vShield-Administratorhandbuch

Transcription

vShield Manager 5.0
vShield App 5.0
vShield Edge 5.0
vShield Endpoint 5.0
Dieses Dokument unterstützt die aufgeführten Produktversionen
sowie alle folgenden Versionen, bis das Dokument durch eine neue
Auflage ersetzt wird. Die neuesten Versionen dieses Dokuments
finden Sie unter http://www.vmware.com/de/support/pubs.
DE-000694-00
Die neueste technische Dokumentation finden Sie auf der VMware-Website unter:
http://www.vmware.com/de/support/pubs/
Auf der VMware-Website finden Sie auch die aktuellen Produkt-Updates.
Falls Sie Anmerkungen zu dieser Dokumentation haben, senden Sie Ihre Kommentare und Vorschläge an:
[email protected]
Copyright © 2010, 2011 VMware, Inc. Alle Rechte vorbehalten. Dieses Produkt ist durch Urheberrechtsgesetze, internationale
Verträge und mindestens eines der unter http://www.vmware.com/go/patents-de aufgeführten Patente geschützt.
VMware ist eine eingetragene Marke oder Marke der VMware, Inc. in den USA und/oder anderen Ländern. Alle anderen in diesem
Dokument erwähnten Bezeichnungen und Namen sind unter Umständen markenrechtlich geschützt.
VMware, Inc.
3401 Hillview Ave.
Palo Alto, CA 94304
www.vmware.com
2
VMware Global, Inc.
Zweigniederlassung Deutschland
Freisinger Str. 3
85716 Unterschleißheim/Lohhof
Germany
Tel.: +49 (0) 89 3706 17000
Fax: +49 (0) 89 3706 17333
www.vmware.com/de
VMware, Inc.
Inhalt
Informationen zu diesem Handbuch 7
1 Überblick über vShield 9
Grundlegendes zu vShield-Komponenten 9
Migration von vShield-Komponenten 11
Grundlegendes zu VMware Tools auf vShield-Komponenten 12
Erforderliche Ports für die vShield-Kommunikation 12
2 Grundlegende Informationen zur vShield Manager-Benutzeroberfläche 13
Anmelden bei der vShield Manager-Benutzeroberfläche 13
Grundlegendes zur vShield Manager-Benutzeroberfläche 14
3 Einstellungen für das Managementsystem 17
Herstellen einer Verbindung zu vCenter Server 17
Registrieren von vShield Manager als vSphere Client-Plug-In 18
Festlegen von DNS-Diensten 18
Festlegen von Datum und Uhrzeit für vShield Manager 19
Herunterladen eines Protokolls für den technischen Support von einer Komponente 19
Anzeigen des vShield Manager-Status 19
Hinzufügen eines SSL-Zertifikats zum Authentifizieren des vShield Manager-Webdiensts 20
4 Benutzer-Management 23
Verwalten von Benutzerkonten 23
Verwalten des Standardbenutzerkontos 24
Fügen Sie ein Benutzerkonto hinzu 24
Bearbeiten eines Benutzerkontos 25
Ändern einer Benutzerrolle 26
Deaktivieren oder Aktivieren eines Benutzerkontos
Löschen eines Benutzerkontos 26
26
5 Aktualisieren von Systemsoftware 27
Anzeigen der aktuellen Systemsoftware
Hochladen eines Updates 27
Anzeigen des Update-Verlaufs 28
27
6 Sichern von vShield Manager-Daten 29
Sichern von vShield Manager-Daten bei Bedarf 29
Planen einer Sicherung von vShield Manager-Daten 30
Wiederherstellen einer Sicherung 31
VMware, Inc.
