VMWARE vShield - 5.1 User’s Manual [fr]
Guide de démarrage rapide de vShield
vShield Manager 5.0.1
vShield App 5.0.1
vShield Edge 5.0.1
vShield Endpoint 5.0.1
Ce document prend en charge la version de chacun des produits
répertoriés, ainsi que toutes les versions publiées par la suite
jusqu'au remplacement dudit document par une nouvelle édition.
Pour rechercher des éditions plus récentes de ce document, rendezvous sur : http://www.vmware.com/fr/support/pubs.
FR-000839-00
Guide de démarrage rapide de vShield
Vous trouverez la documentation technique la plus récente sur le site Web de VMware à l'adresse :
http://www.vmware.com/fr/support/pubs/
Le site Web de VMware propose également les dernières mises à jour des produits.
N’hésitez pas à nous transmettre tous vos commentaires concernant cette documentation à l’adresse suivante :
docfeedback@vmware.com
Copyright © 2010 – 2012 VMware, Inc. Tous droits réservés. Ce produit est protégé par les lois américaines et internationales
relatives au copyright et à la propriété intellectuelle. Les produits VMware sont protégés par un ou plusieurs brevets répertoriés
à l'adresse http://www.vmware.com/go/patents-fr.
VMware est une marque déposée ou une marque de VMware, Inc. aux États-Unis et/ou dans d'autres juridictions. Toutes les
autres marques et noms mentionnés sont des marques déposées par leurs propriétaires respectifs.
VMware, Inc.
3401 Hillview Ave.
Palo Alto, CA 94304
www.vmware.com
2 VMware, Inc.
VMware, Inc.
100-101 Quartier Boieldieu
92042 Paris La Défense
France
www.vmware.com/fr
Table des matières
À propos de ce guide 5
Introduction à vShield 7
1
Composants vShield d'un coup d'œil 7
Scénarios de déploiement 11
Préparation à l'installation 15
2
Spécifications système 15
Considérations relatives au déploiement 16
Installation de vShield Manager 19
3
Obtenir le fichier OVA de vShield Manager 19
Installer le dispositif virtuel vShield Manager 20
Configurer les paramètres réseau de vShield Manager 20
Se connecter à l'interface utilisateur de vShield Manager 21
Synchroniser vShield Manager avec vCenter Server 22
Enregistrer le plug-in vShield Manager avec vSphere Client 22
Changer le mot de passe du compte par défaut de l'interface utilisateur vShield Manager 23
Installation de vShield Edge, vShield App, vShield Endpoint et vShield Data
4
Security 25
Exécution des composants sous licence vShield en mode d'évaluation 25
Préparation de votre infrastructure virtuelle pour vShield App, vShield Edge, vShield Endpoint et
vShield Data Security 25
Installation de vShield Endpoint 30
Installation de vShield Data Security 31
Désinstallation des composants vShield 33
5
Désinstaller un dispositif virtuel vShield App 33
Désinstaller une instance vShield Edge depuis un groupe de ports 34
Désinstaller une machine virtuelle vShield Data Security 34
Désinstaller un module vShield Endpoint 34
Mise à niveau de vShield 35
6
Mettre à niveau vShield Manager 35
Mettre à niveau vShield App 36
Mettre à niveau vShield Edge 36
Mettre à niveau vShield Endpoint 37
Mettre à niveau vShield Data Security 38
Échec de l'installation vShield 39
7
VMware, Inc. 3
Guide de démarrage rapide de vShield
Index 41
4 VMware, Inc.
À propos de ce guide
Ce manuel, Guide de démarrage rapide vShield, décrit l'installation et la configuration du système VMware
vShield™ en utilisant l'interface utilisateur vShield Manager, le plug-in vSphere Client et l'interface de ligne
de commande (CLI). Il inclut des instructions de configuration pas à pas et des suggestions de meilleures
pratiques.
Public cible
Ce manuel est destiné à toute personne souhaitant installer ou utiliser vShield dans un environnement VMware
vCenter. Les informations qu'il contient sont destinées aux administrateurs système familiarisés avec la
technologie des machines virtuelles et avec les opérations de centres de données virtuels. Ce livre suppose
aussi que vous connaissez l'infrastructure VMware 4.x, notamment VMware ESX, vCenter Server et vSphere
Client.
Glossaire VMware Technical Publications
VMware Technical Publications fournit un glossaire des termes qui peuvent éventuellement ne pas vous être
familiers. Pour consulter la définition des termes utilisés dans la documentation technique VMware, visitez le
site Web http://www.vmware.com/fr/support/support-resources/pubs.
