将NSX网络虚拟化与扫描集成

这种整合现在已经走到了尽头

根据我们的寿命终止公告,本文档中详细介绍的NSX Manager集成已从Nexpose中删除,不再受支持。

虚拟环境的流动性非常强,因此很难从安全角度对其进行管理。资产持续在线和离线。随着业务需求的变化,管理员将它们重新用于不同的操作系统或应用程序。跟踪虚拟资产是一项挑战,而对其强制执行安全策略则是一项更大的挑战。

vAsset扫描功能通过将Nexpose扫描与VMware NSX网络虚拟化平台集成,解决了这一难题。通过将扫描引擎注册为网络中的安全服务,集成使扫描引擎可以直接访问NSX虚拟资产网络。这种方法有几个好处:

  • 集成将自动创建Nexpose站点,从而消除手动站点配置。
  • 集成消除了对扫描凭据的需要。作为NSX网络中的授权安全服务,扫描引擎不需要额外的身份验证来从资产收集大量数据。
  • NSX中的安全管理控件使用扫描结果自动将安全策略应用于资产,为IT或安全团队节省时间。例如,如果扫描标记了违反特定策略的漏洞,NSX可以隔离受影响的资产,直到执行适当的补救步骤。

vAsset扫描功能是与vAsset发现不同的功能和许可证选项,后者与创建稍后可以扫描的动态站点有关。有关该功能的详细信息,请参阅管理资产的动态发现.

NSX集成站点中的活动

通过此NSX集成过程创建站点时,无法在站点配置中执行以下操作:

  • 编辑作为集成过程一部分动态添加的资产。
  • 更改作为集成过程一部分自动配置的扫描引擎。
  • 更改分配的扫描模板,该模板为完全审核。
  • 添加扫描凭证,这是不必要的,因为集成为Nexpose提供了凭证将提供的对目标资产的访问深度。

vAsset扫描功能的要求

要使用vAsset扫描功能,您需要以下组件:

  • 许可证中启用vAsset扫描功能的Nexpose安装
  • VMware ESXi 5.5主机
  • VMware vCenter Server 5.5
  • VMware NSX 6.0或6.1
  • 来宾自省部署
  • 与VMCI驱动程序一起安装的VMware工具

vAsset扫描功能的部署步骤

部署vScan功能包括以下一系列步骤:

  1. 部署VMware来宾自省服务
  2. 将NSX网络虚拟化与扫描集成
  3. 下载Nexpose扫描引擎OVF
  4. 向NSX管理器注册Nexpose
  5. 从NSX部署扫描引擎
  6. 创建一个安全组
  7. 创建安全策略
  8. 打开Windows虚拟机的电源
  9. 扫描安全组

部署VMware来宾自省服务

  1. 登录到VMware vSphere Web客户端。
  2. 菜单,选择网络与安全.
  3. 网络与安全菜单,选择安装.
  4. 安装窗格中,选择服务部署标签。单击绿色加号中高音然后选中的复选框客人自省. 然后单击下一个按钮来配置部署。
  1. 选择簇窗格中,选择要部署来宾自省的数据中心和集群。然后点击下一个.
  2. 选择存储窗格中,选择VMware端点的数据存储。然后点击下一个.
  3. 配置管理网络窗格中,选择VMware端点的网络和IP分配。然后点击下一个.
  4. 准备好完成了吗窗格中,单击完成.

下载Nexpose扫描引擎OVF

点击使现代化链接到管理页面在下面NSX经理.

窗户

如果您在Windows环境中,请执行以下步骤:

  1. 验证Nexpose是否已获得虚拟扫描功能的许可:
  1. 点击管理在Nexpose安全控制台中的。
  2. 管理页面的“全局和控制台设置”下,选择控制台的“管理”链接。
  3. 在安全控制台配置面板中,选择许可。
  4. 在授权页面上,查看许可证支持的功能列表,并使用绿色复选标记标记虚拟扫描。
  1. 通过在浏览器中键入以下URL,验证是否可以从安全控制台访问NexposeVASE.ovf文件:https://[安全控制台IP地址]:3780/nse/ovf/NexposeVASE.ovf。

向NSX管理器注册Nexpose

Nexpose必须先向VMware NSX注册,然后才能部署到虚拟环境中。

  1. 登录到Nexpose安全控制台。例子:https://[虚拟设备的IP地址]:3780默认用户名为nxadmin,默认密码为nxpassword.
  2. 作为安全最佳实践,登录后立即更改默认凭据。要执行此操作,请单击管理偶像上管理页面中,单击管理链接到使用者. 上使用者第页,使用新的唯一凭据编辑默认帐户,然后单击拯救.
  3. 管理页面中,单击创造链接到NSX经理在Nexpose和NSX Manager之间创建连接。
  4. 全体的第页,共页NSX连接管理器面板中,输入连接名、NSX Manager服务器的完全限定域名和端口号。NSX管理器的默认端口为443。
  1. 资格证书第页,共页NSX连接管理器面板中,输入连接NSX Manager时要使用的Nexpose凭据。
  2. 从下拉菜单中选择回调IP地址。如果Nexpose控制台有多个IP地址,请选择NSX管理器可以访问的IP。

必须提前在NSX上创建这些凭据,并且用户必须具有NSX企业管理员角色。

从NSX部署扫描引擎

此部署授权扫描引擎作为NSX中的安全服务运行。它还会在Nexpose中自动创建一个站点。

  1. 登录到VMware vSphere Web客户端。
  2. 菜单,选择网络与安全.
  3. 网络与安全菜单,选择安装.
  4. 安装菜单,选择服务部署.
  5. 安装窗格中,单击绿色加号中高音然后选中的复选框Rapid7 Nexpose扫描引擎. 然后单击下一个按钮来配置部署。
  1. 选择要在其中部署Rapid7 Nexpose扫描引擎的群集。

将向选定群集中的每个主机部署一个扫描引擎。

  1. 根据您的环境设置配置部署。然后点击完成.

扫描引擎初始化时,维修状态将显示警告。

创建一个安全组

此过程涉及为Nexpose创建一组要扫描的虚拟机。您将在以下过程中对此组应用安全策略。

  1. 在vSphere Web客户端的菜单中,选择网络与安全.
  2. 网络与安全在vSphere Web客户端的菜单中,选择服务写作器.
  3. 服务写作器窗格中,单击新安全组.
  4. 创建一个安全组。使用动态条件选择或输入单个虚拟机名称。

创建安全策略

此新策略将扫描引擎应用为安全组的来宾自省服务。

  1. 创建安全组后,单击,选择它并单击应用策略. 然后,单击新的安全策略。。。链接
  2. 为服务器创建新的安全策略Rapid7 Nexpose扫描引擎来宾自省服务,选择以下设置:
  • 行动:申请
  • 服务类型:灰显/不可修改(可能包含防病毒)
  • 服务名称:_Rapid7 Nexpose扫描引擎
  • 服务简介:Rapid7 Nexpose扫描引擎默认设置(漏洞管理)
  • 服务配置:违约
  • 声明:启用
  • 强制执行:
  1. 点击好啊.

打开Windows虚拟机的电源

该机器将用作扫描目标,以验证集成是否正常运行。

  1. 打开安装了VMware Tools 9.4.0或更高版本的Windows虚拟机。

扫描安全组

策略的规则将根据扫描结果在安全组内强制执行。

  1. 登录到Nexpose安全控制台。
  2. 网站列表表中,查找从NSX部署扫描引擎时自动创建的站点。
  3. 单击**扫描*8图标开始扫描。

有关监视扫描的信息,请参阅运行手动扫描.