NSX 环境中的自动策略管理

仅适用于本地趋势科技服务器深度安全防护系统软件安装

如果已启用趋势科技服务器深度安全防护系统策略与 NSX 的同步,则无需使用 NSX 安全组更改 EBT。有关策略同步的信息,请参阅将趋势科技服务器深度安全防护系统策略与 NSX 同步

有关在继续执行本文中的步骤之前必须执行的步骤,请参阅部署趋势科技服务器深度安全防护系统

NSX 环境中的 VM 安全配置可根据对 VM NSX 安全组的更改自动修改。使用 NSX 安全组更改基于事件的任务可以自动完成安全配置。

VM 与 NSX 安全组相关联,NSX 安全组与 NSX 安全策略相关联,NSX 安全策略与 NSX 服务配置文件相关联。

基于“NSX 安全组更改”事件的任务

趋势科技服务器深度安全防护系统提供了基于事件的任务 (EBT),该任务可配置为在检测到满足特定条件的特定事件时执行操作。通过 NSX 安全组更改 EBT,您可以在检测到 VM 所属的 NSX 安全组发生更改时,修改 VM 的防护设置。

NSX 安全组更改 EBT 仅检测与缺省 (EBT) NSX 服务配置文件关联的 NSX 安全组发生的更改 。同样,一个虚拟机可能与多个组和策略相关联,但趋势科技服务器深度安全防护系统仅监控并报告与缺省 (EBT) NSX 服务配置文件关联的组和策略发生的更改 。

要修改该任务,请在趋势科技服务器深度安全防护系统管理中心,转至管理 > 基于事件的任务

如果发生以下任意事件,则会触发 NSX 安全组更改 EBT:

  • 将虚拟机添加到与缺省 (EBT) NSX 服务配置文件(间接)关联的 NSX 组。
  • 将虚拟机移除出与缺省 (EBT) NSX 服务配置文件关联的 NSX 组。
  • 缺省 (EBT) NSX 服务配置文件关联的 NSX 策略会应用到 NSX 组。
  • 缺省 (EBT) NSX 服务配置文件关联的 NSX 策略会从 NSX 组中移除。
  • NSX 策略与缺省 (EBT) NSX 服务配置文件相关联 。
  • 将 NSX 策略移除出缺省 (EBT) NSX 服务配置文件 。
  • 缺省 (EBT) NSX 服务配置文件关联的 NSX 组更改其名称。

受更改影响的每台虚拟机均会触发一个事件。

执行任务的条件

以下条件适用于基于 NSX 安全组更改事件的任务,可在执行操作前根据这些条件进行测试:

  • 计算机名称:VM 的主机名。
  • ESXi 名称:VM 作为客户虚拟机的 ESXi 的主机名。
  • 文件夹名称:ESXi 文件夹结构中 VM 文件夹的名称。
  • NSX 安全组名称:更改后的 NSX 安全组的名称。
  • 平台:VM 的操作系统。
  • vCenter 名称:VM 所属的 vCenter 的名称。
  • 设备保护可用:趋势科技服务器深度安全防护系统虚拟设备可用于保护托管 VM 的 ESXi 上的 VM。VM 可能处于也可能不处于“已激活”状态。
  • 设备保护已激活:在托管虚拟机并且虚拟机处于“已激活”状态的 ESXi 上,趋势科技服务器深度安全防护系统虚拟设备可用于保护这些虚拟机。
  • 上次使用的 IP 地址:计算机的当前 IP 地址或上次已知 IP 地址。
有关这些条件以及基于事件的任务的一般信息,请参阅创建基于事件的任务

NSX 安全组名称条件明确适用于基于 NSX 安全组更改事件的任务发生的更改。

它可以通过 Java 正则表达式与 VM 所属的 NSX 安全组匹配,但其属性已更改。考虑以下两种特殊情况:

