。

 

Windows XP 仮想マシンからの限定的なアクセスを確認


サポートが終了する Windows XP 仮想マシンのルールを設定したので、内部と外部のサービスへのアクセス テストに進みます。


 

win-xp-01a のコンソールを再度開く

 

  1. 「win-xp-01a」 のブラウザー タブをクリックします。

 

 

外部アクセスがブロックされていることを確認

 

  1. win-xp-01a のデスクトップで再度コマンド プロンプトを開きます。
  2. コマンド プロンプトで 「ping 192.168.110.10」 と入力します。
  3. コントロール センターへの外部アクセスがブロックされるようになったことを確認します。
ping 192.168.110.10

これで、win-xp-01a では内部サービスへのアクセスは許可されるが、外部アクセスはグループ ポリシーにしたがって完全にブロックされていることがわかりました。

 

 

モジュールのクリーンアップ: デフォルト ルールを [Allow] に設定

 

  1. [Default Section Layer3] を展開します。
  2. [Default Rule] の [Action] 列にカーソルを合わせ、鉛筆のアイコンをクリックします。
  3. [Action] で [Allow] を選択します。
  4. [Save] をクリックします。

 

モジュール 3 のまとめ


モジュール 3 はこれで終了です。

この実習ラボでは、高度なグループ化機能を利用し、サポートが終了したオペレーティング システムをセキュリティ グループによって迅速にコンテナ化する方法について説明しました。セキュリティ グループを設定したら、それらを使用してファイアウォール ルールを作成し、グループに含まれる仮想マシンとの双方向のアクセスを制限することができます。セキュリティ グループは、多様な用途に対応し、セキュリティ要件の変化に応じてポリシーを変更したり新たに作成したりするために再利用することができます。

NSX のセキュリティ グループ機能の詳細については、表示されている URL から NSX 6.3 ドキュメント センターをご確認ください。

実習ラボのモジュール リスト:

実習ラボ責任者:


 

実習ラボの終了方法

 

実習ラボを終了するには、[終了] ボタンをクリックします。

 

モジュール 4: ジャンプ ボックスを使用したユーザー ベースのセキュリティ (45 分)

ジャンプ ボックスを使用したユーザー ベースのセキュリティ


モジュール 4

ジャンプ ボックスを使用したユーザー ベースのセキュリティ


 

はじめに

この実習ラボ モジュールでは、NSX の ID 認証ファイアウォール機能を使用して、ファイアウォール ルールを作成します。この機能は、NSX Manager から Active Directory への接続を使用します。NSX Manager は、Active Directory サーバーのイベント ログをスキャンして、ログインの認証情報とイベントを特定します。ユーザーが仮想マシンにログインすると、その仮想マシンがユーザーの Active Directory グループに基づいてすぐにセキュリティ グループに割り当てられます。セキュリティ グループとファイアウォール ルールを組み合わせることで、環境内でのアクセス制御が可能になります。

この実習ラボでは、異なる 2 つの Active Directory グループと 2 人のユーザーを使用します。1 人目のユーザーは、環境内のあらゆるアプリケーションにアクセスできるネットワーク管理者で、2 人目のユーザーは、特定の Web ベースの人事アプリケーションのみにアクセスできる人事管理者です。     

 

このモジュールの概要は次のとおりです。

実習ラボ責任者:

モジュール 4: Chris Cousins (シニア システム エンジニア、米国)

 

NSX と Active Directory のリンクの詳細


NSX は、Active Directory と連携し、Active Directory グループを使用して ID 認証ファイアウォール ルールを作成します。


 

ブラウザーと vSphere Web Client の起動

 

 

 

 

  1. [Home] アイコンをクリックします。
  2. [Networking & Security] をクリックします。

 

 

Active Directory の同期

 

  1. 2 つの歯車のアイコンをクリックします。
  2. 1 つの歯車のアイコンをクリックして Active Directory の最新情報を入手します。ステータス ([SUCCESS]) と現在の日時が表示されます。

同期が成功するまでに 2 ~ 3 分かかる場合があります。

Active Directory の接続を構成して同期すると、Active Directory グループをセキュリティ ポリシーに利用することができます。

 

Active Directory グループに基づいたセキュリティ オブジェクトの使用


  1. Active Directory グループ メンバーシップに基づくセキュリティ オブジェクトを定義して、セキュリティ ポリシーの適用に使用します。

 

Active Directory グループに基づいたセキュリティ オブジェクトの作成

 

