Das Advanced Firewall-Add-on enthält neue Funktionen, mit denen die Sicherheitsangebote für VMware Cloud on AWS verbessert werden. Es umfasst verteiltes Layer 7-Firewalling, Filterlisten für vollqualifizierte Domänennamen (Fully Qualified Domain Name, FQDN), Distributed Intrusion Detection/Prevention Services (D-IDS/IPS) sowie Active Directory-basiertes Identitäts-Firewalling.

Für das Advanced Firewall-Add-on ist ein SDDC mit VMC-Release M15 oder höher erforderlich.

Das Advanced Firewall-Add-on ist ein zusätzlicher Service, der auf SDDC-Basis aktiviert werden muss, um die entsprechenden Funktionen nutzen zu können. Weitere Informationen zu Preisen und Abrechnung finden Sie auf der VMware Cloud on AWS-Preisseite unter https://cloud.vmware.com/vmc-aws/pricing oder auf der Produktseite unter https://www.vmware.com/de/products/nsx-advanced-firewall-for-vmc.html.

Ja, das Advanced Firewall-Add-on wird auf Hypervisor-Ebene für alle Hosts im SDDC aktiviert. Es erstreckt sich über alle VMs. 

Ja, das Advanced Firewall-Add-on schützt sowohl East-West- als auch North-South-Traffic auf Basis der von Anwendern konfigurierten Richtlinien. 

Ja, die Distributed IDS/IPS-Funktion schützt vor Malware, die mit den konfigurierten kuratierten Signaturen übereinstimmt.

Das Advanced Firewall-Add-on steht in allen kommerziellen AWS-Regionen zur Verfügung, in denen auch VMC verfügbar ist.

Sehen Sie sich die Konfigurationsmaxima für VMC an, um Informationen zu aktuellen Skalierungsattributen zu erhalten: https://configmax.vmware.com/home.

Distributed IDS/IPS wird auf vCenter-Clusterbasis aktiviert oder deaktiviert.

Aktualisierte Signaturen für Distributed IDS/IPS werden vom NSX Threat Intelligence Cloud(NTIC)-Service abgerufen. Dabei lassen sich automatische Updates konfigurieren, um die Administration zu optimieren und stets aktuelle Signaturen zu gewährleisten.

Der NSX Threat Intelligence Cloud-Service ist ein von VMware verwaltetes Repository für IDS/IPS-Signaturen. Es handelt sich um ein Cloud-basiertes Angebot in mehreren Regionen weltweit.

Die Signaturen für Distributed IDS/IPS werden zunächst in NSX Manager innerhalb des SDDC heruntergeladen und anschließend automatisch auf jedem Host eines Clusters platziert, der für die Nutzung von Distributed IDS/IPS konfiguriert wurde. 

Ja, beim Konfigurieren einer Richtlinie für Distributed IDS/IPS können Sie reine Erkennungs- (IDS) sowie Erkennungs- und Abwehrmaßnahmen (IPS) einrichten.

Der primäre Anwendungsbereich für IDFWs umfasst detaillierte Firewallrichtlinien auf Basis von Anwendersitzungen in virtuellen Desktop-Infrastruktur(VDI)-Umgebungen.

IDFWs unterstützen sowohl VDI- als auch RDSH-Methoden für den Remote-Zugriff.

IDFWs werden auf vCenter-Clusterbasis aktiviert oder deaktiviert.

Guest Introspection wird von der IDFW-Funktion verwendet. 

VMware Cloud on AWS verwendet eine kernelbasierte Guest Introspection-Engine, für die keine dedizierte VM erforderlich ist.

Für die IDFW-Funktion muss VMTools 11.x oder höher auf Gast-VMs installiert werden. 

Der gängigste Anwendungsbereich für Layer 7-Firewalling besteht in der detaillierten Prüfung von Datenverkehr innerhalb bestimmter Ports oder Protokolle. Damit wird oftmals unzulässiger Datenverkehr erkannt und es wird verhindert, dass sich dieser Datenverkehr üblicherweise zulässige Ports und Protokolle zunutze macht. Zudem wird gewährleistet, dass für sicheren Datenverkehr spezielle Verschlüsselungsprotokolle verwendet werden.

Die Layer 7-Firewalling-Funktion verfügt über mehr als 70 vorkonfigurierte Anwendungsdefinitionen auf Basis gängiger Unternehmensanwendungen. Dadurch wird eine schnelle Bereitstellung der Funktion gewährleistet.

Die Layer 7-Firewall verwendet Kontextprofile, um Anwendungen zu definieren. Darüber hinaus lassen sich individuelle Profile hinzufügen.

Zu den gängigsten Anwendungsbereichen für FQDN-Filterung zählen Zugriffsbeschränkungen für unzulässige URLs oder umgekehrt Zugriffsbeschränkungen für bestimmte zulässige URLs.

Die FQDN-Filterfunktion nutzt DNS-Snooping in der verteilten Firewall (Distributed Firewall, DFW), um DNS-Anforderungen von Gastsystemen zu überwachen und nachzuverfolgen.

Das Advanced Firewall-Add-on kann jederzeit von Anwendern aktiviert oder deaktiviert werden.

Bei Deaktivierung des Advanced Firewall-Add-ons lassen sich keine zusätzlichen Richtlinien mehr für Distributed IDS/IPS, FQDN-Filterung, IDFW oder Layer 7-Firewalling hinzufügen. Zudem können vorhandene Richtlinien nicht bearbeitet werden.  Zuvor konfigurierte Richtlinien werden nach wie vor durchgesetzt und beibehalten, bis Administratoren sie löschen. 

Wenn das Advanced Firewall-Add-on erneut aktiviert wird, sind vorhandene Richtlinien wieder konfigurierbar.  

Weitere Informationen zu Preisen und Abrechnung finden Sie auf der VMware Cloud on AWS-Preisseite unter https://cloud.vmware.com/vmc-aws/pricing oder auf der Produktseite unter https://www.vmware.com/products/nsx-advanced-firewall-for-vmc.html.