NSX 네트워크 가상화를 스캔에 통합

• NSX 통합 사이트 내 활동
• vAsset 스캔 기능 요건
• vAsset 스캔 기능 구축 단계

가상 환경은 매우 가변적이어서 보안 측면에서 관리가 쉽지 않습니다. 자산은 온라인 및 오프라인 상태로 계속 전환됩니다. 관리자는 비즈니스 요구 사항의 변화에 따라 여러 운영 체제 또는 애플리케이션을 통해 자산의 용도를 변경합니다. 가상 자산을 추적하기는 쉽지 않으며 이러한 자산에 보안 정책을 적용하는 것은 더욱 큰 과제입니다.

vAsset Scan 기능은 Nexpose의 스캔 기능을 VMware NSX 네트워크 가상화 플랫폼과 통합해 이러한 과제에 대응합니다. 이러한 통합은 스캔 엔진이 가상 자산의 NSX 네트워크에 직접 액세스할 수 있도록 스캔 엔진을 이러한 네트워크 내의 보안 서비스로서 등록합니다. 이러한 방식은 여러 이점을 제공합니다.

• 이러한 통합에 따라 Nexpose 사이트가 자동으로 생성되므로 수동으로 사이트를 구성하지 않아도 됩니다.
• 이러한 통합 덕분에 스캔 자격 증명이 필요하지 않습니다. 스캔 엔진은 NSX 네트워크 내의 권한 있는 보안 서비스로서 자산에서 광범위한 데이터를 수집하기 위해 추가적인 인증을 필요로 하지 않습니다.
• NSX의 보안 관리 제어는 스캔 결과를 이용해 보안 정책을 자동으로 자산에 적용하므로 IT 또는 보안 팀은 시간을 절약할 수 있습니다. 예를 들어, 스캔이 특정한 정책을 위반하는 취약점을 표시하면, NSX는 영향을 받은 자산을 적절한 문제 해결 단계가 이루어질 때까지 격리할 수 있습니다.

注意: vAsset Scan 기능은 vAsset Discovery와는 다른 기능이자 라이센스 옵션으로서, 향후 스캔이 가능한 동적 사이트 생성과 관련됩니다. 이 기능에 대한 자세한 내용은 자산 동적 검색 관리를 참조하십시오.

NSX 통합 사이트 내 활동

NSX 통합 프로세스를 통해 사이트를 생성한 경우 사이트 구성에서 할 수 없는 조치:

• 통합 프로세스의 일부로서 동적으로 추가되는 자산 편집
• 프로세스의 일부로서 자동 구성되는 스캔 엔진 변경
• 전체 감사인 할당된 스캔 템플릿 변경
• 스캔 자격 증명 추가. 통합으로 Nexpose에 대상 자산에 대한 폭넓은 액세스가 제공되므로 자격 증명 불필요.

vAsset 스캔 기능 요건

vAsset Scan 기능을 사용하려면 다음 구성 요소가 필요합니다.

• 라이센스에 vAsset Scan 기능이 활성화된 Nexpose 설치
• VMware ESXi 5.5 호스트
• VMware vCenter Server 5.5
• VMware NSX 6.0 또는 6.1
• VMware 엔드포인트 구축
• VMware 엔드포인트 드라이버(VM용 씬 에이전트)

vAsset 스캔 기능 구축 단계

vScan 기능을 구축하는 단계의 순서는 다음과 같습니다.

1. VMware 엔드포인트 구축
2. 가상 어플라이언스(NexposeVA)를 vCenter에 구축
3. 애플리케이션과 VMware NSX와의 통합 준비
4. NSX 관리자에 Nexpose 등록
5. NSX로부터 스캔 엔진 구축
6. 보안 그룹 생성
7. 보안 정책 생성
8. Windows 가상 머신 전원 켜기
9. 보안 그룹 스캔

VMware 엔드포인트 구축

1. VMware vSphere 웹 클라이언트에 로그온합니다.
2. 홈 메뉴에서 네트워크 및 보안을 선택합니다.
3. 네트워크 및 보안 메뉴에서 설치를 선택합니다.
4. 설치 창에서 서비스 구축 탭을 선택합니다. 녹색 더하기 기호()를 클릭한 다음 VMware 엔드포인트 체크박스를 선택합니다. 다음 버튼을 클릭해 구축을 구성합니다.

vSphere 웹 클라이언트 - 서비스 및 스케줄 선택 창

1. 클러스터 선택 창에서, VMware 엔드포인트를 구축할 데이터센터와 클러스터를 선택니다. 다음을 클릭합니다.
2. 스토리지 선택 창에서 VMware 엔드포인트에 대한 데이터 저장소를 선택합니다. 다음을 클릭합니다.
3. 관리 네트워크 구성 창에서 VMware 엔드포인트에 대한 네트워크 및 IP 할당을 선택합니다. 다음을 클릭합니다.
4. 완료 준비 창에서 완료를 클릭합니다.