  1. [Home] ボタンにマウス カーソルを重ねます。
  2. [Networking & Security] をクリックします。

 

 

新しいファイアウォール ルール セクションの作成

 

  1. ナビゲーション ペインで [Firewall] リンクをクリックします。
  2. 「Flow Monitoring & Traceflow Rules」 セクションで [Add Section] アイコンをクリックします。

 

 

ネットワーク管理者ルールの追加

 

  1. 新しく作成されたルール セクションで [Add Rule] アイコンをクリックします。
  2. 新しく作成されたルール セクションをクリックして展開します。
  3. [Name] 列の鉛筆のアイコンをクリックし、新しいルールを編集します。

 

 

人事管理者ルールの追加

 

  1. Active Directory ベースのルールのセクションをクリックして展開します。
  2. [Add Rule] アイコンをクリックします。

 

内部アプリケーションのファイアウォール ルールを定義


この実習ラボでは、内部アプリケーションにアプリケーション層間の通信を許可するためのルールを追加する必要があります。


 

ファイアウォール ルールの追加

 

人事管理者およびネットワーク管理者がそれぞれのロールに基づいて適切なアプリケーションにアクセスできるように、Active Directory ベースのファイアウォール ルールを作成しました。さらに、内部サービス間のアクセスを許可するルールを追加し、デフォルトのファイアウォール ルールを変更してその他のすべてのアクセス (外部アクセスを含む) をブロックする必要があります。

  1. [Firewall] をクリックし、ファイアウォール ルールにアクセスします。

 

 

デフォルトのファイアウォール ルールを変更

 

不要なトラフィックをブロックするために、デフォルトのファイアウォール ルールでブロックを有効にする必要があります。デフォルトのファイアウォール ルールは [Default Section] に表示されます。

  1. ファイアウォール ルールの [Default Section] をクリックして展開します。
  2. [Default Rule] の [Action] 列で鉛筆のアイコンをクリックします。
  3. [Action] で [Block] を選択します。
  4. [Save] をクリックします。

 

ユーザー ID ベースのルールをテスト


新しく作成されたルールをテストするために、複数のユーザーの Active Directory 認証情報で win12-jump 仮想マシンにログインする必要があります。


 

ユーザー ID ルールのテスト

 

ドメイン内のジャンプ ボックス (win-12-jump) 仮想マシンのコンソールを開き、Active Directory の AppConfiguration グループまたは Human Resources グループのメンバーとしてログインすれば、新しい ID ベースのルールをテストすることができます。ユーザー Netadmin は、AppConfiguration グループのメンバーであるため、すべての内部アプリケーションまたはアプリケーション層にログインできます。ユーザー HRadmin は、Human Resources グループのメンバーであるため、人事の Web アプリケーションおよび財務の Web アプリケーションのみにログインできます。それぞれのユーザーでログインして複数の 3 層アプリケーションへのアクセスの結果を確認します。

  1. [Home] アイコンをクリックします。
  2. [VMs and Templates] をクリックします。

 

 

ジャンプボックスのコンソールを開く

 

[RegionA01] コンテナを展開し、[Discovered virtual machines] で [win12-jump] を探します。

  1. 各種仮想マシンを展開します。
  2. [win12-jump] を右クリックします。
  3. [Open Console] をクリックします。

 

 

ほかのユーザーに切り替える

 

  1. [Send Ctrl+Alt+Delete] をクリックします。
  2. [Other User] をクリックします。

 

 

NetAdmin としてログイン

 

  1. ユーザー名として 「NetAdmin」 と入力します。
  2. パスワードとして 「VMware1!.」 と入力します (「!」 の後に 「.」 があることに注意してください)。
  3. 矢印をクリックします。

 

モジュール 4 のまとめ


モジュール 4 はこれで終了です。お疲れ様でした。

この実習ラボでは、NSX で ID 認証ファイアウォール機能を使用して内部アプリケーションへのアクセスを制御する方法について説明しました。ネットワーク管理者向けおよび人事管理者向けに Active Directory ベースのファイアウォール ルールを作成しました。これらのルールでは、人事管理者は人事の Web アプリケーションのみに HTTP プロトコルで接続できます。また、ネットワーク管理者はすべてのアプリケーションに任意のプロトコルで接続できます。この方法でアクセスを制御すると、組織内のロールに基づいて適切なアプリケーションに適切なレベルの権限でアクセスできるようになります。