3
7 Systemereignisse und Überwachungsprotokolle 33
Anzeigen des Systemereignisberichts 33
Ereignisse für virtuelle vShield Manager-Appliance 33
vShield App-Ereignisse 34
Grundlegendes zum Syslog-Format 35
Anzeigen des Überwachungsprotokolls 35
8 Deinstallieren von vShield-Komponenten 37
Deinstallieren einer virtuellen vShield App-Appliance 37
Deinstallieren von vShield Edge aus einer Portgruppe 37
Deinstallieren eines vShield Endpoint-Moduls 38
9 vShield Edge-Management 39
Anzeigen des Status einer vShield Edge-Instanz 39
Angeben eines Remote-Syslog-Servers 40
Verwalten der vShield Edge-Firewall 40
Verwalten von NAT-Regeln 44
Verwalten des DHCP-Diensts 45
Verwalten des VPN-Diensts 47
Hinzufügen einer statischen Route 49
Verwalten des Lastausgleichsdiensts 50
Starten oder Anhalten von vShield Edge-Diensten 50
Upgrade der vShield Edge-Software 51
Erneutes Bereitstellen von vShield Edge 51
10 vShield App-Management 53
Senden von vShield App-Systemereignissen an einen Syslog-Server 53
Anzeigen des aktuellen Systemstatus einer vShield App-Instanz 54
11 vShield App Flow Monitoring 55
Grundlegendes zur Flow Monitoring-Anzeige 55
Ändern des Datumsbereichs der Flow Monitoring-Diagramme 56
Anzeigen einer bestimmten Anwendung in den Flow Monitoring-Diagrammen 56
Anzeigen des Flow Monitoring-Berichts 57
Löschen aller aufgezeichneten Flow-Daten 58
12 vShield App Firewall-Management 61
Verwenden der App Firewall 61
Arbeiten mit Anwendungen 63
Gruppieren von Objekten 65
Arbeiten mit Anwendungs-Firewallregeln
Verwenden von SpoofGuard 67
66
13 vShield Endpoint-Ereignisse und -Alarme 71
Anzeigen des vShield Endpoint-Status 71
vShield Endpoint-Alarme 72
vShield Endpoint-Ereignisse 72
Überwachungsmeldungen für vShield Endpoint 73
4
VMware, Inc.
Inhalt
14 vShield Data Security Management 75
vShield Data Security-Benutzerrollen 76
Definieren einer Datensicherheitsrichtlinie 76
Bearbeiten einer Datensicherheitsrichtlinie 78
Ausführen einer Datensicherheitsprüfung 79
Analysieren von Ergebnissen 79
Erstellen von regulären Ausdrücken 81
Verfügbare Bestimmungen 81
Verfügbare Content Blades 98
Unterstützte Dateiformate 120
15 Fehlerbehebung 125
Fehlerbehebung für die vShield Manager-Installation 125
Fehlerbehebung für Probleme bei der Ausführung 126
Fehlerbehebung für die Portgruppenisolierung 128
Beheben von vShield Edge-Problemen 132
Fehlerbehebung für vShield Endpoint 133
Fehlerbehebung für vShield Data Security 135
Index 137
VMware, Inc.
5
6
VMware, Inc.
Informationen zu diesem Handbuch
®
Im vorliegenden vShield-Administratorhandbuch wird beschrieben, wie Sie das VMware vShield™-System unter Verwendung von vShield Manager-Benutzeroberfläche, vSphere Client-Plug-In und Befehlszeilenschnittstelle installieren, konfigurieren, überwachen und warten. Zu den bereitgestellten Informationen gehören
Schrittanleitungen für die Konfiguration sowie empfohlene Vorgehensweisen.
Zielgruppe
Dieses Handbuch ist für alle Benutzer gedacht, die vShield in einer VMware vCenter-Umgebung installieren
oder verwenden möchten. Die Informationen in diesem Handbuch sind für erfahrene Systemadministratoren
bestimmt, die mit der Technologie virtueller Maschinen und dem Betrieb virtueller Datencenter vertraut sind.
In diesem Dokument wird vorausgesetzt, dass Sie bereits mit VMware Infrastructure 4.x, einschließlich
VMware ESX, vCenter Server und vSphere Client, vertraut sind.
VMware Technical Publications – Glossar
VMware Technical Publications stellt ein Glossar mit Begriffen bereit, mit denen Sie möglicherweise noch nicht
vertraut sind. Definitionen von Begriffen, die in der technischen Dokumentation von VMware verwendet
werden, finden Sie unter http://www.vmware.com/support/pubs.
Feedback zu diesem Dokument
VMware freut sich über Ihre Anregungen zur Verbesserung der Dokumentation. Bitte senden Sie Ihre Kommentare und Anregungen an [email protected].
Technischer Support und Schulungsressourcen
Ihnen stehen die folgenden Ressourcen für die technische Unterstützung zur Verfügung. Die aktuelle Version
dieses Handbuchs sowie weitere Handbücher finden Sie auf folgender Webseite:
http://www.vmware.com/support/pubs.