가상 어플라이언스(NexposeVA)를 vCenter에 구축

기존의 Nexpose 설치가 Linux 운영 체제에서 실행되고 있는 경우, 이 단계를 건너뛰고 애플리케이션과 VMware NSX와의 통합 준비로 직접 이동할 수 있습니다.

1. NexposeVA.ova 파일을 Rapid7 커뮤니티 https://community.rapid7.com/docs/DOC-2595에서 다운로드합니다.
2. VMware vSphere 클라이언트에 로그온합니다.
3. 파일 메뉴에서, OVF 템플릿 구축...을 선택합니다.
4. 소스 창에서 탐색...을 클릭한 다음 NexposeVA.ova 파일을 찾아 선택합니다. 다음을 클릭합니다.

vSphere 클라이언트 - 소스 > OVF 템플릿 세부 정보 창

5. 이름 및 위치 창에서 가상 어플라이언스의 이름을 입력하고 해당 인벤토리 위치를 선택합니다. 다음을 클릭합니다.
6. 호스트/클러스터 창에서 가상 어플라이언스를 구축할 데이터 센터와 클러스터를 선택합니다. 다음을 클릭합니다.
7. 스토리지 창에서 가상 어플라이언스의 데이터 저장소를 선택합니다. 다음을 클릭합니다.
8. 디스크 형식 창에서 가상 어플라이언스의 디스크 형식을 선택합니다. 이 형식은 구축하려는 데이터 저장소에 따라 다릅니다. 다음을 클릭합니다.
9. 네트워크 매핑 창에서 가상 어플라이언스를 구축할 네트워크를 선택합니다. 다음을 클릭합니다.
10. 가상 어플라이언스 구축에 대한 네트워크 설정을 자동으로 구성하기 위해 DHCP를 사용하지 않을 경우, 속성 창으로 이동해 기본 게이트웨이 주소, DNS 서버 주소, 네트워크 인터페이스 주소 및 넷마스크 주소를 입력합니다. 다음을 클릭합니다. 또는 DHCP를 사용 중인 경우, 이 단계를 생략합니다.
11. 완료 준비 창에서 구축 후 전원 켜기 체크박스를 선택합니다. 그다음 마침을 클릭합니다.

注意: 정적 IP 주소를 지금 구성하는 경우, 향후의 변경을 위해 OVF 속성을 편집해야 합니다.

애플리케이션과 VMware NSX와의 통합 준비

Nexpose를 이용하려면 가상 어플라이언스 스캔 엔진 복제본을 VMware NSX와 통합해야 합니다.

가상 어플라이언스 스캔 엔진을 Rapid7 커뮤니티 https://community.rapid7.com/docs/DOC-2595에서 다운로드하십시오. 그다음 Linux를 사용하는지, Windows를 사용하는지에 따라 다음 두 가지 단계 중 하나를 수행합니다.

Linux

1. Nexpose가 Linux 기반 운영 체제에 설치된 경우 셸 세션에 로그온합니다. 가상 어플라이언스를 사용하는 경우, 기본 사용자 이름과 암호는 모두 nexpose입니다.
2. 최선의 안전 조치로서, 로그온 후 즉시 자격 증명을 변경하십시오.
3. 다음의 스크립트를 루트로서 실행하거나 sudo를 사용합니다.

