将NSX网络虚拟化与扫描集成

这种整合现在已经走到了尽头

根据我方临终的声明,本文档中详细描述的NSX Manager集成已从InsightVM中删除,不再支持。

虚拟环境的流动性非常强,因此很难从安全角度对其进行管理。资产持续在线和离线。随着业务需求的变化,管理员将它们重新用于不同的操作系统或应用程序。跟踪虚拟资产是一项挑战,而对其强制执行安全策略则是一项更大的挑战。

vAsset扫描功能通过将InsightVM扫描与VMware NSX网络虚拟化平台集成,解决了这一难题。通过将扫描引擎注册为网络中的安全服务,集成使扫描引擎可以直接访问NSX虚拟资产网络。这种方法有几个好处:

  • 集成将自动创建InsightVM站点,从而消除手动站点配置。
  • 集成消除了扫描凭据的需要。作为NSX网络中的授权安全服务,扫描引擎不需要额外的身份验证就可以从资产中收集大量数据。
  • NSX的安全管理控制使用扫描结果自动应用安全策略到资产,为IT或安全团队节省时间。例如,如果扫描标记出违反特定策略的漏洞,NSX可以隔离受影响的资产,直到执行适当的补救步骤。

vAsset扫描功能是与vAsset发现不同的功能和许可证选项,后者与创建稍后可以扫描的动态站点有关。有关该功能的详细信息,请参阅管理资产的动态发现

NSX集成站点中的活动

通过此NSX集成过程创建站点时,无法在站点配置中执行以下操作:

  • 编辑作为集成过程一部分动态添加的资产。
  • 更改扫描引擎,该引擎将自动配置为集成过程的一部分。
  • 修改分配的扫描模板为“Full Audit”。
  • 添加扫描凭证,这是不必要的,因为集成为InsightVM提供了对目标资产的深度访问,否则凭证将提供这种深度访问。

vAsset扫描功能的要求

要使用vAsset Scan特性,您需要以下组件:

  • 在许可证中启用vAsset扫描功能的InsightVM安装
  • VMware ESXi 5.5主机
  • VMware vCenter Server 5.5
  • VMware NSX 6.0或6.1
  • 客人内省部署
  • 与VMCI驱动程序一起安装的VMware工具

vAsset Scan特性的部署步骤

部署vScan特性包括以下步骤:

  1. 部署VMware Guest Introspection服务
  2. 将NSX网络虚拟化与扫描集成
  3. 下载Nexpose扫描引擎OVF
  4. 在NSX Manager中注册InsightVM
  5. 从NSX部署扫描引擎
  6. 创建安全组
  7. 创建安全策略
  8. 上电Windows虚拟机
  9. 扫描安全组

部署VMware Guest Introspection服务

  1. 1 .登录VMware vSphere Web Client。
  2. 菜单,选择网络与安全
  3. 网络与安全菜单,选择装置
  4. 装置窗格中,选择服务部署标签。单击绿色加号中高音然后选择复选框客人自省. 然后单击下一个按钮以配置部署。
  1. 选择集群窗格中,选择要部署Guest自检的数据中心和集群。然后单击下一个
  2. 选择存储窗格中,选择VMware端点的数据存储。然后点击下一个
  3. 配置管理网络窗格中,选择VMware Endpoint的网络和IP分配。然后单击下一个
  4. 准备完成窗格中,单击完成

下载Nexpose扫描引擎OVF

单击更新链接管理页面NSX经理

窗户

如果您在Windows环境中,请执行以下步骤:

  1. 验证InsightVM是否已获得虚拟扫描功能的许可:
  1. 单击政府InsightVM安全控制台中的选项卡。
  2. 政府页面的“全局和控制台设置”下,选择控制台的“管理”链接。
  3. 在安全控制台配置面板中,选择许可。
  4. 在授权页面上,查看许可证支持的功能列表,并使用绿色复选标记标记虚拟扫描。
  1. 通过在浏览器中键入以下URL,验证是否可以从安全控制台访问NexposeVASE.ovf文件:https://[安全控制台IP地址]:3780/nse/ovf/NexposeVASE.ovf。

在NSX Manager中注册InsightVM

InsightVM必须先向VMware NSX注册,然后才能部署到虚拟环境中。

  1. 登录InsightVM安全控制台。例子:https:// [IP_address_of_Virtual_Appliance]: 3780默认用户名为nxadmin,默认密码为nxpassword
  2. 作为安全最佳实践,登录后立即更改默认凭据。要执行此操作,请单击政府图标。上政府页面中,单击管理旁边的链接使用者.上使用者页,编辑带有新的、唯一凭据的默认帐户,然后单击拯救
  3. 政府页面中,单击创造旁边的链接NSX经理在InsightVM和NSX Manager之间创建连接。
  4. 一般的第页,共页NSX等车型的底盘连接管理器面板,输入连接名称、NSX Manager服务器的完全限定域名和端口号。NSX Manager的默认端口为443。
  1. 资格证书第页,共页NSX等车型的底盘连接管理器面板中,输入连接NSX Manager时要使用的Nexpose凭据。
  2. 在下拉菜单中选择回呼IP地址。如果暴露控制台有多个IP地址,请选择NSX管理器可以访问的IP地址。

这些凭证必须提前在NSX上创建,并且用户必须具有NSX企业管理员角色。

从NSX部署扫描引擎

此部署授权扫描引擎作为NSX中的安全服务运行。它还可以在InsightVM中自动创建站点。

  1. 1 .登录VMware vSphere Web Client。
  2. 菜单,选择网络与安全
  3. 网络与安全菜单,选择装置
  4. 装置菜单,选择服务部署
  5. 装置窗格中,单击绿色加号中高音然后选择复选框快速曝光扫描引擎. 然后单击下一个按钮以配置部署。
  1. 选择要部署Rapid7暴露扫描引擎的集群。

选择的集群中,每个主机上部署一个扫描引擎。

  1. 根据您的环境设置配置部署。然后点击完成

当扫描引擎正在初始化时,服务状态将显示警告。

创建安全组

这个过程包括创建一组虚拟机供InsightVM扫描。您将按照以下步骤对该组应用安全策略。

  1. 菜单中,选择网络与安全
  2. 网络与安全菜单中,选择服务写作器
  3. 服务写作器窗格中,单击新安全组
  4. 创建一个安全组。使用动态条件选择或输入单个虚拟机名称。

创建安全策略

此新策略将扫描引擎应用为安全组的来宾自省服务。

  1. 创建安全组后,单击,选择它并单击应用策略. 然后,单击新的安全政策……链接
  2. 为服务器创建新的安全策略快速曝光扫描引擎客人自省服务,选择以下设置:
  • 行动:应用
  • 服务类型:灰色/不可修改(可能包含杀毒软件)
  • 服务名称:_快速曝光扫描引擎
  • 服务简介:Rapid7 exposure Scan Engine_default(漏洞管理)
  • 服务配置:违约
  • 声明:启用
  • 执行:
  1. 点击好啊

上电Windows虚拟机

该机器将用作扫描目标,以验证集成是否正常运行。

  1. 打开安装了VMware Tools 9.4.0或更高版本的Windows虚拟机。

扫描安全组

策略的规则将根据扫描结果在安全组内强制执行。

  1. 1 .登录InsightVM安全控制台。
  2. 网站清单表中,查找从NSX部署扫描引擎时自动创建的站点。
  3. 单击**扫描*8图标开始扫描。

有关监视扫描的信息,请参阅运行手动扫描