Integração com Vmware NSX

SINTOMA:

Você precisa integrar o BitDefender GravityZone on-premise com VMware NSX.

APLICA-SE À:

SOLUÇÃO:

REQUERIMENTOS DA INTEGRAÇÃO COM VMWARE NSX:

Os requerimentos desta implementação são:
  • ESXi 5.5 or later for each server
  • vCenter Server 5.5 or later.
  • NSX Manager 6.2.4 or later.
  • VMware Tools 9.1.0 or later.
A VMware recomenda usar as seguintes versões do VMware Tools:
  • 10.0.8 ou superior, para resolver lentidão em VMs após a atualização do VMware Tools no NSX /vCloud Networking e Security (VMware Knowledge Base artigo 2144236).
  • 10.0.9 ou superior para o Windows 10.

PROCEDIMENTO:

A integração com o VMware NSX possui várias etapas o texto abaixo detalha as mesmas.

ETAPA 1: INTEGRANDO O GRAVITYZONE COM VMWARE VCENTER E NSX:

1. Efetue login no console de gerenciamento do BitDefender GravityZone.
2. Clique no menu ‘Configurações‘.
3. Clique na aba ‘Virtualização‘.
4. Clique no botão ‘Adicionar‘.
5. Escolha o item ‘Servidor vCenter‘.
6. Na seção ‘Detalhes do vCenter‘, informe um nome para conexão na caixa ‘Nome‘.
7. Informe na caixa ‘Hostname/IP‘ o nome de host totalmente qualificado ou endereço IP do servidor vCenter.
8. Na seção ‘Autenticação‘, marque a caixa ‘Use as credenciais fornecidas para sincronização com o Active Directory‘ se o vCenter estiver integrado com Active Directory. Informe o usuário administrador e sua senha nas caixas ‘Usuário‘ e ‘Senha‘.
9. Na seção ‘Plataforma instalada‘, marque a opção ‘NSX‘.
10. Na caixa ‘Hostname/IP‘ informe o endereço IP do VMware NSX e credenciais de login nas caixas ‘Usuário‘ e ‘Senha‘.
11. Na opção ‘Opções de tag‘, marque a caixa ‘Criar tag se um virus for encontrado‘ para criar uma tag automaticamente quando um vírus for encontrado.
12. Na opção, ‘Opções adicionais‘, marque a caixa ‘Atribuição de regras restrita da visão de rede’.
13. Pressione o botão ‘Salvar‘.
14. A conexão será criada, localize na extrema direita o botão ‘Registrar Agora‘ e clique nele.

ETAPA 2: REALIZANDO O DEPLOY

Em ambientes VMware com NSX instalado, o BitDefender Security Server Appliance (SVA) será implantado automaticamente em todos os hosts do cluster. Todas as máquinas virtuais em um host serão automaticamente conectadas pelo serviço Guest Introspection ao  Security Server Virtual Applaince (SVA).
1. Faça login no VMware vSphere Web Client.
2. Vá para para ‘Network & Security‘, clique no item ‘Installation‘ e clique na aba ‘Service Deployments’.
3. Clique no botão ‘+‘ (New service deployment). A configuração abrira a janela ‘Deploy Network & Security Services‘.
4. Selecione ‘Guest Introspection‘ e clique em ‘Next‘.
5. Selecione o datacenter e os clusters para implantar o serviço e clique em ‘Next‘.
6. Selecione rede de armazenamento e gerenciamento, clique em ‘Next‘ e depois em ‘Finish‘.
7. Repita os passos de 3 a 6, desta vez escolhendo o serviço ‘Bitdefender service‘. Antes de prosseguir com a instalação, certifique-se de ter conexão de rede entre a rede selecionada e o console on premise do BitDefender GravityZone.
8. Uma vez que o serviço ‘Bitdefender service‘ esteja instalado, ele irá implantar automaticamente o Security Server Virtual Appliance (SVA) em todos os hosts ESXi nos clusters selecionados.

NOTAS:

  • Para obter mais informações sobre como adicionar serviços de parceiros ao NSX, consulte o VMware NSX Documentation Center.
  • Se você escolher ‘Specified‘, durante a seleção do  armazenamento e gerenciamento de rede e selecionar hosts diferentes, esteja certo de verificar no item ‘Agent VM’ se ele está setado ‘Guest Instrospection’ e ‘BitDefender Services’ em ambos hosts.

