Error

Unable to initialize the simulation player:

Please reload the page or report this error to:
hol-feedback@vmware.com

This demo file may be incomplete or damaged. Please reload the page or download again from the VMware Demo Library:

For VMware partners:
www.vmware.com/go/partnerdemos

For VMware employees:
www.vmware.com/go/demos

Carregando

Error

Your web browser doesn't support some required capabilities.

This demo works best with the latest version of Chrome, Firefox, Safari, or Internet Explorer.

This simulation works best with the latest version of Chrome, Firefox, Safari, or Internet Explorer.

Error

This demo file is incomplete or damaged. Please reload the page or download again from the VMware Demo Library:

For VMware partners:
www.vmware.com/go/partnerdemos

For VMware employees:
www.vmware.com/go/demos

This simulation did not load correctly. Please reload the page or report this error to:
hol-feedback@vmware.com

Error

Visit the VMware Demo Library
to get more demos!

For VMware partners:
www.vmware.com/go/partnerdemos

For VMware employees:
www.vmware.com/go/demos

The demo will restart in 5 seconds.

Hit Esc to cancel.

X
↩ Retornar ao laboratório
HOL-1829-01: Managing Security for Public Clouds (AWS)

This is an interactive demo

Drive it with your mouse, your finger, or just use the arrow keys.

Use Learn mode to learn the demo. The orange boxes show where to click.

Use Present mode to hide the orange boxes and notes.

Use Autoplay mode to make it play like a movie. Hit the Esc key to stop.

Click a Shortcut to jump to a specific part of the demo.

X
Ocultar notas
Restaurar notas
Abrir janela de notas
Aumentar tamanho da fonte
Reduzir tamanho da fonte

Cette partie du laboratoire d’essai en ligne se présente sous forme de simulation interactive. Elle vous permet d’expérimenter des procédures dont l’exécution au sein de l’environnement de laboratoire en ligne demanderait trop de temps et de ressources. Dans cette simulation, vous pouvez utiliser l’interface logicielle comme si vous interagissiez avec un environnement en ligne.

Les zones délimitées par un cadre orange indiquent où cliquer. Vous pouvez vous servir des touches fléchées vers la gauche et la droite pour naviguer dans la simulation.

Connexion à l’interface utilisateur de vRealize Network Insight

Connectez-vous au portail en utilisant les informations d’authentification fournies.

  1. Cliquez sur Login pour continuer.

Planification de la sécurité : Cloud AWS

vRealize Network Insight étend la planification de la micro-segmentation aux structures AWS. L’application CRM a déjà été créée dans le réseau Virtual Private Cloud (VPC) d’AWS.

La procédure de création de l’application a été traitée dans le module 1.

  1. Cliquez sur l’icône Plan Security sous le menu de gauche de vRealize Network Insight.
  2. Cliquez sur Plan Security.
  3. Cliquez sur le menu déroulant Entity.
  4. Cliquez sur Application.
  5. Cliquez sur le menu déroulant Select One.
  6. Cliquez sur CRM.
  7. Cliquez sur Analyze.

Examen de l’application à trois niveaux : étape par étape

Vous allez maintenant examiner la configuration de l’application à trois niveaux pour comprendre le dispositif de sécurité et de communication.

  1. Cliquez sur le micro-segment App.
  2. Cliquez sur Keep Focus.
  3. Cliquez sur la ligne jaune pour examiner les flux. Cette action affiche les flux de Web à App.

Dans cette vue, notez que niveau App communique avec le niveau Web sur le port 8080.

  1. Pour continuer, cliquez sur X.

Le focus étant placé sur le micro-segment App,

  1. cliquez sur la ligne bleue pour examiner les flux. Cette action affiche les flux d’App à DB.

Dans cette vue, notez que niveau « App Â» communique avec le niveau « DB Â» sur le port 3306.

  1. Pour continuer, cliquez sur X.

Le focus étant placé sur le micro-segment App,

  1. cliquez sur la ligne jaune pour examiner les flux. Cette action affiche les flux de DC Virtual à App.

Dans cette vue, notez que niveau DC Virtual (jump box) communique avec le niveau App sur le port 22.

  1. Pour continuer, cliquez sur X.

Le focus étant placé sur le micro-segment App,

  1. cliquez sur la ligne bleue pour examiner les flux. Cette action affiche les flux d’App à Shared Virtual.

Dans cette vue, notez que le niveau App communique avec Shared Virtual sur les ports 53 et 514.

  1. Pour continuer, cliquez sur X.
  1. Cliquez sur le micro-segment DB.
  2. Cliquez sur Keep Focus.
  3. Cliquez sur la ligne bleue pour examiner les flux. Cette action affiche les flux de DB à Shared Virtual.

Par défaut, le niveau DB doit envoyer les journaux à aws-log-server sur le port 514 (Syslog), mais le flux indique qu’il n’existe qu’un seul service sur le port 53 : aws-dns-server. De fait, il n’y a pas de communication avec le serveur syslog, qui correspond au service de sauvegarde.

  1. Pour continuer, cliquez sur X.

Requêtes de pare-feu pour l’application CRM

Pour résoudre le problème, l’administrateur exécute trois requêtes de pare-feu pour déterminer la raison pour laquelle les flux de DB à Shared Virtual n’atteignent pas le port 514 (syslog).  Ces requêtes ont été enregistrées pour les besoins de la présente simulation interactive.

  1. Cliquez sur l’onglet Plan Application ’CRM’.
  2. Cliquez sur Duplicate dans le menu déroulant.
  1. Cliquez sur l’icône Saved Searches (cinquième icône dans le menu de gauche).
  2. Cliquez sur Saved Searches.
  3. Cliquez sur la chaîne de recherche firewall action of flows where dst vm = ’aws-log-server’.  

Cette requête renvoie 5 résultats : 4 actions Allow (pour web et midtier) et 1 action Deny (pour DB).

  1. Cochez la case DENY pour pouvoir examiner la règle de refus.

Notez que la règle DENY empêche crm-database de communiquer avec aws-log-server sur le port 514, ce qui indique que l’administrateur AWS a oublié d’ajouter une règle autorisant le trafic entre la base de données crm-database et le serveur syslog aws-log-Server.

  1. Cliquez sur l’onglet Plan Application ’CRM’.
  2. Cliquez sur Duplicate dans le menu déroulant.
  1. Cliquez sur l’icône Saved Searches (cinquième icône dans le menu de gauche).
  2. Cliquez sur Saved Searches.
  3. Cliquez sur la chaîne de recherche aws firewall rule where src vm = ’crm-web1’ and dst vm = ’aws-log-server’.

Cette recherche renvoie 3 résultats : 1 règle entrante et 2 règles sortantes. Les résultats de cette requête valident la communication de crm-web1 à aws-log-server.

  1. Cliquez sur l’onglet Plan Application ’CRM’.
  2. Cliquez sur Duplicate dans le menu déroulant.
  1. Cliquez sur l’icône Saved Searches (cinquième icône dans le menu de gauche).
  2. Cliquez sur Saved Searches.
  3. Cliquez sur la chaîne de recherche aws firewall rule where src vm = ’crm-database’ and dst vm = ’aws-log-server’.

Cette recherche retourne 2 résultats pour les règles sortantes, ce qui explique mieux le comportement de la règle de pare-feu de crm-database à aws-log-server.

Voilà qui conclut la simulation interactive.

Pour revenir au laboratoire, cliquez sur le lien dans l’angle supérieur droit de la fenêtre ou fermez cet onglet de navigateur.

Copyright © 2017 VMware, Inc. All rights reserved.