Error

Unable to initialize the simulation player:

Please reload the page or report this error to:
hol-feedback@vmware.com

This demo file may be incomplete or damaged. Please reload the page or download again from the VMware Demo Library:

For VMware partners:
www.vmware.com/go/partnerdemos

For VMware employees:
www.vmware.com/go/demos

Wird geladen

Error

Your web browser doesn't support some required capabilities.

This demo works best with the latest version of Chrome, Firefox, Safari, or Internet Explorer.

This simulation works best with the latest version of Chrome, Firefox, Safari, or Internet Explorer.

Error

This demo file is incomplete or damaged. Please reload the page or download again from the VMware Demo Library:

For VMware partners:
www.vmware.com/go/partnerdemos

For VMware employees:
www.vmware.com/go/demos

This simulation did not load correctly. Please reload the page or report this error to:
hol-feedback@vmware.com

Error

Visit the VMware Demo Library
to get more demos!

For VMware partners:
www.vmware.com/go/partnerdemos

For VMware employees:
www.vmware.com/go/demos

The demo will restart in 5 seconds.

Hit Esc to cancel.

X
↩ Zurück zum Lab
HOL-1829-01: Managing Security for Public Clouds (AWS)

This is an interactive demo

Drive it with your mouse, your finger, or just use the arrow keys.

Use Learn mode to learn the demo. The orange boxes show where to click.

Use Present mode to hide the orange boxes and notes.

Use Autoplay mode to make it play like a movie. Hit the Esc key to stop.

Click a Shortcut to jump to a specific part of the demo.

X
Notizen ausblenden
Notizen wieder einblenden
Fenster für Notizen öffnen
Schriftart vergrößern
Schriftart verkleinern

Dieser Teil wird als interaktive Hands-on Labs-Simulation durchgeführt. Dadurch können Sie Schritte nachvollziehen, die zu zeitaufwendig oder ressourcenintensiv für die Hands-on Lab-Umgebung sind. In dieser Simulation können Sie die Softwareschnittstelle wie eine Live-Umgebung verwenden.

Die orangefarbenen Felder zeigen Ihnen die Bereiche an, auf die Sie klicken müssen. Mit den linken und rechten Pfeiltasten können Sie in beide Richtungen durch die Simulation navigieren.

Bei der Benutzeroberfläche von vRealize Network Insight anmelden

Melden Sie sich beim Portal an. Die Anmeldedaten lauten wie folgt:

  1. Klicken Sie auf Login, um fortzufahren.

Sicherheitsplanung â€“ AWS Cloud

Mit vRealize Network Insight können Sie die Mikrosegmentierungsplanung auf AWS-Konstrukte ausweiten. Die CRM Application in AWS Virtual Private Cloud (VPC) wurde bereits erstellt.

Die Schritte zum Erstellen einer Anwendung wurden in Modul 1 erläutert.

  1. Klicken Sie im linken Menübereich von vRealize Network Insight auf das Symbol für die Sicherheitsplanung.
  2. Klicken Sie auf Plan Security.
  3. Klicken Sie auf das Dropdown-Menü Entity.
  4. Klicken Sie auf Application.
  5. Klicken Sie auf das Dropdown-Menü Select One.
  6. Klicken Sie auf CRM.
  7. Klicken Sie auf Analyze.

Schrittweise Untersuchung der dreischichtigen Anwendung

Sehen Sie sich die Einrichtung der dreischichtigen Anwendung an, um die Sicherheits- und Kommunikationsstrategie besser zu verstehen.

  1. Klicken Sie auf das Mikrosegment App.
  2. Klicken Sie auf Keep Focus.
  3. Klicken Sie auf die gelbe Linie, um die Datenflüsse genauer zu untersuchen. Die Datenflüsse zwischen Web und App werden sichtbar.

In dieser Ansicht können Sie sehen, dass die App-Schicht über Port 8080 mit der Web-Schicht kommuniziert.

  1. Klicken Sie auf X, um fortzufahren.

Während der Fokus auf dem Mikrosegment App liegt:

  1. Klicken Sie auf die blaue Linie, um die Datenflüsse genauer zu untersuchen. Die Datenflüsse zwischen App und DB werden sichtbar.

In dieser Ansicht können Sie sehen, dass die App-Schicht über Port 3306 mit der DB-Schicht kommuniziert.

  1. Klicken Sie auf X, um fortzufahren.

Während der Fokus auf dem Mikrosegment App liegt:

  1. Klicken Sie auf die gelbe Linie, um die Datenflüsse genauer zu untersuchen. Die Datenflüsse zwischen DC Virtual und App werden sichtbar.