NSX の ID 認証ファイアウォール機能の詳細については、表示されている URL から NSX 6.3 ドキュメント センターをご確認ください。

実習ラボのモジュール リスト:

実習ラボ責任者:


 

実習ラボの終了方法

 

実習ラボを終了するには、[終了] ボタンをクリックします。

 

モジュール 5: アプリケーション ルール マネージャー (30 分)

モジュール 5: アプリケーション ルール マネージャー



 

はじめに

アプリケーション ルール マネージャー (ARM) は、NSX 6.3 で導入された新しいツールセットです。リアルタイムのフロー データを活用して、ゼロ トラスト セキュリティ モデルのマイクロ セグメンテーションを迅速かつ効率的に計画および実装できます。これにより、Log Insight では処理できないほど規模の大きいアプリケーション (新規または既存のアプリケーション) や、vRealize Network Insight (vRNI) では対処できないほど規模の小さい環境を、新しい方法で保護できるようになります。

ARM は、アプリケーション ワークロードへのフロー、アプリケーション ワークロードからのフロー、およびアプリケーション ワークロード間のフローのデータをリアルタイムで収集して、アプリケーション中心のセキュリティ モデルを実現します。セッションあたり最大 30 台の仮想マシンを監視でき、合計 5 つのセッションを同時に実行できます。ブロックされたフローや、トラフィックをブロックしているファイアウォール ルールを確認することもできます。 

アプリケーション ルール マネージャーのワークフローには 3 つのステップがあります。

  1. アプリケーションを形成する監視対象の仮想マシンを選択します。構成が完了すると、それらの仮想マシンの定義された仮想 NIC (ネットワーク インターフェイス カード) ですべての受信フローと送信フローが監視されます。最大 5 つのセッションで同時にフローを収集できます。
  2. 監視を停止してフロー テーブルを生成します。フローが分析されて、仮想マシン間のやり取りが表示されます。フローをフィルタリングしてフロー レコードを絞り込むこともできます。
  3. フロー テーブルを使用してグループ オブジェクトを作成します (セキュリティ グループ、IP アドレス セット、サービスおよびサービス グループ、ファイアウォール ルールなど)。

実習ラボ責任者:

モジュール 5: Chris Cousins (シニア システム エンジニア、米国)

 

アプリケーションのマイクロ セグメンテーション



 

Chrome ブラウザーと vSphere Web Client の起動

 

  1. デスクトップにある Chrome のアイコンをダブルクリックします。

 

 

vSphere Web Client にログイン

 

vSphere Web Client にまだログインしていない場合

(ホームページは vSphere Web Client です。それ以外の場合は、Google Chrome のタスクバーで [vSphere Web Client] アイコンをクリックします)。

  1. [User name] に 「administrator@vsphere.local」 と入力します。
  2. [Password] に 「VMware1!」 と入力します。
  3. [Login] をクリックします。

 

 

アプリケーション ルール マネージャーの詳細

 

  1. [Home] を選択します。
  2. [Networking & Security] を選択します。

 

 

[Flow Monitoring] を選択

 

  1. [Flow Monitoring] を選択します。

 

 

人事アプリケーションの新しいセッションを開始

 

  1. [Application Rule Manager] タブを選択します。
  2. [Start New Session] をクリックして、アプリケーションのフロー データの収集を開始します。

 

 

人事アプリケーションの仮想マシンを選択

 

  1. [Session Name] に 「HR_DB_App」 と入力します。
  2. [Object Type] ドロップダウン メニューで [Virtual Machine] を選択します。
  3. 検索フィールドに 「hr」 と入力します。
  4. [hr-web-01a.corp.local]、[hr-db-01a.corp.local]、[hr-app-01a.corp.local] を選択します。
  5. 右矢印をクリックします。
  6. [OK] をクリックします。

 

 

トラフィック フローの生成: ICMP

 

アプリケーション ルール マネージャーで人事アプリケーションの 3 台の仮想マシンのフロー データが収集されるようになりました。収集プロセスを長く実行すると、分析しなければならないデータが増えるため、ここではフロー データを 3 分間収集します。フロー データを生成するには次のようにします。

  1. PuTTY セッションを開いて [hr-web-01a.corp.local] を選択します。
  2. コマンド ラインに 「ping -c 2 172.16.60.12」 と入力します。
  3. メイン コンソールでコマンド プロンプトを開きます。
  4. 「ping 172.16.60.10」 と入力します。
ping -c 2 172.16.60.12
ping 172.16.60.10

 

 

さらなるトラフィック フローの生成: HTTPS

 