Online- und TelefonSupport
VMware, Inc.
Auf der folgenden Webseite können Sie über den Onlinesupport technische
Unterstützung anfordern, Ihre Produkt- und Vertragsdaten abrufen und Produkte registrieren: http://www.vmware.com/support.
7
Kunden mit entsprechenden Supportverträgen erhalten über den Telefonsupport schnelle Hilfe bei Problemen der Prioritätsstufe 1. Rufen Sie die folgende
Webseite auf: http://www.vmware.com/support/phone_support.html.
8
Support-Angebote
Informationen zum Support-Angebot von VMware und dazu, wie es Ihre geschäftlichen Anforderungen erfüllen kann, finden Sie unter
http://www.vmware.com/support/services.
VMware Professional
Services
Die VMware Education Services-Kurse umfassen umfangreiche praktische
Übungen, Fallbeispiele und Kursmaterialien, die bei der praktischen Arbeit als
Nachschlagewerke dienen. Kurse werden am Kundenstandort, in einer Kursraumumgebung und live im Internet angeboten. Für Pilotprogramme vor Ort
und die Best Practices für die Implementierung verfügt VMware Consulting
Services über Angebote, die Sie bei der Beurteilung, Planung, Erstellung und
Verwaltung Ihrer virtuellen Umgebung unterstützen. Informationen zu Schulungen, Zertifizierungsprogrammen und Consulting-Diensten finden Sie auf
der folgenden Webseite: http://www.vmware.com/services.
VMware, Inc.
Überblick über vShield
1
®
VMware vShield ist eine Suite aus virtuellen Sicherheits-Appliances, die für die VMware vCenter Serverund VMware ESX-Integration entwickelt wurden. vShield ist eine wichtige Sicherheitskomponente zum
Schutz von virtualisierten Datencentern vor Angriffen und Missbrauch, die Sie beim Erreichen Ihrer Compliance-Zielsetzungen unterstützt.
In diesem Handbuch wird vorausgesetzt, dass Sie über Administratorzugriff für das gesamte vShield-System
verfügen. Die anzeigbaren Ressourcen in der vShield Manager-Benutzeroberfläche können basierend auf der
zugewiesenen Rolle eines Benutzers, den gewährten Rechten und der Lizenzierung variieren. Wenn Sie auf
einen Bildschirm nicht zugreifen oder eine bestimmte Aufgabe nicht ausführen können, wenden Sie sich an
Ihren vShield-Administrator.
n
Grundlegendes zu vShield-Komponenten auf Seite 9
vShield umfasst Komponenten und Dienste, die für den Schutz von virtuellen Maschinen unerlässlich
sind. vShield kann über eine webbasierte Benutzeroberfläche, ein vSphere Client-Plug-In, eine Befehlszeilenschnittstelle und REST API konfiguriert werden.
n
Migration von vShield-Komponenten auf Seite 11
Virtuelle vShield Manager- und vShield Edge-Appliances können basierend auf DRS- und HA-Richtlinien automatisch oder manuell migriert werden. vShield Manager muss immer ausgeführt werden, daher müssen Sie vShield Manager migrieren, wenn der aktuelle ESX-Host neu gestartet oder einer Wartung unterzogen werden muss.
n
Grundlegendes zu VMware Tools auf vShield-Komponenten auf Seite 12
Die virtuellen vShield-Appliances umfassen VMware Tools. Die VMware Tools-Version einer virtuellen
vShield-Appliance darf weder aktualisiert noch deinstalliert werden.
n
Erforderliche Ports für die vShield-Kommunikation auf Seite 12
Grundlegendes zu vShield-Komponenten
vShield umfasst Komponenten und Dienste, die für den Schutz von virtuellen Maschinen unerlässlich sind.
vShield kann über eine webbasierte Benutzeroberfläche, ein vSphere Client-Plug-In, eine Befehlszeilenschnittstelle und REST API konfiguriert werden.
Zur Ausführung von vShield benötigen Sie eine virtuelle vShield Manager-Maschine und mindestens ein
vShield App- oder vShield Edge-Modul.
VMware, Inc.
