Error

Unable to initialize the simulation player:

Please reload the page or report this error to:
hol-feedback@vmware.com

This demo file may be incomplete or damaged. Please reload the page or download again from the VMware Demo Library:

For VMware partners:
www.vmware.com/go/partnerdemos

For VMware employees:
www.vmware.com/go/demos

Caricamento in corso

Error

Your web browser doesn't support some required capabilities.

This demo works best with the latest version of Chrome, Firefox, Safari, or Internet Explorer.

This simulation works best with the latest version of Chrome, Firefox, Safari, or Internet Explorer.

Error

This demo file is incomplete or damaged. Please reload the page or download again from the VMware Demo Library:

For VMware partners:
www.vmware.com/go/partnerdemos

For VMware employees:
www.vmware.com/go/demos

This simulation did not load correctly. Please reload the page or report this error to:
hol-feedback@vmware.com

Error

Visit the VMware Demo Library
to get more demos!

For VMware partners:
www.vmware.com/go/partnerdemos

For VMware employees:
www.vmware.com/go/demos

The demo will restart in 5 seconds.

Hit Esc to cancel.

X
↩ Torna al laboratorio
HOL-1829-01: Managing Security for Public Clouds (AWS)

This is an interactive demo

Drive it with your mouse, your finger, or just use the arrow keys.

Use Learn mode to learn the demo. The orange boxes show where to click.

Use Present mode to hide the orange boxes and notes.

Use Autoplay mode to make it play like a movie. Hit the Esc key to stop.

Click a Shortcut to jump to a specific part of the demo.

X
Nascondi note
Ripristina note
Apri finestra note
Aumenta dimensioni caratteri
Riduci dimensioni caratteri

Questa parte del laboratorio è presentata come simulazione interattiva dell'Hands-on Lab per consentirti di provare procedure che, se eseguite in tempo reale in un ambiente di sperimentazione, richiederebbero troppo tempo e molte risorse. In questa simulazione puoi utilizzare l'interfaccia software proprio come in un ambiente live.

Le caselle arancioni indicano l'area su cui fare clic. Per spostarti nella simulazione puoi utilizzare anche i tasti di direzione sinistro e destro.

Login all'interfaccia utente di vRealize Network Insight

Effettua l'accesso al portale  con le seguenti credenziali.

  1. Fai clic su Login per continuare.

Pianificazione della sicurezza: cloud AWS

vRealize Network Insight estende la pianificazione della microsegmentazione ai costrutti AWS. L'applicazione CRM in AWS Virtual Private Cloud (VPC) è già stata creata.

La procedura per la creazione delle applicazioni è stata discussa nel modulo 1.

  1. Fai clic sull'icona per la pianificazione della sicurezza sotto il riquadro del menu a sinistra di vRealize Network Insight.
  2. Fai clic su Plan Security.
  3. Fai clic sul menu a discesa Entity (Entità).
  4. Fai clic su Application.
  5. Fai clic sul menu a discesa Select One (Seleziona uno).
  6. Fai clic su CRM.
  7. Fai clic su Analyze.

Analisi dettagliata dell'applicazione a tre livelli

Vediamo ora la procedura di configurazione dell'applicazione a tre livelli per comprendere l'ambiente di sicurezza e comunicazione.

  1. Fai clic sul microsegmento App.
  2. Fai clic su Keep Focus.
  3. Fai clic sulla linea gialla per esplorare i flussi. Verranno visualizzati i flussi da Web ad App.

In questa vista, osserva che il livello App comunica con il livello Web sulla porta 8080.

  1. Fai clic su X per continuare.

Sempre con il microsegmento App in primo piano:

  1. Fai clic sulla linea azzurra per esplorare i flussi. Verranno visualizzati i flussi da App a DB.

In questa vista, osserva che il livello App comunica con il livello DB sulla porta 3306.

  1. Fai clic su X per continuare.

Sempre con il microsegmento App in primo piano:

  1. Fai clic sulla linea gialla per esplorare i flussi. Verranno visualizzati i flussi da DC Virtual (DC virtuale) ad App.