Commentaires sur les documents
VMware prend en considérations vos suggestions pour améliorer sa documentation. Si vous avez des
commentaires, envoyez-les à docfeedback@vmware.com.
®
Ressources de support technique et de formation
Les ressources de support technique suivantes sont à votre disposition. Pour la version actuelle de ce guide
ou pour d'autres guides, rendez-vous sur http://www.vmware.com/fr/support/support-resources/pubs.
Support en ligne et
support téléphonique
VMware, Inc. 5
Pour utiliser le support en ligne afin de soumettre vos demandes de support
technique, voir vos informations de produit et de contrat ou enregistrer vos
produits, rendez-vous sur http://www.vmware.com/fr/support.
Guide de démarrage rapide de vShield
Les clients ayant souscrit des contrats de support appropriés peuvent utiliser
le support téléphonique pour obtenir une réponse rapide à leurs problèmes
prioritaires. Allez à la http://www.vmware.com/support/france.html.
Offres de support
VMware Professional
Services
Pour en savoir plus sur la façon dont les offres de support VMware peuvent
satisfaire les besoins de votre entreprise, rendez-vous sur
http://www.vmware.com/fr/support/services.
Les cours VMware Education Services proposent de nombreux exercices
pratiques, des exemples d'étude de cas, ainsi que de la documentation destinée
à servir de référence sur site. Les cours sont disponibles sur site, en salle de
cours et en ligne et en direct. Pour les programmes pilotes sur site et les
meilleures pratiques de mise en œuvre, VMware Consulting Services propose
des offres destinées à vous aider à évaluer, planifier, élaborer et gérer votre
environnement virtuel. Pour accéder aux informations sur les classes de
formation, les programmes de certification et les services de conseil, rendezvous sur http://www.vmware.com/fr/services.
6 VMware, Inc.
Introduction à vShield 1
Ce chapitre présente les composants VMware® vShield™ que vous installez.
Ce chapitre aborde les rubriques suivantes :
n
« Composants vShield d'un coup d'œil », page 7
n
« Scénarios de déploiement », page 11
Composants vShield d'un coup d'œil
VMware vShield est une suite de dispositifs virtuels de sécurité conçue pour intégration dans VMware vCenter
Server. vShield est un composant de sécurité essentiel pour protéger les centres de données virtualisés contre
les attaques et les utilisations abusives et pour vous aider à atteindre vos objectifs de conformité réglementaires.
vShield inclut des dispositifs et services virtuels essentiels pour la protection de vos machines virtuelles.
vShield peut se configurer par une interface utilisateur web, un plug-in de vSphere Client, une interface de
ligne de commande (CLI), et une API REST.
vCenter Server inclut vShield Manager. Les paquets vShield suivants nécessitent chacun une licence :
n
vShield App
n
vShield App avec Data Security
VMware, Inc.
n
vShield Edge
n
vShield Endpoint
Un vShield Manager gère plusieurs instances vShield App, vShield Edge, vShield Endpoint et vShield Data
Security.
n
vShield Manager page 8
vShield Manager est le composant centralisé de gestion de réseau de vShield, il s'installe comme dispositif
virtuel sur tout hôte ESX™ dans votre environnement vCenter Server. vShield Manager peut s'utiliser
sur un hôte ESX différent de vos agents vShield.
n
vShield App page 8
vShield App est un pare-feu basé sur un hyperviseur qui protège les applications dans le centre de
données virtuel contre les attaques provenant du réseau. Les organisations disposent d'une visibilité et
d'un contrôle sur les communications réseau entre les machines virtuelles. Vous pouvez créer des
stratégies de contrôle d'accès en fonction de constructions logiques, telles que des conteneurs VMware
vCenter™ et des groupes de sécurité vShield et pas seulement des constructions physiques, telles que
des adresses IP. En outre, l'adressage IP souple donne la possibilité d'utiliser la même adresse IP pour
plusieurs zones client pour simplifier le provisionnement.
7
Guide de démarrage rapide de vShield
n
vShield Edge page 9
vShield Edge fournit des services de sécurité de frontière et de passerelle pour isoler les machines
virtuelles dans un groupe de ports, un groupe de ports vDS ou Cisco Nexus 1000V. vShield Edge permet
de connecter des réseaux isolés ou réseaux d'extrémité sur des réseaux partagés (liaison montante) en
fournissant des services communs de passerelle tels que DHCP, VPN, NAT, et équilibrage de charge.