In dieser Ansicht können Sie sehen, dass DC Virtual (Jumpbox) über Port 22 mit der App-Schicht kommuniziert.

  1. Klicken Sie auf X, um fortzufahren.

Während der Fokus auf dem Mikrosegment App liegt:

  1. Klicken Sie auf die blaue Linie, um die Datenflüsse genauer zu untersuchen. Die Datenflüsse zwischen App und Shared Virtual werden sichtbar.

In dieser Ansicht können Sie sehen, dass die App-Schicht und Shared Virtual Ã¼ber Port 53 bzw. Port 514 kommunizieren.

  1. Klicken Sie auf X, um fortzufahren.
  1. Klicken Sie auf das Mikrosegment DB.
  2. Klicken Sie auf Keep Focus.
  3. Klicken Sie auf die blaue Linie, um die Datenflüsse genauer zu untersuchen. Die Datenflüsse zwischen DB und Shared Virtual werden sichtbar.

Vom Konzept her sollte „DB“ Protokolle per Push an aws-log-server senden, also über Port 514 (Syslog). Aus dem Datenfluss geht jedoch nur ein Service hervor, nämlich aws-dns-server über Port 53. Im Grunde findet keine Kommunikation mit dem Syslog-Server statt, der als Backup-Service fungiert.

  1. Klicken Sie auf X, um fortzufahren.

Firewall-Abfragen für „CRM Application“

Im Zuge der weiteren Fehlerbehebung führt der Administrator drei Firewall-Abfragen durch. Er möchte herausfinden, weshalb zwischen „DB“ und „Shared Virtual“ auf Port 514 (Syslog) keine Datenflüsse vorhanden sind. Die Abfragen wurden zum Zweck dieser interaktiven Simulation gespeichert.

  1. Klicken Sie auf die Registerkarte plan Application 'CRM'.
  2. Klicken Sie im Dropdown-Menü auf Duplicate.
  1. Klicken Sie auf das Symbol für gespeicherte Suchen (das fünfte Symbol im linken Menübereich).
  2. Klicken Sie auf Saved Searches.
  3. Klicken Sie auf die Suchzeichenfolge firewall action of flows where dst vm = 'aws-log-server'.  

Es werden fünf Ergebnisse angezeigt: vier mit der Aktion „Allow“ (Web und Midtier) und eine mit der Aktion „Deny“ (DB).

  1. Klicken Sie auf das Kontrollkästchen DENY, um sich auf die Regel mit der Aktion „Deny“ zu konzentrieren.

Die Regel mit der Aktion DENY verhindert die Kommunikation zwischen crm-database und aws-log-server über Port 514. Vermutlich hat der AWS-Administrator vergessen, eine Regel hinzuzufügen, die Datenverkehr zwischen der Datenbank crm-database und dem Syslog-Server aws-log-Server zulässt.

  1. Klicken Sie auf die Registerkarte plan Application 'CRM'.
  2. Klicken Sie im Dropdown-Menü auf Duplicate.
  1. Klicken Sie auf das Symbol für gespeicherte Suchen (das fünfte Symbol im linken Menübereich).
  2. Klicken Sie auf Saved Searches.
  3. Klicken Sie auf die Suchzeichenfolge aws firewall rule where src vm = 'crm-web1' and dst vm = 'aws-log-server'.

Es werden drei Ergebnisse angezeigt: eine eingehende Regel (Inbound) und zwei ausgehende Regeln (Outbound). Mit den Ergebnissen dieser Abfrage wird die Kommunikation zwischen crm-web1 und aws-log-server bestätigt.

  1. Klicken Sie auf die Registerkarte plan Application 'CRM'.
  2. Klicken Sie im Dropdown-Menü auf Duplicate.
  1. Klicken Sie auf das Symbol für gespeicherte Suchen (das fünfte Symbol im linken Menübereich).
  2. Klicken Sie auf Saved Searches.
  3. Klicken Sie auf die Suchzeichenfolge aws firewall rule where src vm = 'crm-database' and dst vm = 'aws-log-server'.

Daraufhin werden zwei ausgehende Regeln (Outbound) als Ergebnis angezeigt, die das Verhalten der Firewall-Regel zwischen crm-database und aws-log-server näher erläutern.

Damit ist die interaktive Simulation abgeschlossen. 

Um zum Hands-on Lab zurückzukehren, klicken Sie rechts oben auf den Link oder schließen Sie die Registerkarte des Browsers.

Copyright © 2017 VMware, Inc. All rights reserved.