In questa vista, osserva che il livello DC Virtual (JumpBox) comunica con il livello App sulla porta 22.

  1. Fai clic su X per continuare.

Sempre con il microsegmento App in primo piano:

  1. Fai clic sulla linea azzurra per esplorare i flussi. Verranno visualizzati i flussi da App a Shared Virtual (Virtuale condiviso).

In questa vista, osserva che il livello App comunica con il livello Shared Virtual rispettivamente sulle porte 53 e 514.

  1. Fai clic su X per continuare.
  1. Fai clic sul microsegmento DB.
  2. Fai clic su Keep Focus.
  3. Fai clic sulla linea azzurra per esplorare i flussi. Verranno visualizzati i flussi da DB a Shared Virtual.

Per impostazione predefinita, il database dovrebbe eseguire il pushing dei registri verso aws-log-server, ossia sulla porta 514 (Syslog), ma nel flusso viene riportato un unico servizio, ossia la porta 53 aws-dns-server. Effettivamente, non viene rilevata alcuna comunicazione con il server syslog (che è il servizio di backup).

  1. Fai clic su X per continuare.

Query del firewall per l'applicazione CRM

Per risolvere il problema, l'amministratore esegue tre query del firewall per individuare il motivo per cui nel riquadro DB to Shared Virtual (Da DB a Virtuale condiviso) non sono presenti flussi per la porta 514 (syslog). Le query sono state salvate per l'esecuzione di questa simulazione interattiva.

  1. Fai clic sulla scheda plan Application 'CRM' (Pianifica applicazione "CRM").
  2. Fai clic su Duplicate (Duplica) nel menu a discesa.
  1. Fai clic sull'icona delle ricerche salvate (la quinta icona nel riquadro del menu a sinistra).
  2. Fai clic su Saved Searches (Ricerche salvate).
  3. Fai clic sulla stringa:  firewall action of flows where dst vm = 'aws-log-server' (firewall azione sui flussi in cui dst vm = "aws-log-server").  

Questa operazione restituisce 5 risultati: 4 ALLOW (Consenti) (per web e midtier) e 1 DENY (Rifiuta) (per database).

  1. Fai clic sulla casella di controllo DENY per passare alla regola di negazione.

Nota che la regola DENY impedisce la comunicazione tra crm-database e aws-log-server sulla porta 514 a indicare che l'amministratore di AWS ha dimenticato di aggiungere una regola per consentire il traffico da (database) crm-database a (server syslog) aws-log-server.

  1. Fai clic sulla scheda plan Application 'CRM'.
  2. Fai clic su Duplicate nel menu a discesa.
  1. Fai clic sull'icona delle ricerche salvate (la quinta icona nel riquadro del menu a sinistra).
  2. Fai clic su Saved Searches.
  3. Fai clic sulla stringa: aws firewall rule where src vm = 'crm-web1' and dst vm = 'aws-log-server' (aws regola firewall in cui src vm = "crm-web1" e dst vm = "aws-log-server").

Verranno visualizzati 3 risultati: 1 regola Inbound (Traffico in entrata) e 2 regole Outbound (Traffico in uscita). I risultati di questa query convalidano la comunicazione da crm-web1 ad aws-log-server.

  1. Fai clic sulla scheda plan Application 'CRM'.
  2. Fai clic su Duplicate nel menu a discesa.
  1. Fai clic sull'icona delle ricerche salvate (la quinta icona nel riquadro del menu a sinistra).
  2. Fai clic su Saved Searches.
  3. Fai clic sulla stringa: aws firewall rule where src vm = 'crm-database' and dst vm = 'aws-log-server' (aws regola firewall in cui src vm = "crm-database" e dst vm = "aws-log-server").

Verranno visualizzati 2 risultati per le regole del traffico in uscita, che descrivono in modo più dettagliato il comportamento della regola firewall da crm-database ad aws-log-server.

La simulazione interattiva termina qui.

Per tornare al laboratorio, fai clic sul link nell'angolo in alto a destra oppure chiudi questa scheda del browser.

Copyright © 2017 VMware, Inc. All rights reserved.