9
vShield Manager
vShield Manager ist die zentrale vShield-Komponente für das Netzwerkmanagement. Diese Komponente wird
mithilfe einer OVA-Datei und unter Verwendung von vSphere Client als virtuelle Maschine installiert. Mit
der vShield Manager-Benutzeroberfläche können Sie vShield-Komponenten installieren, konfigurieren und
warten. vShield Manager kann auf einem anderen ESX-Host als die vShield App- und vShield Edge-Module
ausgeführt werden.
vShield Manager nutzt das VMware Infrastructure-SDK, um eine Kopie der vSphere Client-Bestandsliste anzuzeigen.
Weitere Informationen zur Verwendung der vShield Manager-Benutzeroberfläche finden Sie unter Kapitel 2,
„Grundlegende Informationen zur vShield Manager-Benutzeroberfläche“, auf Seite 13.
vShield Edge
vShield Edge bietet Netzwerk-Edge-Sicherheits- und -Gateway-Dienste zur Isolierung der virtuellen Maschi®
nen in einer Portgruppe, vDS-Portgruppe oder einem Cisco Nexus 1000V-Switch. vShield Edge verbindet
isolierte Stub-Netzwerke mit freigegebenen (Uplink-)Netzwerken durch die Bereitstellung von gängigen Gateway-Diensten wie DHCP, VPN, NAT und Lastausgleich. Gängige Implementierungen von vShield Edge
umfassen in DMZ-, VPN Extranets- und Multi-Tenant-Cloud-Umgebungen, in denen vShield Edge PerimeterSicherheit für virtuelle Datencenter (VDCs) bietet.
HINWEIS Sie müssen eine Evaluierungslizenz oder eine Lizenz für die Vollversion erwerben, um vShield Edge
nutzen zu können.
Standard-vShield EdgeDienste (einschließlich
vCloud Director)
Erweiterte vShield EdgeDienste
n
Firewall: Die unterstützten Regeln umfassen die IP 5-tuple-Konfiguration
mit IP- und Port-Bereichen für die statusbehaftete Inspektion für TCP,
UDP und ICMP.
n
Netzwerkadressübersetzung (NAT): Separate Steuerelemente für Quellund Ziel-IP-Adressen sowie TCP- und UDP-Portübersetzung.
n
Dynamic Host Configuration Protocol (DHCP): Konfiguration von IPPools, Gateways, DNS-Servern und Suchdomänen.
n
Virtuelles privates Site-to-Site-Netzwerk (VPN): Verwendet standardisierte IPsec-Protokolleinstellungen für die Interoperabilität mit allen großen Firewall-Anbietern.
n
Lastausgleich: Einfach und dynamisch konfigurierbare IP-Adressen und
Servergruppen.
vShield Edge unterstützt den Syslog-Export an Remote-Server für alle Dienste.
vShield App
vShield App ist eine interne Firewall auf vNIC-Ebene, mit der Sie Richtlinien für die Zugriffssteuerung unabhängig von der Netzwerktopologie erstellen können. Eine vShield App-Instanz überwacht den gesamten
eingehenden und ausgehenden Datenverkehr für einen ESX-Host, einschließlich von Datenverkehr zwischen
virtuellen Maschinen in derselben Portgruppe. vShield App umfasst die Datenverkehrsanalyse sowie die Erstellung von containerbasierten Richtlinien.
vShield App wird als Hypervisor-Modul und virtuelle Appliance für Firewall-Dienste installiert. vShield App
wird mit ESX-Hosts über VMsafe-APIs integriert und arbeitet mit VMware vSphere-Plattformfunktionen wie
DRS, vMotion, DPM und dem Wartungsmodus.
10
VMware, Inc.
Kapitel 1 Überblick über vShield
vShield App bietet Firewall-Funktionen zwischen virtuellen Maschinen, indem ein Firewall-Filter auf jedem
virtuellen Netzwerkadapter platziert wird. Der Firewall-Filter arbeitet transparent und erfordert keine Änderungen am Netzwerk oder an IP-Adressen, um Sicherheitszonen zu erstellen. Sie können Zugriffsregeln mithilfe von vCenter-Containern wie Datencentern, Clustern, Ressourcenpools und vApps sowie mithilfe von
Netzwerkobjekten wie Portgruppen und VLANs erstellen, um die Anzahl von Firewall-Regeln zu reduzieren
und eine einfachere Nachverfolgung der Regeln zu ermöglichen.