Les déploiements courants de vShield Edge s'effectuent notamment dans la DMZ, les extranets de VPN
et des environnements de Cloud à plusieurs partenaires où vShield Edge assure la sécurité périmétrique
pour les centres de données virtuels (VDC).
n
vShield Endpoint page 10
vShield Endpoint transfère le traitement des agents antivirus et contre les logiciels malveillants vers un
dispositif virtuel sécurisé et dédié, fourni par des partenaires VMware. Étant donné que le dispositif
virtuel sécurisé (à la différence d'une machine virtuelle cliente) n'est pas déconnecté, il peut mettre à jour
en permanence les signatures antivirus, assurant ainsi une protection ininterrompue des machines
virtuelles sur l'hôte. Par ailleurs, les nouvelles machines virtuelles (ou les machines virtuelles existantes
qui ont été déconnectées) sont protégées immédiatement contre la plupart des signatures antivirus
actuelles lorsqu'elles sont connectées.
n
vShield Data Security page 11
vShield Data Security offre une visibilité dans les données sensibles stockées dans les environnements
virtualisés et de nuage de votre organisation. Selon les violations signalées par vShield Data Security,
vous pouvez garantir que les données sensibles sont protégées de manière adéquate et évaluer la
conformité aux réglementations mondiales.
vShield Manager
vShield Manager est le composant centralisé de gestion de réseau de vShield, il s'installe comme dispositif
virtuel sur tout hôte ESX™ dans votre environnement vCenter Server. vShield Manager peut s'utiliser sur un
hôte ESX différent de vos agents vShield.
Les administrateurs peuvent installer, configurer et gérer les composants vShield par l'interface utilisateur de
vShield Manager ou par le plug-in de vSphere Client. L'interface utilisateur de vShield Manager tire parti du
SDK VMware Infrastructure pour afficher une copie du panneau d'inventaire de vSphere Client, et inclut les
vues d'hôtes et de clusters ainsi que de réseaux.
vShield App
vShield App est un pare-feu basé sur un hyperviseur qui protège les applications dans le centre de données
virtuel contre les attaques provenant du réseau. Les organisations disposent d'une visibilité et d'un contrôle
sur les communications réseau entre les machines virtuelles. Vous pouvez créer des stratégies de contrôle
d'accès en fonction de constructions logiques, telles que des conteneurs VMware vCenter™ et des groupes de
sécurité vShield et pas seulement des constructions physiques, telles que des adresses IP. En outre, l'adressage
IP souple donne la possibilité d'utiliser la même adresse IP pour plusieurs zones client pour simplifier le
provisionnement.
Vous devez installer vShield App sur tous les hôtes ESX d'un cluster pour que les opérations VMware vMotion
puissent être exécutées et que les machines virtuelles restent protégées lors de la migration entre des hôtes
ESX. Par défaut, un dispositif virtuel vShield App ne peut pas être déplacé à l'aide de vMotion.
La fonction Flow Monitoring affiche l'activité réseau entre les machines virtuelles au niveau du protocole
d'application. Vous pouvez utiliser cette information pour auditer le trafic du réseau, définir et optimiser des
stratégies de pare-feu et identifier les botnets (réseaux de machines zombies).
8 VMware, Inc.
Chapitre 1 Introduction à vShield
vShield Edge
vShield Edge fournit des services de sécurité de frontière et de passerelle pour isoler les machines virtuelles
dans un groupe de ports, un groupe de ports vDS ou Cisco Nexus 1000V. vShield Edge permet de connecter
des réseaux isolés ou réseaux d'extrémité sur des réseaux partagés (liaison montante) en fournissant des
services communs de passerelle tels que DHCP, VPN, NAT, et équilibrage de charge. Les déploiements
courants de vShield Edge s'effectuent notamment dans la DMZ, les extranets de VPN et des environnements
de Cloud à plusieurs partenaires où vShield Edge assure la sécurité périmétrique pour les centres de données
virtuels (VDC).
Services standard de vShield Edge (incluant Cloud Director)
Pare-feu
Traduction d'adresse
réseau
Protocole DHCP
(Dynamic Host
Configuration Protocol)
Les règles prises en charge sont notamment la configuration IP 5-tuple avec
plages d'adresses IP et de ports pour l'inspection d'état des protocoles TCP,
UDP et ICMP.
Contrôles séparés des adresses IP source et destination, ainsi que traduction de
ports TCP et UDP.
Configuration de pools d'adresses IP, de passerelles, de serveurs DNS et des
domaines de recherche.
Services avancés vShield Edge
Réseau privé virtuel
(VPN) d'un site à l'autre
Équilibrage de charge
vShield Edge autorise l'exportation syslog de tous les services vers des serveurs distants.
Utilise les paramètres de protocole standardisé IPsec pour l'interopérabilité
avec les grands fabricants de pare-feux.
Adresses IP et groupes de serveurs virtuels configurables de façon simple et
dynamique.
