将 NSX 网络虚拟化与扫描整合

NSX 整合站点中的活动
vAsset 扫描功能要求
vAsset 扫描功能部署步骤

虚拟环境是高度流动的，所以从安全角度看，管理它们是非常困难的。资产会频繁地上线掉线。管理员会根据业务需要的变化，通过不同的操作系统或应用程序重设这些资产。追踪虚拟资产是一项挑战，而在这些资产上强制执行安全政策更是倍加困难。

vAsset 扫描功能通过将 InsightVM 扫描与 VMware NSX 网络虚拟环境平台整合，解决了这个难题。整合操作通过将扫描引擎注册为 NSX 网络中的安全服务，从而使扫描引擎可以直接访问虚拟资产的 NSX 网络。这样做带来了几点优势：

整合会自动创建 InsightVM 站点，消除手动站点配置需要。
整合会消除使用扫描凭证的需要。作为 NSX 网络内的授权安全服务，扫描引擎不需要额外认证即可从资产收集广泛的数据。
NSX 中的安全管理控制使用扫描结果自动将安全政策应用于资产，为 IT 或安全团队节省了时间。例如，如果扫描标记一项漏洞为违反了某政策，那么 NSX 可以隔离受影响的资产直至执行了正确的修复步骤。

注意: vAsset 扫描功能是一项不同的功能，是 vAsset 发现中的许可选项，与创建后来被扫描的动态站点有关。若需更多关于此功能的信息，请参看管理动态资产发现。

NSX 整合站点中的活动

当您通过此 NSX 整合流程创建站点时，不得在站点配置中进行以下操作：

编辑在整合流程中动态添加的资产。
更改在整合流程中自动配置的扫描引擎。
更改已分配的“全面审计”扫描模板。
添加扫描凭证，该过程不需要扫描凭证，因为该整合流程向 InsightVM 提供了凭证同样会提供的对目标资产的访问深度。

vAsset 扫描功能要求

您需要以下组件才能使用 vAsset 扫描功能：

在 InsightVM 安装中启用许可证 vAsset 扫描功能
VMware ESXi 5.5 主机
VMware vCenter Server 5.5
VMware NSX 6.0 或 6.1
VMware Endpoint 部署
VMware Endpoint Drivers（适用于 VM 的精简代理)

vAsset 扫描功能部署步骤

部署 vScan 功能包括以下步骤顺序：

部署 VMware 端点
向 vCenter 部署虚拟装置 (NexposeVA)
准备本应用程序与 VMware NSX 整合
在 NSX 管理器注册 InsightVM
在 NSX 中部署扫描引擎
创建安全组
创建安全政策
开启 Windows 虚拟机
扫描安全组

部署 VMware 端点

登录 VMware vSphere 网页客户端。
在主页菜单上选择网络和安全。
在网络和安全菜单上，选择安装。
在安装窗格上选择服务部署标签。点击绿色加号标志 ()，再选择 VMware Endpoint 的复选框。然后点击下一步按钮以配置部署。

vSphere 网页客户端-选择服务和预定窗格

在选择集群窗格，选择部署 VMware Endpoint 的数据中心和集群。然后点击下一步。
在选择存储窗格，为 VMware Endpoint 选择数据存储。然后点击下一步。
在配置管理网络窗格，为 VMware Endpoint 选择网络和 IP 分配。然后点击下一步。
在准备完成窗格，点击完成。

向 vCenter 部署虚拟装置 (NexposeVA)

如果您有在 Linux 操作系统运行的现有 InsightVM 安装程序，则您可以跳过此步，直接前往主题准备本应用程序与 VMware NSX 整合。

在 Rapid7 社区 https://community.rapid7.com/docs/DOC-2595 下载 NexposeVA.ova 文件。
登录 VMware vSphere 客户端。
在文件菜单，选择部署 OVF 模板…
在来源窗格，点击浏览…，定位和选择 NexposeVA.ova 文件。然后点击下一步。