ASSISTA EM VÍDEO: ETAPAS 1 e 2:

ETAPA 3: AJUSTANDO O SECURITY SERVER VIRTUAL APPLIANCE (SVA)

O BitDefender Security Server Virtual Appliace (SVA) possui requisitos específicos que dependem do número de máquinas a serem protegidas. Para ajustar a configuração de hardware padrão da servidor de segurança:
1. Faça login no ‘VMware vSphere Web Client’.
2. Vá para ‘Hosts and Clusters’.
3. Selecione o cluster onde o SVA está implantado e selecione Related Objects‘ -> aba ‘Virtual Machines‘.
4. Desligue o SVA.
5. Clique com o botão direito do mouse no nome do SVA e escolha ‘Edit settings …’.
6. Na guia ‘Virtual Hardware’, ajuste os valores de CPU e RAM de acordo com suas necessidades. Os valores de referência podem ser vistos no ‘BitDefender Installation Guide’.
7. Clique em ‘OK’.
8. Inicie o SVA.

ETAPA 4: CONFIGURANDO GRUPOS DE SEGURANÇA E APLICANDO POLÍTICAS:

No NSX, as políticas de segurança são atribuídas a grupos de segurança. Um grupo de segurança pode conter vários objetos do vCenter, como datacenters, clusters e máquinas virtuais. Para atribuir uma política de segurança a um grupo de segurança siga estes passos:
1. Efetue login no VMware vSphere Web Client.
2. Vá para ‘Network & Security‘ > ‘Service Composer‘ e clique na aba ‘Security Groups‘.
3. Clique no botão ‘+‘.
4. Na caixa ‘Name‘ informe o nome do grupo. Ex: Quarantine.
5. Clique no item ‘Select objects to include‘. Iremos criar um grupo dinâmico baseado em tags de segurança. Desta forma, você pode agrupar todas as máquinas onde uma infecção foi encontrada.
6. Na dropdown ‘Object type‘ selecione o valor ‘Service tag‘. A seguir selecione os seguintes itens:
ANTI_VIRUS VirusFound threat=high
ANTI_VIRUS VirusFound threat=low
ANTI_VIRUS VirusFound threat=medium
7. Pressione o botão ‘Adicionar‘.
8. Pressione o botão ‘Finish‘.
9. Clique com botão direito no grupo de segurança que você criou e clique em ‘Apply Policy‘.
10. Selecione uma das políticas de segurança pré-definidas que são instaladas quando BitDefender GravityZone é integrado com VMware NSX. Existe uma para cada nível de segurança: permissivo, normal e agressivo. Essas políticas são pré-configuradas com as configurações de proteção recomendadas. Você não pode modificar ou excluir as políticas padrão. Clique em ‘OK‘ para finalizar.

ETAPA 5: APLICAÇÃO DE POLÍTICAS DE SEGURANÇA ESPECÍFICAS:

Uma vez instalada a proteção do Bitdefender, você poderá criar políticas diretamente no console de gerenciamento do BitDefender GravityZone. Uma política especifica configurações de segurança a serem aplicadas à objetos de inventário de rede de destino (computadores, máquinas virtuais ou dispositivos móveis).
Imediatamente após a instalação, objetos do inventário de rede são atribuídos com à uma política padrão, que está pré-configurada com as configurações de proteção recomendadas. Quando a integração NSX está  habilitada, outras três políticas de segurança padrão estão estão disponíveis. Existe uma para cada nível de segurança: permissivo, normal e agressivo. Essas políticas são pré-configuradas com as configurações de proteção recomendadas. Você não pode modificar ou excluir as políticas padrão. Entretanto, você pode criar quantas políticas você precisar com base nos requisitos de segurança, para cada tipo de objeto de rede gerenciado através do console de gerenciamento do BitDefender GravityZone.
1. Efetue login no VMware vSphere Web Client.
2. Vá para ‘Network & Security‘ > ‘Service Composer‘ e clique na aba ‘Security Policies‘.
3. Clique no botão ‘+’ (New security policie).
4. Na caixa ‘Name‘ informe o nome da política. Ex: BD AV.
5. Clique no item ‘Guest Introspection Services‘.
6. Na janela ‘Add Guest Introspection Services‘ informe na caixa ‘Name‘ o nome do serviço. Ex: BD AV.
7. Defina o campo ‘Action‘ com o valor ‘Apply‘.
8. Na caixa ‘Services‘ selecione ‘BitDefender‘.
9. Na caixa ‘Service Profile‘ selecione a política que deseja usar. Isto pode ser uma política pré-definida ou outra que você tenha criado no console do BitDefender GravityZone.
10. Na caixa ‘State‘ selecione o valor ‘Enable‘ para habilitar a política.
11. Pressione ‘OK‘. A política será criada. Clique em ‘Finish‘ para terminar.
12. Aplicaremos a política agora à um dos grupos existentes.
13. Clique no menu ‘Service composer‘ -> ‘Service Groups‘.
14. Localize o grupo que deseja aplicar a política e clique com botão direito sobre o mesmo e escolha ‘Apply Policy‘.
15.  Marque a política que você criou e pressione ‘OK‘.
16. A política será aplicada ao grupo alvo.

ASSISTA O VÍDEO: ETAPAS 4 e 5:

Anterior A sincronização do Active Directory com console cloud é muito lenta
Próxima Integração com Vmware vShield