OVF_DEST=/opt/rapid7/nexpose/nsc/webapps/console/nse/ovf
NEXPOSEVASE_SRC='http://download2.rapid7.com/download/NeXpose-v4/NexposeVASE.ova'

mkdir -p $OVF_DEST
wget -P /tmp $NEXPOSEVASE_SRC

tar -xvf /tmp/NexposeVASE.ova -C /tmp
mv /tmp/NexposeVASE_OVF10.ovf $OVF_DEST/NexposeVASE.ovf
mv /tmp/system.vmdk $OVF_DEST/system.vmdk
chmod 644 $OVF_DEST/*
rm -f /tmp/NexposeVASE*

# TEMPORARY FIX - Hard-code private IP address in OVF file
sed -i 's/ <Property ovf:key="ip1" ovf:userConfigurable="true" ovf:type="string">/ <Property ovf:key="ip1" ovf:userConfigurable="true" ovf:type="string" ovf:value="169.254.1.100">/g' ${OVF_DEST}/NexposeVASE.ovf
sed -i 's/ <Property ovf:key="netmask1" ovf:userConfigurable="true" ovf:type="string">/ <Property ovf:key="netmask1" ovf:userConfigurable="true" ovf:type="string" ovf:value="255.255.255.0">/g' ${OVF_DEST}/NexposeVASE.ovf

스크립트의 OVF_DEST는 Nexpose가 기본 위치 /opt/rapid7/nexpose에 설치된 것으로 간주합니다. NexposeVA를 사용하지 않는 경우, Nexpose 설치 경로를 적절히 변경하십시오.

Windows

Windows 환경에서는 다음 단계를 따릅니다.

1. Nexpose 보안 콘솔이 설치된 Windows 컴퓨터에 로그온합니다.
2. Nexpose 가상 어플라이언스 스캔 엔진(NexposeVASE)을 http://download2.rapid7.com/download/NeXpose-v4/NexposeVASE.ova에서 다운로드합니다.
3. 7-Zip이 설치되지 않은 경우, http://www.7-zip.org/download.html에서 다운로드하고 설치합니다.
4. 7-Zip으로 NexposeVASE.ova 파일 압축을 풉니다.
5. NexposeVASE_OVF10.ovf를 NexposeVASE.ovf로 이름을 변경합니다.
6. NexposeVASE_OVF10.mf 파일을 삭제합니다.
7. nse/ovf 폴더를 C:\Program Files\[nexpose_installation_directory]\nsc\webapps\console에 생성합니다.
8. NexposeVASE.ovf 및 system.vmdk 파일을 C:\Program Files\[nexpose_installation_directory]\webapps\console\nse\ovf로 이동합니다.
9. NexposeVASE.ovf 파일을 텍스트 편집 응용 프로그램에서 엽니다.
10. 이 파일에서, ovf:value 속성을 ip1 키에 추가하고 값을 169.254.1.100으로 설정합니다.

<Property ovf:key="ip1" ovf:userConfigurable="true" ovf:type="string" ovf:value="169.254.1.100">

11. ovf:value 속성을 netmask1 키에 추가하고 값을 "255.255.255.0"으로 설정합니다.

<Property ovf:key="netmask1" ovf:userConfigurable="true" ovf:type="string" ovf:value="255.255.255.0">

12. 파일을 저장 후 닫습니다.
13. Nexpose에 가상 스캔 기능에 대한 라이센스가 있는지 확인합니다.
    
    
    1. Nexpose 보안 콘솔에서 관리 탭을 클릭합니다.
    2. 관리 페이지의 글로벌 및 콘솔 설정 아래에서 콘솔에 대한 관리자 링크를 선택합니다.
    3. 보안 콘솔 구성 패널에서 라이센스를 선택합니다.
    4. 라이센스 페이지에서, 라이센스가 지원되는 기능의 목록을 확인하고 가상 스캔에 녹색 표시가 있는지 확인합니다.
    
    
14. URL(
    https://[Security_Console_IP_address]:3780/nse/ovf/NexposeVASE.ovf)을 브라우저에 입력해 NexposeVASE.ovf 파일을 보안 콘솔에서 액세스할 수 있는지 확인합니다.

NSX 관리자에 Nexpose 등록

Nexpose를 가상 환경에 구축하기 전에 VMware NSX에 등록해야 합니다.

1. Nexpose 보안 콘솔에 로그온합니다.
   예: https://[IP_address_of_Virtual_Appliance]:3780
   기본 사용자 이름은 nxadmin이고 기본 암호는 nxpassword입니다.
2. 보안을 위해 로그인 후 즉시 이 기본 자격 증명을 변경하시기 바랍니다. 변경하려면 관리 아이콘을 클릭합니다. 관리 페이지에서 사용자 옆의 관리 링크를 클릭합니다. 사용자 페이지에서 기본 계정을 새로운 고유한 자격 증명으로 편집하고 저장을 클릭합니다.
3. 관리 페이지에서 NSX 관리자 옆의 생성 링크를 클릭해 Nexpose와 NSX 관리자 간 연결을 생성합니다.
4. NSX 연결 관리자 패널의 일반 페이지에서 연결 이름, NSX 관리자 서버의 정규화된 도메인 이름 및 포트 번호를 입력합니다. NSX 관리자의 기본 포트는 443입니다.

