将NSX网络虚拟化与扫描集成
这种整合现在已经走到了尽头
根据我们的寿命终止公告,本文档中详细介绍的NSX Manager集成已从Nexpose中删除,不再受支持。
虚拟环境的流动性非常强,因此很难从安全角度对其进行管理。资产持续在线和离线。随着业务需求的变化,管理员将它们重新用于不同的操作系统或应用程序。跟踪虚拟资产是一项挑战,而对其强制执行安全策略则是一项更大的挑战。
vAsset扫描功能通过将Nexpose扫描与VMware NSX网络虚拟化平台集成,解决了这一难题。通过将扫描引擎注册为网络中的安全服务,集成使扫描引擎可以直接访问NSX虚拟资产网络。这种方法有几个好处:
- 集成将自动创建Nexpose站点,从而消除手动站点配置。
- 集成消除了对扫描凭据的需要。作为NSX网络中的授权安全服务,扫描引擎不需要额外的身份验证来从资产收集大量数据。
- NSX中的安全管理控件使用扫描结果自动将安全策略应用于资产,为IT或安全团队节省时间。例如,如果扫描标记了违反特定策略的漏洞,NSX可以隔离受影响的资产,直到执行适当的补救步骤。
vAsset扫描功能是与vAsset发现不同的功能和许可证选项,后者与创建稍后可以扫描的动态站点有关。有关该功能的详细信息,请参阅管理资产的动态发现.
NSX集成站点中的活动
通过此NSX集成过程创建站点时,无法在站点配置中执行以下操作:
- 编辑作为集成过程一部分动态添加的资产。
- 更改作为集成过程一部分自动配置的扫描引擎。
- 更改分配的扫描模板,该模板为完全审核。
- 添加扫描凭证,这是不必要的,因为集成为Nexpose提供了凭证将提供的对目标资产的访问深度。
vAsset扫描功能的要求
要使用vAsset扫描功能,您需要以下组件:
- 许可证中启用vAsset扫描功能的Nexpose安装
- VMware ESXi 5.5主机
- VMware vCenter Server 5.5
- VMware NSX 6.0或6.1
- 来宾自省部署
- 与VMCI驱动程序一起安装的VMware工具
vAsset扫描功能的部署步骤
部署vScan功能包括以下一系列步骤:
- 部署VMware来宾自省服务
- 将NSX网络虚拟化与扫描集成
- 下载Nexpose扫描引擎OVF
- 向NSX管理器注册Nexpose
- 从NSX部署扫描引擎
- 创建一个安全组
- 创建安全策略
- 打开Windows虚拟机的电源
- 扫描安全组
部署VMware来宾自省服务
- 登录到VMware vSphere Web客户端。
- 从家菜单,选择网络与安全.
- 从网络与安全菜单,选择安装.
- 在安装窗格中,选择服务部署标签。单击绿色加号然后选中的复选框客人自省. 然后单击下一个按钮来配置部署。
- 在选择簇窗格中,选择要部署来宾自省的数据中心和集群。然后点击下一个.
- 在选择存储窗格中,选择VMware端点的数据存储。然后点击下一个.
- 在配置管理网络窗格中,选择VMware端点的网络和IP分配。然后点击下一个.
- 在准备好完成了吗窗格中,单击完成.
下载Nexpose扫描引擎OVF
点击使现代化链接到管理页面在下面NSX经理.
窗户
如果您在Windows环境中,请执行以下步骤:
- 验证Nexpose是否已获得虚拟扫描功能的许可:
- 点击管理在Nexpose安全控制台中的。
- 上管理页面的“全局和控制台设置”下,选择控制台的“管理”链接。
- 在安全控制台配置面板中,选择许可。
- 在授权页面上,查看许可证支持的功能列表,并使用绿色复选标记标记虚拟扫描。
- 通过在浏览器中键入以下URL,验证是否可以从安全控制台访问NexposeVASE.ovf文件:https://[安全控制台IP地址]:3780/nse/ovf/NexposeVASE.ovf。
向NSX管理器注册Nexpose
Nexpose必须先向VMware NSX注册,然后才能部署到虚拟环境中。
- 登录到Nexpose安全控制台。例子:
https://[虚拟设备的IP地址]:3780
默认用户名为nxadmin,默认密码为nxpassword. - 作为安全最佳实践,登录后立即更改默认凭据。要执行此操作,请单击管理偶像上管理页面中,单击管理链接到使用者. 上使用者第页,使用新的唯一凭据编辑默认帐户,然后单击拯救.
- 上管理页面中,单击创造链接到NSX经理在Nexpose和NSX Manager之间创建连接。
- 上全体的第页,共页NSX连接管理器面板中,输入连接名、NSX Manager服务器的完全限定域名和端口号。NSX管理器的默认端口为443。
- 上资格证书第页,共页NSX连接管理器面板中,输入连接NSX Manager时要使用的Nexpose凭据。
- 从下拉菜单中选择回调IP地址。如果Nexpose控制台有多个IP地址,请选择NSX管理器可以访问的IP。
必须提前在NSX上创建这些凭据,并且用户必须具有NSX企业管理员角色。
从NSX部署扫描引擎
此部署授权扫描引擎作为NSX中的安全服务运行。它还会在Nexpose中自动创建一个站点。
- 登录到VMware vSphere Web客户端。
- 从家菜单,选择网络与安全.
- 从网络与安全菜单,选择安装.
- 从安装菜单,选择服务部署.
- 在安装窗格中,单击绿色加号然后选中的复选框Rapid7 Nexpose扫描引擎. 然后单击下一个按钮来配置部署。
- 选择要在其中部署Rapid7 Nexpose扫描引擎的群集。
将向选定群集中的每个主机部署一个扫描引擎。
- 根据您的环境设置配置部署。然后点击完成.
扫描引擎初始化时,维修状态将显示警告。
创建一个安全组
此过程涉及为Nexpose创建一组要扫描的虚拟机。您将在以下过程中对此组应用安全策略。
- 从家在vSphere Web客户端的菜单中,选择网络与安全.
- 从网络与安全在vSphere Web客户端的菜单中,选择服务写作器.
- 在服务写作器窗格中,单击新安全组.
- 创建一个安全组。使用动态条件选择或输入单个虚拟机名称。
创建安全策略
此新策略将扫描引擎应用为安全组的来宾自省服务。
- 创建安全组后,单击,选择它并单击应用策略. 然后,单击新的安全策略。。。链接
- 为服务器创建新的安全策略Rapid7 Nexpose扫描引擎来宾自省服务,选择以下设置:
- 行动:申请
- 服务类型:灰显/不可修改(可能包含防病毒)
- 服务名称:_Rapid7 Nexpose扫描引擎
- 服务简介:Rapid7 Nexpose扫描引擎默认设置(漏洞管理)
- 服务配置:违约
- 声明:启用
- 强制执行:对
- 点击好啊.
打开Windows虚拟机的电源
该机器将用作扫描目标,以验证集成是否正常运行。
- 打开安装了VMware Tools 9.4.0或更高版本的Windows虚拟机。
扫描安全组
策略的规则将根据扫描结果在安全组内强制执行。
- 登录到Nexpose安全控制台。
- 在网站列表表中,查找从NSX部署扫描引擎时自动创建的站点。
- 单击**扫描*8图标开始扫描。
有关监视扫描的信息,请参阅运行手动扫描.
这页对你有帮助吗?