Настройка и применение политики NSX (Policy) для защиты от сетевых угроз в инфраструктуре под управлением VMware NSX-T Manager

Чтобы настроить политику NSX для защиты от сетевых угроз в инфраструктуре под управлением VMware NSX-T Manager, выполните следующие действия:

1. Создайте профиль службы NSX (Service Profile) для службы Kaspersky Network Protection следующим образом:
   1. В веб-консоли VMware NSX Manager в разделе Security → Network Introspection Settings перейдите на закладку Service Profiles и в раскрывающемся списке Partner Service выберите службу Kaspersky Network Protection.
   2. Нажмите на кнопку Add Service Profile и укажите следующие параметры:
      • Service Profile Name – произвольное название профиля службы NSX.
      • Vendor Template – Default Configuration.
   3. Сохраните профиль службы Kaspersky Network Protection (кнопка Save).
2. Настройте цепочку служб NSX (Service Chain) следующим образом:
   1. В веб-консоли VMware NSX Manager в разделе Security → Network Introspection Settings перейдите на закладку Service Chains.
   2. Нажмите на кнопку Add Chain и укажите следующие параметры:
      • Service Chain Name – произвольное название цепочки служб NSX.
      • Service segment – сегмент службы NSX (Service Segment), который вы указали при развертывании SVM с компонентом Защита от сетевых угроз.
      • Forward Path – профиль службы, которая должна обрабатывать трафик. Вам нужно выбрать профиль службы NSX, созданный на предыдущем шаге процедуры (профиль службы Kaspersky Network Protection). Окно для выбора профиля службы NSX открывается по ссылке Set Forward Path.

        В цепочку служб NSX, которая содержит профиль службы Kaspersky Network Protection, не рекомендуется добавлять другие профили служб NSX.

      • Reverse Path – убедитесь, что установлен флажок Inverse Forward Path.
      • Failure Policy – Allow.
   3. Сохраните цепочку служб NSX (кнопка Save).
3. Создайте политику NSX для сетевой защиты следующим образом:
   1. В веб-консоли VMware NSX Manager в разделе Security → Network Introspection (E-W) нажмите на кнопку Add Policy и укажите следующие параметры:
      • Name – произвольное название политики.
      • Redirect To – цепочка служб NSX, на которую перенаправляется трафик. Вам нужно выбрать цепочку служб NSX, созданную на предыдущем шаге процедуры.
   2. Сохраните политику (кнопка Publish).
4. Если вы хотите проверять входящий трафик виртуальных машин, создайте в политике NSX правило для входящего трафика следующим образом:
   1. Выберите созданную политику и нажмите на кнопку Add Rule.
   2. Укажите следующие параметры:
      • Name – произвольное название правила.
      • Sources – Any.
      • Destinations – группа NSX (Group), в которую входят защищаемые виртуальные машины.
      • Services – Any.
      • Applied To – группа NSX, в которую входят защищаемые виртуальные машины.
      • Action – Redirect.
   3. Сохраните политику (кнопка Publish).
5. Если вы хотите проверять исходящий трафик виртуальных машин, создайте в политике NSX правило для исходящего трафика следующим образом:
   1. Выберите созданную политику и нажмите на кнопку Add Rule.
   2. Укажите следующие параметры:
      • Name – произвольное название правила.
      • Sources – группа NSX, в которую входят защищаемые виртуальные машины.
      • Destinations – Any.
      • Services – Any.
      • Applied To – группа NSX, в которую входят защищаемые виртуальные машины.
      • Action – Redirect.
   3. Сохраните политику NSX (кнопка Publish).

Если вы создали оба правила, настроенная политика будет перенаправлять входящий и исходящий трафик защищаемых виртуальных машин службе Kaspersky Network Protection для проверки.

Подробнее о настройке политик NSX см. в документации к продуктам VMware и в Базе знаний.