Configurer Nutanix Flow

Dernière mise à jour le 08/04/2022

Objectif

Nutanix Flow est disponible sur toutes les offres Hosted Private Cloud Powered by Nutanix. Cette option permet de sécuriser le réseau dans un ou plusieurs clusters gérés par Prism Central

Apprenez à utiliser Nutanix Flow pour la sécurisation du réseau au sein d'un cluster Nutanix.

En pratique

Connectez-vous à Prism Central.

Pour vous connecter à un cluster Nutanix, au besoin, reportez-vous à la section « Aller plus loin » de ce guide.

Activation de Nutanix Flow

Cliquez sur l'engrenage en haut à droite pour modifier les paramètres.

Cliquez sur Microsegmentation depuis la barre de défilement à gauche.

Cochez la case Enable Microsegmentation et cliquez sur Save.

La microsegmentation est activée. Il sera toujours possible de la désactiver.

Configuration des catégories

Une catégorie est un objet qui peut contenir une ou plusieurs valeurs

Lors de l'installation d'un cluster, certaines catégories existent déjà et elles sont modifiables, d'autres catégories peuvent être ajoutées.

Les entités comme les machines virtuelles, les sous-réseaux ou les images, peuvent faire partie des catégories utilisées pour un outil comme Flow par exemple.

Création d'une catégorie

Depuis le menu principal, cliquez sur Categories dans le sous-menu Administration.

Cliquez sur New Category.

Saisissez le nom de la catégorie dans Name puis cliquez sur New value.

Saisissez un nom dans Value et cliquez sur le bouton de validation bleu à droite.

Cliquez sur Save.

La nouvelle catégorie apparait dans la liste des catégories.

Modification d'une catégorie

Sélectionnez la catégorie Special-Computers

Cliquez sur Update dans le menu Actions

Cliquez sur New value

Saisissez une valeur dans la colonne Value puis cliquez sur l'icône de validation.

Cliquez sur New value.

Saisissez une autre valeur dans la colonne Value puis cliquez sur l'icône de validation.

Cliquez sur Save pour valider la modification de la catégorie.

La catégorie est visible dans le tableau de bord des catégories avec ces deux nouvelles valeurs.

Affectation d'une catégorie à une machine virtuelle

Depuis le menu principal, cliquez sur VMs sous Compute & Storage.

Sélectionnez la machine virtuelle en cochant à gauche de celle-ci.

Cliquez sur Actions puis sur Manage Categories.

Saisissez nomdelacatégorie:valeur et cliquez sur le signe +.

Cliquez sur Save pour enregistrer la machine virtuelle dans une catégorie.

Affectation d'une catégorie à plusieurs machines virtuelles

Sélectionnez trois machines virtuelles en utilisant les cases à cocher à leurs gauches.

Cliquez sur le menu Actions et sélectionnez Manage Categories.

Saisissez nomdelacatégorie:valeur et cliquez sur +.

Cliquez sur Save.

Affectation d'une catégorie à des sous-réseaux

Depuis le menu principal, cliquez sur Subnets sous Network & Security.

Sélectionnez les sous-réseaux en cochant à leur gauche.

Cliquez sur le menu Actions et sélectionnez Manage Categories.

Saisissez nomdelacatégorie:valeur et cliquez sur +.

Cliquez sur Save.

Gestion de la quarantaine réseau.

La quarantaine réseau permet d'isoler une machine virtuelle de l'ensemble du réseau ou de lui permettre un accès restreint à certains outils de réparations se trouvant sur le réseau.

Mise en quarantaine d'une VM

Depuis le menu principal et cliquez sur VMs sous Compute & Storage.

Sélectionnez la machine virtuelle en cochant à gauche de celle-ci.

Cliquez sur Actions et choisissez Quarantine VMs dans le menu.

Sélectionnez Forensic dans quarantine Method puis cliquez sur Quarantine.

La machine virtuelle est à présent en quarantaine.

Personnalisation de la quarantaine réseau.

Pour l'instant aucun blocage n'affecte la machine virtuelle en quarantaine. Suivez ces instructions pour configurer la quarantaine.

Depuis le menu principal, cliquez sur Security Policies dans le sous-menu Network & Security.

Cliquez sur le numéro à coté de Quarantined pour afficher les machines virtuelles en quarantaine.

La liste des machines virtuelles en quarantaine apparait dans la colonne Name. Cliquez sur Close pour revenir au menu précédent.

Cliquez sur Quarantine en dessous de la colonne Name pour modifier la règle.

Le statut de la règle est en mode Monitoring comme indiqué en haut à gauche.

Le trafic n'est pas bloqué mais surveillé. Les connexions entre les machines virtuelles mises en quarantaine et le reste du réseau sont représentés par des traits de couleurs orange reliés à des rectangles représentant l'adresse IP de la source ou de la destination.

Cliquez sur Enforce en haut à droite pour passer du mode Monitoring au mode Enforcing avec blocage du trafic.

Saisissez ENFORCE et cliquez sur Confirm.

