の停止 の停止

モジュール 6 の停止 の停止

モジュール 7 の前に別のモジュールを実行した場合は、そのモジュールの STOP スクリプトが実行 されます （図はモジュール 6 の例）。これが最初のモジュールである場合は、このステップは必要 ないため、スキップされます。

前のモジュールを停止するスクリプトが完了するまで待ってから、<Enter> キーを押して続行し ます。

スクリプトの実行が終了するまで待ちます。プロンプトの指示に従い、<Enter> キーを押して続 行します。

課題 課題 7： 内部リソースからのデスクトップの分 内部リソースからのデスクトップの分 離 離

ユーザーが自分の所属部署以外のアプリケーションや情報を表示できるようになっていることにつ いて、セキュリティ チームから懸念が提起されました。彼らの懸念を緩和する必要があります。接 続ごとに従来のファイアウォール ルールを作成する代わりに、Active Directory （AD） のユーザ ーやグループに関連付けられたポリシーを作成できるとしたらどうでしょう。作業がはるかに容易 になると思いませんか （ヒント： NSX と Active Directory の統合）。

ユーザー （CEO） と IT Operations グループに基づいてトラフィックを分離するポリシーを作成 します。ユーザーが接続できるのは必要なアプリケーションのみとし、その他のリソースには接続 できないようにします。

課題の概要 課題の概要

セキュリティ共同プロジェクト チームの前回の会議で、権限のないユーザーが VDI 環境から Log Insight Management Console にアクセスしようとしていることが報告されました。さらに、あ なたが管理している VDI 環境のセキュリティに対しても疑問が投げかけられました。接続できるリ ソースが制御されていないデータセンターでユーザーにデスクトップを実行させるのは危険すぎ る、とのことです。

しかし、あなたは動じません。セキュリティ チームの考えは、従来の物理ネットワークのセキュリ ティに基づいているからです。NSX を活用すれば、物理ネットワークより安全な環境を実現できま す。

前任者も NSX を活用するための作業に着手していたようで、主要なコンポーネントのインストー ルと展開はすでに完了しています。モジュール 1 で確認したように、論理スイッチと Edge ルータ も展開されています。Guest Introspection までインストールされています。ただし、分散ファイ アウォール機能はまだ使用されていないようです。

この課題の具体的な要件は次のとおりです。

https://log-01a.corp.local に接続します。ちなみに、サーバの IP は 192.168.110.24 で す。

• LogInsight_Users AD セキュリティ グループは存在しません。作成する必要があります。

• Active Directory と NSX の同期は、すでに corp.local ドメインに対して構成されていま す。

• NSX Guest Introspection サービスがすべての ESXi ホストに正しく展開されています。

• NSX Network Introspection Driver が VMware Tools の一部として仮想デスクトップに インストールされています。

ヒント ヒント 1： ユーザーの区別 ユーザーの区別 （「 私が誰だかわかり 私が誰だかわかり ますか ますか 」）

ファイアウォール ルールを作成する前に、権限があるユーザーとないユーザーを区別できるように しておく必要があります。

AD の部分については簡単で、AD セキュリティグループを作成すればよいことはすぐにわかりま すが、NSX でこの区別を実装するにはどうすればよいでしょうか。

以降のステップでは、この答えと実装方法について説明します。

ヒント

ヒント 1： ユーザーの区別 ユーザーの区別 （ 答え 答え ）

ファイアウォール ルールを作成する前に、権限があるユーザーとないユーザーを区別できるように しておく必要があります。

AD の部分については簡単で、AD セキュリティグループを作成すればよいことはすぐにわかりま すが、NSX でこの区別を実装するにはどうすればよいでしょうか。

• NSX セキュリティ グループを作成する

まずは自分で挑戦してみてください。手順は 『NSX 管理ガイド』 （https://pubs.vmware.com/

NSX-62/topic/com.vmware.nsx.admin.doc/GUID-B9FC0D05-BE96-4D83-8C58-98B0F96DB342.html） で説明されています。 以降のステップでは、この手順について詳しく説明します。

[Start] メニューから次の順に選択します。

• [All Programs] - [Administrative Tools] - [Active Directory Users and Computers]

新しい

新しい AD グループの作成 グループの作成

1. [Users] コンテナを選択します。

2. [Create a new group] ボタンをクリックします。

1. [Group name]： LogInsight_Users 2. [OK] をクリックして続行します。

LogInsight_Users AD グループへの グループへの CEO ユーザーの追加 ユーザーの追加

1. [VDI Users] OU を選択します。

2. [Chief Exec. Officer] ユーザーを選択します。

3. [Add selected object to a group] アイコンをクリックします。

1. テキスト ボックスに 「LogInsight_Users」 と入力します。

2. [Check Names] をクリックします。テキスト ボックス内のグループ名に下線が付いてい ることを確認します。これは、このグループが AD で見つかったことを示します。