Nexpose NSX 연결 관리자 패널 - 일반 페이지

5. NSX 연결 관리자 패널의 자격 증명 페이지에서, NSX 관리자에 연결할 때 사용할 Nexpose 자격 증명을 입력합니다.

注意: 이러한 자격 증명은 NSX에서 미리 생성되어야 하며 사용자는 NSX Enterprise 관리자 역할을 보유해야 합니다.

Nexpose NSX 연결 관리자 패널 - 자격 증명 페이지

NSX로부터 스캔 엔진 구축

이 구축을 통해 NSX에서 보안 서비스로서 실행될 스캔 엔진을 인증합니다. 이에 따라 Nexpose에서 사이트가 자동으로 생성됩니다.

1. VMware vSphere 웹 클라이언트에 로그온합니다.
2. 홈 메뉴에서 네트워크 및 보안을 선택합니다.
3. 네트워크 및 보안 메뉴에서 설치를 선택합니다.
4. 설치 메뉴에서 서비스 구축을 선택합니다.

5. 설치 창에서 녹색 더하기 기호()를 클릭한 다음 Rapid7 Nexpose 스캔 엔진 체크박스를 선택합니다. 다음 버튼을 클릭해 구축을 구성합니다.

스캔 엔진 설정을 NSX에 구성

6. Rapid7 Nexpose 스캔 엔진을 구축할 클러스터를 선택합니다.

注意: 선택한 클러스터에서 하나의 스캔 엔진이 각 호스트에 구축됩니다.

7. 사용자의 환경 설정에 따라 구축을 구성하십시오. 마침을 클릭합니다.

스캔 엔진 설정을 NSX에 구성

注意: 스캔 엔진이 초기화되는 동안 서비스 상태가 경고에 표시됩니다.

보안 그룹 생성

이는 Nexpose가 스캔할 가상 머신의 그룹을 생성하는 절차입니다. 다음 절차를 통해 보안 정책을 이 그룹에 적용할 수 있습니다.

1. vSphere 웹 클라이언트의 홈 메뉴에서 네트워크 및 보안을 선택합니다.
2. vSphere 웹 클라이언트의 네트워크 및 보안 메뉴에서, 서비스 작성기를 선택합니다.
3. 서비스 작성기 창에서 새 보안 그룹을 클릭합니다.
4. 보안 그룹을 생성합니다. 동적 기준 선택을 이용하거나 개별 가상 머신 이름을 입력합니다.



NSX에 보안 그룹 생성

보안 정책 생성

이 새 정책은 스캔 엔진을 보안 그룹에 대한 엔드포인트 서비스로서 적용합니다.

1. 보안 그룹을 생성하고 선택한 다음 정책 적용을 클릭합니다. 그다음 새 보안 정책... 링크를 클릭합니다.
2. 다음의 설정을 선택하여 Rapid7 Nexpose 스캔 엔진 엔드포인트 서비스에 대한 새 보안 정책을 생성합니다.
   • 작업: 적용
   • 서비스 유형: 취약점 관리
   • 서비스 이름: Rapid7 Nexpose 스캔 엔진
   • 서비스 구성: 기본
   • 상태: 설정됨
   • 적용 여부: 예

3. 확인을 클릭합니다.

NSX에 보안 정책 생성

Windows 가상 머신 전원 켜기

이 가상 머신은 이 통합이 올바로 작동하는지 확인하기 위한 스캔 대상 역할을 합니다.

1. VMware Tools 버전 9.4.0 이상이 설치된 Windows 가상 머신의 전원을 켭니다.

보안 그룹 스캔

정책 규칙이 스캔 결과를 기준으로 보안 그룹 내에서 적용됩니다.

1. Nexpose 보안 콘솔에 로그온합니다.
2. 사이트 목록 표에서, NSX로부터 스캔 엔진을 구축했을 때 자동으로 생성된 사이트를 검색합니다.
3. 스캔을 시작하려면 스캔 아이콘을 클릭합니다.

스캔 모니터링에 대한 내용은 수동 스캔 실행을 참조하십시오.