Sie sollten vShield App-Instanzen auf allen ESX-Hosts innerhalb eines Clusters installieren, damit VMware
vMotion™-Vorgänge ausgeführt werden können und virtuelle Maschinen geschützt bleiben, wenn sie zwischen ESX-Hosts migriert werden. Standardmäßig kann eine virtuelle vShield App-Appliance nicht mit vMotion verschoben werden.
Die Flow Monitoring-Funktion zeigt zugelassene und blockierte Netzwerk-Flows auf der Anwendungsprotokollebene an. Sie können diese Informationen verwenden, um den Datenverkehr im Netzwerk zu überwachen und Fehler in den operativen Vorgängen zu beheben.
HINWEIS Sie müssen eine Evaluierungslizenz oder eine Lizenz für die Vollversion erwerben, um vShield App
nutzen zu können.
vShield Endpoint
vShield Endpoint lagert die Verarbeitung von Antivirus- und Anti-Malware-Agenten auf eine dedizierte sichere virtuelle Appliance aus, die von VMware-Partnern bereitgestellt wird. Da die sichere virtuelle Appliance
(im Unterschied zu einer virtuellen Gastmaschine) nicht offline geschaltet wird, kann sie kontinuierlich Antivirus-Signaturen aktualisieren und dabei den virtuellen Maschinen auf dem Host unterbrechungsfreien Schutz
bieten. Zudem werden neue virtuelle Maschinen (oder vorhandene virtuelle Offline-Maschinen) sofort durch
die aktuellsten Antivirus-Signaturen geschützt, wenn sie wieder online geschaltet werden.
vShield Endpoint wird als Hypervisor-Modul und virtuelle Sicherheits-Appliance von einem DrittanbieterVirenschutzanbieter (VMware-Partner) auf einem ESX-Host installiert.
HINWEIS Sie müssen eine Evaluierungslizenz oder eine Lizenz für die Vollversion erwerben, um vShield
Endpoint nutzen zu können.
vShield Data Security
vShield Data Security bietet Sichtbarkeit in vertrauliche Daten, die in den virtualisierten und Cloud-Umgebungen Ihres Unternehmens gespeichert sind. Auf Basis der von vShield Data Security gemeldeten Verstöße
können Sie sicherzustellen, dass vertrauliche Daten angemessen geschützt und weltweit die jeweils geltenden
Bestimmungen eingehalten werden.
Migration von vShield-Komponenten
Virtuelle vShield Manager- und vShield Edge-Appliances können basierend auf DRS- und HA-Richtlinien
automatisch oder manuell migriert werden. vShield Manager muss immer ausgeführt werden, daher müssen
Sie vShield Manager migrieren, wenn der aktuelle ESX-Host neu gestartet oder einer Wartung unterzogen
werden muss.
Ein vShield Edge-System muss immer mit der zugehörigen sicheren Portgruppe verschoben werden, um Sicherheitseinstellungen und -dienste aufrechtzuerhalten.
Dienste für vShield App und Portgruppenisolierung können nicht auf einen anderen ESX-Host verschoben
werden. Wenn der ESX-Host, auf dem sich diese Dienste befinden, einer manuellen Wartung unterzogen
werden muss, müssen Sie das Kontrollkästchen [Move powered off and suspended virtual machines to other
hosts in the cluster] deaktivieren, damit diese virtuellen Appliances nicht migriert werden. Diese Dienste
werden neu gestartet, wenn der ESX-Host wieder online ist.
VMware, Inc.
11
Grundlegendes zu VMware Tools auf vShield-Komponenten
Die virtuellen vShield-Appliances umfassen VMware Tools. Die VMware Tools-Version einer virtuellen
vShield-Appliance darf weder aktualisiert noch deinstalliert werden.
Erforderliche Ports für die vShield-Kommunikation
Für vShield Manager müssen die folgenden Ports geöffnet werden:
12
n
Zugriff auf ESX-Hosts: 902/TCP und 903/TCP
n
REST API: 80/TCP und 443/TCP
n
Grafische Benutzeroberfläche: 80/TCP bis 443/TCP und Initiierung von Verbindungen mit vSphere vCenter-SDK.
n
SSH-Zugriff auf die Befehlszeilenschnittstelle (standardmäßig nicht aktiviert): 22/TCP
VMware, Inc.