vSphere 客户端-来源 > OVF 模板细节窗格

在名称和位置窗格，输入虚拟装置的名称并选择一个库存位置。然后点击下一步。
在主机/集群窗格，选择一个部署虚拟装置的数据中心和集群。然后点击下一步。
在选择存储窗格，为虚拟装置选择数据存储。然后点击下一步。
在磁盘格式窗格，为虚拟装置选择磁盘格式。格式将取决于您将向其部署的数据存储。然后点击下一步。
在网络映射窗格，选择部署虚拟装置的网络。然后点击下一步。
如果您没有使用 DHCP 为虚拟装置部署自动配置网络设置，则前往属性窗格，输入默认网关地址、DNS 服务器地址、网络接口地址和网络掩码地址。然后点击下一步。或者，如果您正在使用 DHCP，则省略此步。
在准备完成窗格，选择部署后开启的复选框。然后点击完成。

注意: 如果您此时配置静态 IP 地址，那么您必须编辑 OVF 属性才能在未来做修改。

准备本应用程序与 VMware NSX 整合

Nexpose 需要一份虚拟装置扫描引擎才能与 VMware NSX 整合。

在 Rapid7 社区 https://community.rapid7.com/docs/DOC-2595 下载虚拟装置扫描引擎。然后，根据您正使用 Linux 还是 Windows，采取以下任意一组步骤。

Linux

登录到 Nexpose 安装于基于 Linux 操作系统的外壳会话。如果您正使用虚拟装置，则默认用户名和密码均为 nexpose。
从安全最佳实践考虑，请在登录后立即修改凭证。
以 root 身份或使用 sudo 运行以下脚本：

OVF_DEST=/opt/rapid7/nexpose/nsc/webapps/console/nse/ovf
NEXPOSEVASE_SRC='http://download2.rapid7.com/download/NeXpose-v4/NexposeVASE.ova'

mkdir -p $OVF_DEST
wget -P /tmp $NEXPOSEVASE_SRC

tar -xvf /tmp/NexposeVASE.ova -C /tmp
mv /tmp/NexposeVASE_OVF10.ovf $OVF_DEST/NexposeVASE.ovf
mv /tmp/system.vmdk $OVF_DEST/system.vmdk
chmod 644 $OVF_DEST/*
rm -f /tmp/NexposeVASE*

# TEMPORARY FIX - Hard-code private IP address in OVF file
sed -i 's/ <Property ovf:key="ip1" ovf:userConfigurable="true" ovf:type="string">/ <Property ovf:key="ip1" ovf:userConfigurable="true" ovf:type="string" ovf:value="169.254.1.100">/g' ${OVF_DEST}/NexposeVASE.ovf
sed -i 's/ <Property ovf:key="netmask1" ovf:userConfigurable="true" ovf:type="string">/ <Property ovf:key="netmask1" ovf:userConfigurable="true" ovf:type="string" ovf:value="255.255.255.0">/g' ${OVF_DEST}/NexposeVASE.ovf

脚本中的 OVF_DEST 假设 Nexpose 已安装于默认位置 /opt/rapid7/nexpose。如果您没有使用 NexposeVA，则按情况修改您的 Nexpose 安装路径。

Windows

如果您在 Windows 环境下，采取以下步骤：

登录到已安装了 InsightVM 安全控制台的 Windows 计算机。
在 http://download2.rapid7.com/download/NeXpose-v4/NexposeVASE.ova 下载 InsightVM 虚拟装置扫描引擎 (NexposeVASE)。
如果您没有安装 7-Zip，则在 http://www.7-zip.org/download.html 下载并安装。
从 7-Zip 中提取 NexposeVASE.ova 文件。
将 NexposeVASE_OVF10.ovf 重命名为 NexposeVASE.ovf。
删除 NexposeVASE_OVF10.mf 文件。
在 C:\Program Files\[nexpose_installation_directory]\nsc\webapps\console 中创建 nse/ovf folders。
将 NexposeVASE.ovf 和 system.vmdk 文件转移到 C:\Program Files\[nexpose_installation_directory]\webapps\console\nse\ovf。
用文本编辑应用程序打开 NexposeVASE.ovf 文件。
在文件中，向 ip1 key 添加一个 ovf:value property，并设置值为 169.254.1.100