VMware, Inc. 9
Guide de démarrage rapide de vShield
Figure 1-1. vShield Edge installé pour sécuriser un groupe de ports vDS
vShield Endpoint
vShield Endpoint transfère le traitement des agents antivirus et contre les logiciels malveillants vers un
dispositif virtuel sécurisé et dédié, fourni par des partenaires VMware. Étant donné que le dispositif virtuel
sécurisé (à la différence d'une machine virtuelle cliente) n'est pas déconnecté, il peut mettre à jour en
permanence les signatures antivirus, assurant ainsi une protection ininterrompue des machines virtuelles sur
l'hôte. Par ailleurs, les nouvelles machines virtuelles (ou les machines virtuelles existantes qui ont été
déconnectées) sont protégées immédiatement contre la plupart des signatures antivirus actuelles lorsqu'elles
sont connectées.
vShield Endpoint installe un module hyperviseur et un dispositif virtuel de sécurité d'un fournisseur antivirus
tiers (partenaires VMware) sur un hôte ESX. L'hyperviseur analyse les machines virtuelles clientes depuis
l'extérieur, supprimant le besoin d'agents dans chaque machine virtuelle. vShield Endpoint évite ainsi les
goulots d'étranglement des ressources de manière efficace, tout en optimisant l'utilisation de la mémoire.
10 VMware, Inc.
Figure 1-2. vShield Endpoint installé sur un hôte ESX
Chapitre 1 Introduction à vShield
vShield Data Security
vShield Data Security offre une visibilité dans les données sensibles stockées dans les environnements
virtualisés et de nuage de votre organisation. Selon les violations signalées par vShield Data Security, vous
pouvez garantir que les données sensibles sont protégées de manière adéquate et évaluer la conformité aux
réglementations mondiales.
Scénarios de déploiement
vShield permet de construire des zones sécurisées pour une grande diversité de déploiements de machines
virtuelles. Vous pouvez isoler les machines virtuelles en fonction des facteurs personnalisés d'application, de
segmentation du réseau ou de conformité. Dès que les stratégies de zone ont été déterminées, vous pouvez
déployer vShield pour appliquer les règles d'accès à chacune de ces zones.
n
Protection de la zone DMZ page 12
La DMZ est une zone de confiance mixte. Les clients y entrent depuis l'Internet pour accéder à des services
web et de messagerie, alors que d'autres services dans la DMZ peuvent avoir besoin d'accéder à des
services situés dans le réseau interne.
n
Isolation et protection des réseaux internes page 12
Vous pouvez utiliser un vShield Edge pour isoler un réseau interne depuis le réseau externe. vShield
Edge assure une protection de pare-feu périmétrique et des services de frontière pour sécuriser des
machines virtuelles dans un groupe de ports, en autorisant la communication avec le réseau externe par
DHCP, la traduction d'adresse NAT et les réseaux privés virtuels VPN.
n
Protection des machines virtuelles dans un cluster page 13
Vous pouvez utiliser vShield App pour protéger les machines virtuelles dans un cluster.
VMware, Inc. 11
Guide de démarrage rapide de vShield
n
Déploiements courants de vShield Edge page 13
Vous pouvez utiliser un vShield Edge pour isoler un réseau d'extrémité en utilisant NAT pour permettre
l'entrée et la sortie du trafic sur le réseau. Si vous déployez des réseaux d'extrémité internes, vous pouvez
utiliser vShield Edge pour sécuriser la communication entre réseaux par chiffrement d'un réseau à l'autre
avec des tunnels VPN.
n
Déploiements courants de vShield App page 13
Vous pouvez utiliser vShield App pour créer des zones de sécurité dans un vDC. Vous pouvez imposer
des stratégies de pare-feu sur des conteneurs vCenter ou des groupes de sécurité, qui sont des conteneurs
personnalisés que vous pouvez créer depuis l'interface utilisateur vShield Manager. Les stratégies par
conteneur permettent de créer des clusters de zones de confiance mixtes sans exiger de pare-feu physique
externe.
Protection de la zone DMZ
La DMZ est une zone de confiance mixte. Les clients y entrent depuis l'Internet pour accéder à des services
web et de messagerie, alors que d'autres services dans la DMZ peuvent avoir besoin d'accéder à des services
situés dans le réseau interne.
Vous pouvez placer des machines virtuelles en DMZ dans un groupe de ports pour sécuriser ce groupe de
ports grâce à vShield Edge. vShield Edge permet d'accéder à des services de pare-feu, de traduction d'adresse
NAT et de réseau virtuel VPN, ainsi que d'équilibrer la charge pour la sécurisation des services en DMZ.
