Error

Unable to initialize the simulation player:

Please reload the page or report this error to:
hol-feedback@vmware.com

This demo file may be incomplete or damaged. Please reload the page or download again from the VMware Demo Library:

For VMware partners:
www.vmware.com/go/partnerdemos

For VMware employees:
www.vmware.com/go/demos

Carregando

Error

Your web browser doesn't support some required capabilities.

This demo works best with the latest version of Chrome, Firefox, Safari, or Internet Explorer.

This simulation works best with the latest version of Chrome, Firefox, Safari, or Internet Explorer.

Error

This demo file is incomplete or damaged. Please reload the page or download again from the VMware Demo Library:

For VMware partners:
www.vmware.com/go/partnerdemos

For VMware employees:
www.vmware.com/go/demos

This simulation did not load correctly. Please reload the page or report this error to:
hol-feedback@vmware.com

Error

Visit the VMware Demo Library
to get more demos!

For VMware partners:
www.vmware.com/go/partnerdemos

For VMware employees:
www.vmware.com/go/demos

The demo will restart in 5 seconds.

Hit Esc to cancel.

X
↩ Retornar ao laboratório
HOL-1829-01: Managing Security for Public Clouds (AWS)

This is an interactive demo

Drive it with your mouse, your finger, or just use the arrow keys.

Use Learn mode to learn the demo. The orange boxes show where to click.

Use Present mode to hide the orange boxes and notes.

Use Autoplay mode to make it play like a movie. Hit the Esc key to stop.

Click a Shortcut to jump to a specific part of the demo.

X
Ocultar notas
Restaurar notas
Abrir janela de notas
Aumentar tamanho da fonte
Reduzir tamanho da fonte

Esta parte do laboratório é apresentada como uma Simulação interativa dos laboratórios práticos. Com isso, você poderá praticar as etapas. Elas consistem em um processo longo ou que exige muitos recursos para ser feito em tempo real no ambiente do laboratório. Nesta simulação, você poderá usar a interface do software como se estivesse interagindo em um ambiente real.

As caixas de cor laranja mostram onde clicar, e as teclas de seta para a esquerda e para a direita também podem ser usadas para percorrer a simulação em qualquer direção.

Login na interface de usuário do vRealize Network Insight

Faça login no portal.  Credenciais fornecidas.

  1. Clique em Login para continuar.

Planejamento de segurança: nuvem AWS

O vRealize Network Insight estende o planejamento da microssegmentação para estruturas da AWS. O aplicativo "CRM" na Virtual Private Cloud (VPC) da AWS já foi criado.

As etapas de criação de aplicativo foram discutidas no Módulo 1.

  1. Clique no ícone Plan Security no painel do menu esquerdo do vRealize Network Insight.
  2. Clique em Plan Security.
  3. Clique no menu suspenso Entity.
  4. Clique em Application.
  5. Clique no menu suspenso Select One.
  6. Clique em CRM.
  7. Clique em Analyze.

Exploração do aplicativo de três camadas: passo a passo

Explore a configuração do aplicativo de três camadas para compreender o comportamento de segurança e de comunicação.

  1. Clique no microssegmento App.
  2. Clique em Keep Focus.
  3. Clique na Linha amarela para explorar os fluxos. Isso mostrará os fluxos da Web até o App.

Nesta visualização, observe que a camada do App se comunica com a camada da Web na porta 8080.

  1. Clique em X para continuar.

Com o foco no microssegmento App:

  1. Clique na Linha azul para explorar os fluxos. Isso mostrará os fluxos do App até o DB.

Nesta visualização, observe que a camada do App se comunica com a camada do DB na porta 3306.

  1. Clique em X para continuar.

Com o foco no microssegmento App:

  1. Clique na Linha amarela para explorar os fluxos. Isso mostrará os fluxos de DC Virtual até App.

Nesta visualização, observe que DC Virtual (host administrativo seguro) se comunica com a camada do App na porta 22.

  1. Clique em X para continuar.

Com o foco no microssegmento App:

  1. Clique na Linha azul para explorar os fluxos. Isso mostrará os fluxos do App até Shared Virtual.

Nesta visualização, a camada do App se comunica com Shared Virtual nas portas 53 e 514, respectivamente.

  1. Clique em X para continuar.
  1. Clique no microssegmento DB.
  2. Clique em Keep Focus.
  3. Clique na Linha azul para explorar os fluxos. Isso mostrará os fluxos do DB até Shared Virtual.

O DB foi planejado para enviar logs para "aws-log-server", ou seja, na porta 514 (Syslog), mas o fluxo revela que há somente um serviço, aws-dns-server da porta 53. Em termos práticos, não há comunicação com o servidor syslog, que é o serviço de backup.

  1. Clique em X para continuar.

Consultas de firewall para o aplicativo de CRM

Para tratamento adicional do problema, o administrador pode executar três consultas de firewall para estabelecer por que o DB para Shared Virtual não tem fluxos para a porta 514 (syslog).  As consultas foram salvas para uso nesta simulação interativa.

  1. Clique na guia plan Application 'CRM'.
  2. Clique no menu suspenso Duplicate.
  1. Clique no ícone Saved Searches (quinto ícone no painel do menu esquerdo).
  2. Clique em Saved Searches.
  3. Clique na string de pesquisa: firewall action of flows where dst vm = 'aws-log-server'.  

Esse procedimento retornará cinco resultados: quatro Allow (para Web e midtier) e um Deny (para DB).

  1. Clique na caixa de seleção DENY para direcionar o foco para a regra de negação.

A regra DENY impede que o crm-database se comunique com o aws-log-server na porta 514, o que indica que o administrador da AWS esqueceu de adicionar a regra para permitir o tráfego do crm-database (banco de dados) para o aws-log-Server (servidor syslog).

  1. Clique na guia plan Application 'CRM'.
  2. Clique no menu suspenso Duplicate.
  1. Clique no ícone Saved Searches (quinto ícone no painel do menu esquerdo).
  2. Clique em Saved Searches.
  3. Clique na string de pesquisa: aws firewall rule where src vm = 'crm-web1' and dst vm = 'aws-log-server'.

Isso retornará três resultados: uma regra de entrada e duas regras de saída. Os resultados dessa consulta validam a comunicação de "crm-web1" com "aws-log-server"

  1. Clique na guia plan Application 'CRM'.
  2. Clique no menu suspenso Duplicate.
  1. Clique no ícone Saved Searches (quinto ícone no painel do menu esquerdo).
  2. Clique em Saved Searches.
  3. Clique na string de pesquisa: aws firewall rule where src vm = 'crm-database' and dst vm = 'aws-log-server'.

Isso retornará dois resultados para regras de saída, que explicam mais detalhadamente o comportamento da regra de firewall do crm-database para o aws-log-server.

Com isso, concluímos a simulação interativa.

Para retornar ao laboratório, clique no link no canto superior direito ou feche esta guia do navegador.

Copyright © 2017 VMware, Inc. All rights reserved.