向 netmask1 key 添加一个 ovf:value property，并设置值为“255.255.255.0”

保存并关闭文件。
验证 InsightVM 已获得使用虚拟扫描功能的许可证：
1. 点击 InsightVM 安全控制台的管理标签。
2. 在管理页面上，全部控制台设置选项下方，选择管理链接。
3. 在安全控制台配置面板，选择许可。
4. 在许可页面，查看需许可证支持的功能和被绿色勾号标记的虚拟扫描。
通过在浏览器中输入以下 URL，验证 NexposeVASE.ovf 文件是否可从安全控制台访问：
https://[Security_Console_IP_address]:3780/nse/ovf/NexposeVASE.ovf。

在 NSX 管理器注册 InsightVM

InsightVM 必须在 VMware NSX 注册后才能被部署到虚拟环境中。

登录 InsightVM 安全控制台。
例如：https://[IP_address_of_Virtual_Appliance]:3780
默认用户名是 nxadmin，默认密码 nxpassword。
从安全最佳实践考虑，请在登录后立即修改默认凭证。点击管理图标执行此操作。在管理页面，点击用户旁的管理链接。在用户页面，使用新的、唯一的凭证编辑默认账户，然后点击保存。
在管理页面，点击 NSX 管理器旁的创建链接，创建 InsightVM 和 NSX 管理器之间连接。
在 NSX 连接管理器面板的一般页面，为 NSX 管理器服务器输入一个连接名称、完全符合资格的域名和一个端口号。The default port for NSX Manager is 443.

InsightVM NSX 连接管理器面板-一般页面

在 NSX 连接管理器面板的凭证页面，输入当 Nexpose 与 NSX 管理器连接时使用的凭证。

注意: 这些凭证必须提前在 NSX 上创建，而用户必须拥有 NSX 企业版管理员角色。

InsightVM NSX 连接管理器面板-凭证页面

在 NSX 中部署扫描引擎

此部署授权扫描引擎在 NSX 中以安全服务来运行。也自动在 InsightVM 中创建一个站点。

登录 VMware vSphere 网页客户端。
在主页菜单上选择网络和安全。
在网络和安全菜单上，选择安装。
在安装菜单上，选择服务部署。

在安装窗格上，点击绿色加号标志 ()，然后选择 Rapid7 Nexpose 扫描引擎的复选框。然后点击下一步按钮以配置部署。

在 NSX 中配置扫描引擎设置

选择部署 Rapid7 Nexpose 扫描引擎的集群。

注意: 在所选的集群内将对每台主机部署一个扫描引擎。

根据您的环境设置配置部署。然后点击完成。

在 NSX 中配置扫描引擎设置

注意: 在扫描引擎初始化时服务状态将显示警告。

创建安全组

此程序包括创建让 InsightVM 扫描的一组虚拟机。您可按以下步骤将安全政策应用于此组。

在 vSphere 网页客户端的主页菜单中，选择网络和安全。
在 vSphere 网页客户端的网络和安全菜单中，选择服务组合器。
在服务组合器窗格，点击新安全组。
创建安全组。使用动态标准选择或输入单独虚拟机名称。

在 NSX 中创建安全组

创建安全政策

此新政策将扫描引擎作为用于安全组的端点服务。

创建安全组后，选择此安全组并点击应用政策。然后，点击新安全政策…链接。
为 Rapid7 Nexpose 扫描引擎端点服务创建新安全政策，可选择以下设置：
- 操作：应用
- 服务类型：漏洞管理
- 服务名称：Rapid7 Nexpose 扫描引擎
- 服务配置：默认
- 状态：已启用
- 已强制执行：是

点击确定。

在 NSX 中创建安全政策

开启 Windows 虚拟机

此机器将作为扫描目标，验证整合操作是否正确。

开启已安装了 VMware Tools 9.4.0 版本或更新版本的 Windows 虚拟机。

扫描安全组

此政策规则将基于扫描结果在安全组内强制执行。

登录 InsightVM 安全控制台。
在站点列表中，查找您在 NSX 部署扫描引擎时自动创建的站点。
点击扫描图标开始扫描。

若需关于监控扫描的信息，请参看运行手动扫描。