  • 与任何组中的成员匹配。在这种情况下,建议使用正则表达式 ".+"。
  • 与任何组中的成员均不匹配。在这种情况下,建议使用正则表达式 "^$"。

其他正则表达式可以根据需要包括特定的组名称或部分名称(以与多个组匹配)。

此条件下的潜在组列表仅指与缺省 (EBT) NSX 服务配置文件的关联策略相关联的组 。

可用操作

当趋势科技服务器深度安全防护系统检测到 VM 所属的 NSX 安全组发生更改时,可以在 VM 上执行以下操作:

  • 激活计算机:激活趋势科技服务器深度安全防护系统虚拟设备的趋势科技服务器深度安全防护系统防护。将 VM 移至趋势科技服务器深度安全防护系统保护的 NSX 安全组时,请使用此选项。
  • 停用计算机:停用趋势科技服务器深度安全防护系统虚拟设备的趋势科技服务器深度安全防护系统防护。将 VM 移出趋势科技服务器深度安全防护系统保护的 NSX 安全组时,请使用此选项。如果在将 VM 移出趋势科技服务器深度安全防护系统保护的 NSX 安全组时未执行此操作,则会发出警报,因为 VM 不再受保护。
  • 分配策略:向 VM 分配趋势科技服务器深度安全防护系统策略。
  • 分配中继组:向 VM 分配中继组。

将 vCenter 添加到趋势科技服务器深度安全防护系统管理中心时创建的基于事件的任务

将 NSX vCenter 添加到趋势科技服务器深度安全防护系统管理中心时可以创建两个基于事件的任务。添加 vCenter 向导的末页会显示一个复选框。如果选中此复选框,则此选项会创建两个基于事件的任务。一个用于在添加保护时激活 VM,另一个用于在移除保护时停用 VM。

第一个基于事件的任务的配置如下:

  • 名称:激活 <vCenter 名称>,其中 <vCenter 名称> 是 vCenter 属性的“名称”文本框中显示的值。
  • 事件:NSX 安全组已更改
  • 已启用任务: True
  • 操作:延迟 5 分钟后激活计算机
  • 条件:
    • vCenter 名称: <vCenter 名称> 必须匹配,因为该 EBT 专用于 vCenter。
    • 设备保护可用: True.必须在同一 ESXi 上部署已激活的 DSVA。
    • 设备保护已激活: False.这仅适用于未激活的 VM。
    • NSX 安全组:".+"。必须是一个或多个趋势科技服务器深度安全防护系统组的成员。

您可以修改与该基于事件的任务相关联的操作,例如通过应用趋势科技服务器深度安全防护系统防护策略或分配其他中继组。可在趋势科技服务器深度安全防护系统管理中心的管理 > 基于事件的任务页面上,编辑任何现有基于事件的任务对应的操作(和其他属性)。

第二个基于事件的任务的配置如下:

  • 名称:停用 <vCenter 名称>,其中 <vCenter 名称> 是 vCenter 属性的“名称”文本框中显示的值。
  • 事件:NSX 安全组已更改
  • 已启用任务: False
  • 操作:停用计算机
  • 条件:
    • vCenter 名称: <vCenter 名称>。必须匹配,因为该基于事件的任务专用于 vCenter。
    • 设备保护已激活: True.这仅适用于已激活的 VM。

    • NSX 安全组:"^$"。不能是任何趋势科技服务器深度安全防护系统组的成员。

      缺省情况下,此基于事件的任务处于禁用状态。在 vCenter 安装完成后,您可以根据需要进行启用和定制。
如果同一条件触发了多个基于事件的任务,将按任务名称的字母顺序执行这些任务。

从趋势科技服务器深度安全防护系统管理中心移除 vCenter

从趋势科技服务器深度安全防护系统管理中心移除 vCenter 时,会禁用满足以下条件的所有基于事件的任务:

  1. vCenter 名称条件与移除的 vCenter 名称匹配。
    必须是完全匹配。与多个 vCenter 名称匹配的基于事件的任务不会被禁用。
  2. 该基于事件的任务的事件类型为“NSX 安全组已更改”。其他事件类型的基于事件的任务不会被禁用。
联系技术支持
支持
联系 eSupport
趋势科技成功案例
了解漏洞
威胁百科全书