3. [OK] をクリックして続行します。

確認と

確認と [Active Directory Users and Computers] の終了 の終了

CEO ユーザーが LogInsight_Users グループに追加されたことを知らせるメッセージが表示された ら、[OK] をクリックしてダイアログボックスを閉じます。さらに、[Active Directory Users and Computers] を閉じます。

Windows のクイック起動タスク のクイック起動タスク バーから バーから Chrome ブラウザを起動 ブラウザを起動

vSphere Web Client に接続するには Web ブラウザを使用する必要があります。 1. Windows のクイック起動タスク バーで Chrome アイコンをクリックします。

vSphere Web Client へのログイン へのログイン

vSphere Web Client にログインして、いくつかのコンポーネントの相関関係を確認します。 1. [ユーザー名]： [email protected]

2. [パスワード]： VMware1!

3. [ログイン] をクリックします。

ヒント： [Windows セッション認証を使用してください] をクリックしてから [ログイン] ボタン をクリックすると、時間を節約できます。

[Networking Security] （NSX） を開く を開く

vSphere Web Client の [ホーム] 画面で、[Networking & Security] リンクをクリックします。

[ネットワークとセキュリティのインベントリ] の下にある [NSX Managers] をクリックします。

NSX Manager の構成 の構成

「192.168.110.15」 という名前の NSX Manager をクリックして構成します。

AD オブジェクトのローカルの状態の更新 オブジェクトのローカルの状態の更新

先ほど AD セキュリティグループを作成したばかりなので、この新しいグループの存在が認識され るように、手動で NSX Manager を AD と同期させる必要があります。

1. [管理] タブをクリックします。

2. [ドメイン] タブをクリックします。

3. [corp.local] ドメインを選択します。

4. [すべてのADオブジェクトのローカル状態を更新] アイコンをクリックします。

セキュリティ

セキュリティ グループの追加 グループの追加

1. [管理] タブをクリックします。

2. [グループ オブジェクト] タブをクリックします。

3. [Security Group] をクリックします。

4. [新規 Security Group の追加] （+） アイコンをクリックします。

1. [名称]： LogInsight_Users

2. [次へ] をクリックして続行します。

動的メンバーシップの定義 動的メンバーシップの定義

1. ドロップダウン メニューで [エンティティ] を選択します。 2. [エンティティの選択] ボタンをクリックします。

1. ドロップダウン メニューで [ディレクトリ グループ] エンティティ タイプを選択します。 2. 検索ボックスを使用して、利用可能なグループを絞り込みます。検索ボックスに

「LogInsight」 と入力します。

3. ラジオ ボタンをクリックして [LogInsight_Users] グループを選択します。 4. [OK] をクリックして続行します。

グループに含めるオブジェクトの選択 グループに含めるオブジェクトの選択

ここでは静的オブジェクトは追加しないため、そのまま [次へ] をクリックして続行します。

除外するオブジェクトの選択 除外するオブジェクトの選択

除外する静的オブジェクトもないため、[次へ] をクリックして続行します。

設定の確認 設定の確認

構成を確認し、[終了] をクリックします。

ヒント ヒント 2： ルールの適用 ルールの適用

ユーザーを区別できるようになったので、次に、その区別に関するルールを適用して、権限がある ユーザー以外は Log Insight Management Console に接続できないようにします。

これらのルールを適用するのに最適な場所はどこでしょうか。

ヒント

ヒント 2： ルールの適用 ルールの適用 （ 答え 答え ）

ユーザーを区別できるようになったので、次に、その区別に関するルールを適用して、権限がある ユーザー以外は Log Insight Management Console に接続できないようにします。

これらのルールを適用するのに最適な場所はどこでしょうか。

• 分散ファイアウォール

境界ファイアウォールでルールを設定することもできますが （モジュール 2 を参照）、これらは ID ベースのルールであるため、ネットワーク トポロジーに依存しないレベルで適用する方が理に 適っています。

では、そのためにはどうすればよいでしょうか。『NSX 管理ガイド』

（https://pubs.vmware.com/NSX-62/topic/com.vmware.nsx.admin.doc/GUID-C7A0093A-4AFA-47EC-9187-778BDDAD1C65.html） に詳しい説明があるため、自分で挑戦し てみてください。

以降のステップで詳細説明を確認することもできます。

[Networking Security] の の [Home] 画面に戻る 画面に戻る

[Networking & Security] の [ホーム] 画面に戻るには、次の手順に従います。 1. [ホーム] アイコンをクリックします。

2. ドロップダウン メニューから [Networking & Security] を選択します。

[ファイヤウォール] に移動します。

表示スペースの確保 表示スペースの確保

1. 押しピンをクリックすると、タスク ペインが折りたたまれて、メインペインの表示スペー スが拡大します。左側のペインも折りたたむと、表示スペースが最大になります。