Un exemple courant de service en DMZ nécessitant un accès à un service interne est Microsoft Exchange.
Microsoft Outlook Web Access (OWA) est couramment installé dans le cluster de DMZ, alors que le serveur
principal Microsoft Exchange est dans le cluster interne. Vous pouvez créer des règles de pare-feu sur le cluster
interne pour n'autoriser que les requêtes associées à Exchange depuis la DMZ, en désignant des paramètres
source et destination précis. Vous pouvez aussi créer des règles depuis le cluster de DMZ pour n'autoriser
l'accès à cette DMZ que pour des destinations spécifiques HTTP, FTP ou SMTP.
Isolation et protection des réseaux internes
Vous pouvez utiliser un vShield Edge pour isoler un réseau interne depuis le réseau externe. vShield Edge
assure une protection de pare-feu périmétrique et des services de frontière pour sécuriser des machines
virtuelles dans un groupe de ports, en autorisant la communication avec le réseau externe par DHCP, la
traduction d'adresse NAT et les réseaux privés virtuels VPN.
Vous pouvez installer une instance de vShield App dans le groupe de ports sécurisé sur chaque hôte ESX
couvert par le vDS pour sécuriser la communication entre les machines virtuelles du réseau interne.
Si vous utilisez des étiquettes de VLAN pour segmenter le trafic, vous pouvez utiliser App Firewall pour créer
des stratégies d'accès plus intelligentes. En utilisant App Firewall plutôt qu'un pare-feu physique, vous pouvez
réduire ou associer des zones de confiance dans des clusters ESX partagés. Ceci permet d'assurer une utilisation
et une consolidation optimale de fonctions telles que DRS et HA, plutôt que d'utiliser des clusters séparés et
fragmentés. La gestion du déploiement ESX global sous forme de pool unique est moins complexe que la
gestion de pools séparées.
Vous pouvez par exemple utiliser des VLAN pour segmenter les zones de machines virtuelles par des frontières
logiques, d'organisation ou de réseau. Grâce au SDK d'infrastructure virtuelle, le panneau d'inventaire de
vShield Manager affiche une vue de vos réseaux VLAN sous la vue Réseaux. Vous pouvez construire des règles
d'accès pour chaque réseau VLAN et isoler les machines virtuelles pour abandonner le trafic non étiqueté vers
ces machines.
12 VMware, Inc.
Chapitre 1 Introduction à vShield
Protection des machines virtuelles dans un cluster
Vous pouvez utiliser vShield App pour protéger les machines virtuelles dans un cluster.
Dans Figure 1-3, les instances vShield App sont installées sur chaque hôte ESX dans un cluster. Les machines
virtuelles sont protégées lorsqu'elles sont transférées via vMotion ou DRS entres des hôtes ESX dans le cluster.
Chaque vApp partage et conserve l'état de toutes les transmissions.
Figure 1-3. Instances de vShield App installées sur chaque hôte ESX d'un cluster
Déploiements courants de vShield Edge
Vous pouvez utiliser un vShield Edge pour isoler un réseau d'extrémité en utilisant NAT pour permettre
l'entrée et la sortie du trafic sur le réseau. Si vous déployez des réseaux d'extrémité internes, vous pouvez
utiliser vShield Edge pour sécuriser la communication entre réseaux par chiffrement d'un réseau à l'autre avec
des tunnels VPN.
vShield Edge peut être déployé comme application en libre service dans VMware Cloud Director.
Déploiements courants de vShield App
Vous pouvez utiliser vShield App pour créer des zones de sécurité dans un vDC. Vous pouvez imposer des
stratégies de pare-feu sur des conteneurs vCenter ou des groupes de sécurité, qui sont des conteneurs
personnalisés que vous pouvez créer depuis l'interface utilisateur vShield Manager. Les stratégies par
conteneur permettent de créer des clusters de zones de confiance mixtes sans exiger de pare-feu physique
externe.
Dans un déploiement n'utilisant pas de vDC, utilisez vShield App avec la fonction de groupes de sécurité pour
créer des zones de confiance et appliquer les stratégies d'accès.
Les administrateurs des fournisseurs de service peuvent utiliser vShield App pour imposer des stratégies de
pare-feu larges sur toutes les machines virtuelles clientes dans un réseau interne. Vous pouvez par exemple
imposer une stratégie de pare-feu sur la deuxième carte réseau de toutes les machines virtuelles clientes
permettant à ces machines virtuelles de se connecter à un serveur de stockage, tout en empêchant ces machines
virtuelles de s'adresser à toute autre machine virtuelle.
VMware, Inc. 13
Loading...