  1. Chrome ブラウザーの新しいタブを開きます。
  2. ブックマーク [HR DB App] をクリックします。
  3. ページを数回更新します。

 

 

データ収集: 停止

 

3 分以内に [Flow Monitoring] コンソールにフローが表示されます。フローの数は環境によって異なります。

  1. 3 分経ったら [Stop] をクリックします。
  2. [Yes] をクリックして操作を確定します。

 

 

フロー データの確認

 

送信元および送信先の IP アドレスと、HTTP、HTTPS などのサービスが表示されています。

 

 

財務アプリケーションの新しいセッションを開始

人事アプリケーションの収集データを分析する前に、財務アプリケーション用の 2 つ目のセッションを構成して、複数のセッションでデータ フローを収集できることを確認します。

 

 

財務アプリケーションのセッションを開始

 

  1. [Start New Session] をクリックします。

 

 

財務アプリケーションの仮想マシンを選択

 

  1. [Session Name] に 「Finance_DB_App」 と入力します。
  2. [Object Type] ドロップダウン メニューで [Virtual Machine] を選択します。
  3. 検索フィールドに 「fin」 と入力します。
  4. [fin-web-01a.corp.local]、[fin-db-01a.corp.local]、[fin-app-01a.corp.local] を選択します。
  5. 右矢印をクリックします。
  6. [OK] をクリックします。

 

 

財務アプリケーションのデータを収集

 

アプリケーション ルール マネージャーで、財務アプリケーションの 3 台の仮想マシンのフロー データが収集されるようになりました。収集プロセスを長く実行すると、分析しなければならないデータが増えるため、ここではフロー データを 3 分間収集します。フロー データを生成するには、Chrome ブラウザーの新しいタブを開いてブックマーク [Finance DB App] をクリックし、ページを数回更新します。3 分以内に [Flow Monitoring] コンソールにフローが表示されます。フローの数は環境によって異なります。

  1. [Stop] をクリックします。
  2. [Yes] をクリックします。

 

 

セッションの確認

 

HR_DB_AppFinance_DB_App の両方のセッションで仮想マシンのフロー データを収集できました。

 

 

送信元の確認

 

  1. [Source] をクリックして、監視されている仮想 NIC を確認します。

 

 

フローの時間の確認

 

  1. [Flows] をクリックして、収集時刻と収集時間を確認します。

 

 

財務アプリケーションのフロー分析を開始

 

  1. [Analyze] をクリックして、収集されたフロー データの分析を開始します。

 

 

人事アプリケーションのフロー分析を開始

 

財務アプリケーションのデータの分析が完了したら、人事アプリケーションのデータを分析します。

  1. [Session] ドロップダウン メニューで [HR_DB_App] を選択します。
  2. [Analyze] をクリックします。

 

 

データ分析の確認

 

  1. [Analysis Complete] に緑色のチェックマークが表示されていることを確認します。これは、データ分析が正常に行われたことを示します。

 

 

人事アプリケーションの処理後のビュー

 

フロー データの分析と処理が完了すると、IP アドレスが仮想マシン名に置き換えられて、オブジェクト間のフローの論理的な関係がわかりやすくなります。

 

 

人事アプリケーションのファイアウォール ルール

 

ARM から得られた情報に基づいて、人事アプリケーションと財務アプリケーションのアプリケーション内およびアプリケーション間の仮想マシンのマイクロ セグメンテーションを実装します。まず、hr-web-01a が hr-db-01a と通信できるかどうか見てみましょう。

  1. hr-web-01a.corp.local の PuTTY セッションを開きます。
  2. [Destination] 列で [hr-db-01a.corp.local] をクリックして、この仮想マシンの IP アドレスを確認します。
  3. IP アドレス (172.16.60.12) と、仮想 NIC の情報が表示されます。
  4. 172.16.60.12 に対して ping を実行します。ping が成功し、パケット ロスも発生しません。
ping -c 2 172.16.60.12

これで、仮想マシン hr-web-01a が仮想マシン hr-db-01a と直接通信できることを確認できました。これは理想的な状況ではありません。次に、適切なファイアウォール ルールを構成して、3 つの層の仮想マシンの間のトラフィックを制御します。

 

 

新しいファイアウォール ルール

 

  1. [Source] が 「192.168.110.10」、[Destination] が 「hr-web-01a.corp.local」、[Service] が 「SSH」 のフローを選択します。
  2. 歯車のアイコンをクリックします。
  3. [Create Firewall Rule] を選択します。