Grundlegende Informationen zur
vShield Manager-Benutzeroberfläche
2
Die vShield Manager-Benutzeroberfläche bietet Konfigurations- und Datenanzeigeoptionen speziell zur
vShield-Verwendung. Durch Verwendung des VMware Infrastructure-SDK zeigt vShield Manager Ihre
vSphere Client-Bestandsliste an, damit Sie eine vollständige Sicht auf Ihre vCenter-Umgebung erhalten.
HINWEIS Sie können vShield Manager als vSphere Client-Plug-In registrieren. Auf diese Weise können Sie
vShield-Komponenten über vSphere Client konfigurieren. Weitere Informationen finden Sie unter „Registrieren von vShield Manager als vSphere Client-Plug-In“, auf Seite 18.
n
Anmelden bei der vShield Manager-Benutzeroberfläche auf Seite 13
Sie greifen über einen Webbrowser auf die vShield Manager-Verwaltungsoberfläche zu.
n
Grundlegendes zur vShield Manager-Benutzeroberfläche auf Seite 14
Die vShield Manager-Benutzeroberfläche ist in zwei Bereiche unterteilt: die Bestandsliste und das Konfigurationsfenster. Sie wählen eine Ansicht und eine Ressource in der Bestandsliste aus, um die verfügbaren Detailinformationen und Konfigurationsoptionen im Konfigurationsfenster zu öffnen.
Anmelden bei der vShield Manager-Benutzeroberfläche
Sie greifen über einen Webbrowser auf die vShield Manager-Verwaltungsoberfläche zu.
Vorgehensweise
1
Öffnen Sie ein Webbrowser-Fenster und geben Sie die IP-Adresse an, die dem vShield Manager zugewiesen ist.
Die vShield Manager-Benutzeroberfläche wird in einer SSH-Sitzung geöffnet.
2
Akzeptieren Sie das Sicherheitszertifikat.
HINWEIS Informationen zur Verwendung eines SSL-Zertifikats für die Authentifizierung finden Sie unter
„Hinzufügen eines SSL-Zertifikats zum Authentifizieren des vShield Manager-Webdiensts“, auf Seite 20.
Der Anmeldebildschirm von vShield Manager wird angezeigt.
3
Melden Sie sich bei der vShield Manager-Benutzeroberfläche mit dem Benutzernamen admin und dem
Kennwort default an.
Sie sollten das Standardkennwort baldmöglichst ändern, um dessen unbefugtem Gebrauch vorzubeugen.
Siehe „Bearbeiten eines Benutzerkontos“, auf Seite 25.
4
VMware, Inc.
Klicken Sie auf [Log In] .
13
Grundlegendes zur vShield Manager-Benutzeroberfläche
Die vShield Manager-Benutzeroberfläche ist in zwei Bereiche unterteilt: die Bestandsliste und das Konfigurationsfenster. Sie wählen eine Ansicht und eine Ressource in der Bestandsliste aus, um die verfügbaren Detailinformationen und Konfigurationsoptionen im Konfigurationsfenster zu öffnen.
Wenn Sie auf ein Bestandslistenobjekt klicken, werden im Konfigurationsfenster spezifische Registerkarten
für das Objekt angezeigt.
n
vShield Manager-Bestandsliste auf Seite 14
Die Hierarchie der vShield Manager-Bestandsliste bildet die vSphere Client-Bestandslistenhierarchie ab.
n
vShield Manager-Konfigurationsfenster auf Seite 15
Das vShield Manager-Konfigurationsfenster zeigt die Einstellungen, die basierend auf der ausgewählten
Bestandslistenressource und der Ausgabe der vShield-Operation konfiguriert werden können. Für jede
Ressource werden mehrere Registerkarten angezeigt, wobei jede Registerkarte Informationen oder Konfigurationsformulare enthält, die der jeweiligen Ressource entsprechen.
vShield Manager-Bestandsliste
Die Hierarchie der vShield Manager-Bestandsliste bildet die vSphere Client-Bestandslistenhierarchie ab.