Le statut de la règle est maintenant sur Enforced.

Le trafic est bloqué. Nous voyons les tentatives d'accès aux machines virtuelles en quarantaines via des lignes en pointillés rouges vers les blocs contenant l'adresse IP de la machine virtuelle.

Cliquez sur Update en haut à droite pour modifier la règle, afin d'autoriser certains flux réseaux.

Cliquez sur Next.

Positionnez la souris sur une tentative de connexion entrante et cliquez sur Allow Traffic

Cochez la case à gauche de la Source pour sélectionner le trafic découvert entrant, puis cliquez sur Allow 1 Discovered Traffic pour n'autoriser que le trafic découvert comme par exemple ci-dessous le protocole ICMP.

Positionez la souris sur une tentative de connexion sortante et cliquez sur Allow Traffic.

Cochez la case à gauche de la Source pour sélectionner le trafic découvert sortant puis cliquez sur Allow 1 Discovered Traffic pour n'autoriser que le trafic découvert.

Le trafic autorisé est maintenant visible par des lignes grises alors que le trafic bloqué est en rouge.

Pour créer une règle manuellement sans passer par la découverte du réseau, cliquez à gauche sur Add Source pour autoriser une connexion entrante vers la quarantaine.

Saisissez le nom de la catégorie ainsi que sa valeur dans Add source by: Category puis cliquez sur Add.

La source apparait dans Configured.

Cliquez sur + à gauche de Quarantine: Forensics.

Autorisez tous le trafic et cliquez sur Save.

Cliquez à droite sur Add Destination pour autoriser une règle sortante depuis la quarantaine.

Saisissez le nom de la catégorie ainsi que sa valeur dans Add source by: Category, puis cliquez sur Add.

Cliquez sur + à droite de Quarantine: Forensics.

Autorisez tout le trafic et cliquez sur Save.

Cliquez sur Next.

Cliquez sur Save and Enforce pour appliquer les changements sur la règle de quarantaine.

Cliquez sur Quarantine pour voir le détail de la règle de quarantaine.

Le statut de la règle est sur Enforced, le mode Forensic a été personnalisé.

Une machine virtuelle placée en mode Strict sera totalement isolée du réseau alors qu'en mode Forensic elle aura accès aux zones définies dans la règle de quarantaine.

Création d'une règle d'isolation

Une règle d'isolation permet le blocage des communications réseaux entre deux types de catégories (machines virtuelles ou sous-réseaux).

Pour plus d'informations sur la gestion des catégories, reportez-vous à la section « Configuration des catégories » de ce guide.

Depuis le menu principal, cliquez sur Securities Policies dans le sous-menu Network & Security.

Cliquez sur Create Security Policy.

Sélectionnez Isolate Environments (Isolation Policy) puis cliquez sur Create.

Saisissez le nom de la règle dans Name puis ajoutez un commentaire dans Purpose, choisissez une catégorie dans Isolate this category, suivi d'une autre catégorie dans From this category.

Sélectionnez Enforce dans Select a Policy mode, puis cliquez sur Save and Enforce.

La règle est active dans la liste des règles de sécurité.

Cliquez sur Le nom de la règle en dessous de la colonne Name pour voir le détail.

Le statut de la règle indique Enforced et on peut voir qu'aucune tentative de connexion entre les deux zones n'est détectée, comme le signale ce message: No Traffic between them has been discovered.

Si une tentative de connexion réseau est détectée entre ces deux zones, le message change et devient Traffic between them has been discovered.x

Mise en place d'une règle d'application.

Une règle d'application limite l'accès vers certains ports, protocoles ou services des membres d'une catégorie depuis une autre catégorie.

Cette règle n'est utilisable qu'avec une catégorie nommée Applications que l'on peut modifier mais pas supprimer.

Pour plus d'informations sur la gestion des catégories, reportez-vous à la section « Configuration des catégories » de ce guide.

Depuis le menu principal, cliquez sur Security Policies dans le sous-menu Network & Security.

Cliquez sur Create Security Policy.

Sélectionnez Secure Application (App Policy) et cliquez sur Create.

Saisissez les champs Name pour le nom de de la règle, Purpose pour un commentaire, Secure this App en choisissant une catégorie existante d'applications et cliquez sur Next.

Cliquez sur Add Source à gauche.

Choisissez la catégorie concernant le VLAN et cliquez sur Add.

Cliquez sur + pour relier l'application à la source.

Sélectionnez Select a Service , choisir la catégorie dans Protocol/Service, recherchez le nom du service dans Port/Service Details et cliquez sur Save.

Cliquez sur Next.

Sélectionnez Enforce et cliquez sur Save and Enforce pour activer cette règle.

La règle créée se trouve dans la liste des règles.

Aller plus loin

Hyper-convergence Nutanix

Présentation de Nutanix FLOW

Règles de sécurité de Nutanix FLOW

Catégories dans Nutanix

Échangez avec notre communauté d'utilisateurs sur https://community.ovh.com/.

---

---

Ces guides pourraient également vous intéresser...