 

 

Control Center to HR_Web

 

  1. [Name] に 「Control Center to HR_Web」 と入力します。
  2. [Service] の反対側にある [Select] をクリックします。

 

 

サービスの選択

 

  1. 検索フィールドに 「https」 と入力します。
  2. [HTTPS] を選択します。
  3. 右矢印をクリックします。
  4. [SSH] と [HTTPS] が選択されていることを確認します。
  5. [OK] をクリックします。

 

 

構成の確認

 

  1. 構成がこのスクリーンショットと一致していることを確認し、[OK] をクリックします。

 

 

HR_Web to HR_App ファイアウォール ルールの構成

 

  1. [Destination] が 「hr-app-01a」 の行を選択します。
  2. [Actions] (歯車のアイコン) をクリックし、[Create Firewall Rule] を選択します。

 

 

新しいファイアウォール ルール: HR_Web to HR_App

 

  1. [Name] に 「HR_Web to HR_App」 と入力します。
  2. その他の設定はデフォルトのまま、[OK] をクリックします。

 

 

新しいファイアウォール ルールの構成: HR_App to HR_DB

 

  1. [Destination] が 「hr-db-01a」 の行を選択します。
  2. 歯車のアイコンをクリックし、[Create Firewall Rule] を選択します。
  3. [Service] が 「ICMP Echo」 の行を選択しないでください。

 

 

新しいファイアウォール ルール: HR_App to HR_DB

 

 

 

ファイアウォール ルールの発行

 

  1. [Flow Details] の [Firewall Rules] タブを選択します。作成したばかりのファイアウォール ルールが表示されています。
  2. ここでファイアウォール ルールを編集および削除することもできます。
  3. [Publish] をクリックします。

 

 

名前を入力

 

  1. [Section name] に 「HR_DB_App」 と入力します。
  2. [Default Section Layer 3] を選択します。

 

 

HR_DB_App ファイアウォール ルールの確認

 

  1. [Navigator] パネルで [Firewall] を選択します。

 

 

HR_DB_App の 3 層のファイアウォール ルール

 

ここで、先ほどアプリケーション ルール マネージャーで構成したファイアウォール ルールを確認できます。次に、この HR_DB_App をテストして、Web ページは引き続き解決されるがセキュアでないトラフィックはブロックされるようにします。

 

 

デフォルトのファイアウォール ルールを編集

 

  1. [Default Rule] で鉛筆のアイコンをクリックして、ルールを編集します。
  2. [Action] で [Block] を選択します。
  3. [Save] をクリックします。

 

  1. [Publish Changes] をクリックします。

 

 

HR_DB_App が機能していることの確認

 

[HOL-HR Department] タブを閉じてしまった場合は、次の操作を行います。

  1. Chrome ブラウザーの新しいタブを開きます。
  2. ブックマーク [HR DB App] をクリックします。

HR Employee Salary Database が表示されるはずです。

 

 

コマンド プロンプトを開く

 

メイン コンソールから Web、アプリケーション、データベースの各サーバーへの ping が成功するかどうかテストします。

  1. ping 172.16.60.10
  2. ping 172.16.60.11
  3. ping 172.16.60.12
ping 172.16.60.10
ping 172.16.60.11
ping 172.16.60.12

ICMP トラフィックがブロックされていることがわかります。許可されるトラフィックは HTTPS だけです。

注: この実習ラボでは、web-01a のファイアウォール ルールで SSH が許可されているため、PuTTY でこの仮想マシンにアクセスして次のテストを実行できます。

 

 

PuTTY を起動する

 

ping -c 2 172.16.60.12
  1. 「ping -c 2 172.16.60.12」 と入力します。
  2. 約 10 秒後に <Control> + <C> キーを押して終了します。

web-01a から db-01a へのトラフィックがブロックされていることがわかりました。

 

モジュール 5 のまとめ


モジュール 5 はこれで終了です。

NSX のアプリケーション ルール マネージャー機能の詳細については、表示されている URL から NSX 6.3 ドキュメント センターをご確認ください。

実習ラボのモジュール リスト:

実習ラボ責任者:


 

実習ラボの終了方法

 

実習ラボを終了するには、[終了] ボタンをクリックします。

 

Conclusion

Thank you for participating in the VMware Hands-on Labs. Be sure to visit http://hol.vmware.com/ to continue your lab experience online.

Lab SKU: hol-1803-02-net

Version: 20171101-151258