Zu den angezeigten Ressourcen zählen Stammordner, Datencenter, Cluster, Portgruppen, ESX-Hosts und virtuelle Maschinen – einschließlich der installierten vShield App- und vShield Edge-Module. Als Ergebnis bietet
vShield Manager in Kombination mit der vCenter Server-Bestandsliste eine vollständige Ansicht Ihrer virtuellen Bereitstellung. vShield Manager ist die einzige virtuelle Maschine, die nicht in der vShield ManagerBestandsliste angezeigt wird. vShield Manager-Einstellungen werden über die Ressource [Settings & Reports]
oberhalb der Bestandsliste konfiguriert.
Die Bestandsliste bietet mehrere Ansichten: „Hosts & Clusters“, „Networks“ und „Secured Port Groups“. Die
Ansicht „Hosts & Clusters“ enthält die Datencenter, Cluster, Ressourcenpools und ESX-Hosts Ihrer Bestandsliste. Die Ansicht „Networks“ zeigt die VLAN-Netzwerke und Portgruppen in Ihrer Bestandsliste. In der Ansicht „Secured Port Groups“ werden die durch vShield Edge-Instanzen geschützten Portgruppen angezeigt.
Die Ansichten „Hosts & Clusters“ und „Networks“ sind mit den gleichnamigen Ansichten im vSphere-Client
konsistent.
In den Bestandslisten von vShield Manager und vSphere Client werden für virtuelle Maschinen und vShieldKomponenten unterschiedliche Symbole verwendet. Zur Anzeige des Unterschieds zwischen vShield-Komponenten und virtuellen Maschinen sowie zwischen geschützten und nicht geschützten virtuellen Maschinen
werden benutzerdefinierte Symbole verwendet.
Tabelle 2-1. Symbole für virtuelle vShield-Maschinen in der vShield Manager-Bestandsliste
Symbol
Beschreibung
Eine eingeschaltete vShield App-Instanz mit aktivem Schutzstatus.
Eine ausgeschaltete vShield App-Instanz.
Eine eingeschaltete virtuelle Maschine, die über vShield App geschützt wird.
Eine ausgeschaltete virtuelle Maschine, die nicht über vShield App geschützt wird.
14
VMware, Inc.
Kapitel 2 Grundlegende Informationen zur vShield Manager-Benutzeroberfläche
n
Aktualisieren der Bestandsliste auf Seite 15
Zum Aktualisieren der Ressourcenliste in der Bestandslistenansicht klicken Sie auf . Bei einer Aktualisierung werden aktuelle Ressourceninformationen von vCenter Server angefordert. Standardmäßig
fordert vShield Manager alle fünf Minuten Ressourceninformationen von vCenter Server an.
n
Durchsuchen der Bestandsliste auf Seite 15
Zum Durchsuchen einer Bestandsliste nach einer spezifischen Ressource geben Sie eine Suchzeichenfolge
in das Feld über der vShield Manager-Bestandsliste ein und klicken Sie auf .
Aktualisieren der Bestandsliste
Zum Aktualisieren der Ressourcenliste in der Bestandslistenansicht klicken Sie auf . Bei einer Aktualisierung
werden aktuelle Ressourceninformationen von vCenter Server angefordert. Standardmäßig fordert vShield
Manager alle fünf Minuten Ressourceninformationen von vCenter Server an.
Durchsuchen der Bestandsliste
Zum Durchsuchen einer Bestandsliste nach einer spezifischen Ressource geben Sie eine Suchzeichenfolge in
das Feld über der vShield Manager-Bestandsliste ein und klicken Sie auf .
vShield Manager-Konfigurationsfenster
Das vShield Manager-Konfigurationsfenster zeigt die Einstellungen, die basierend auf der ausgewählten Bestandslistenressource und der Ausgabe der vShield-Operation konfiguriert werden können. Für jede Ressource werden mehrere Registerkarten angezeigt, wobei jede Registerkarte Informationen oder Konfigurationsformulare enthält, die der jeweiligen Ressource entsprechen.
Da jede Ressource einem anderen Zweck dient, gelten einige Registerkarte nur für bestimmte Ressourcen.
Darüber hinaus weisen einige Registerkarten eine zweite Optionenebene auf.
VMware, Inc.
15
16
VMware, Inc.
Einstellungen für das
Managementsystem
3
vShield Manager muss mit vCenter Server und Diensten wie beispielsweise DNS und NTP kommunizieren
können, um Details zur VMware Infrastructure-Bestandsliste bereitzustellen.
Dieses Kapitel behandelt die folgenden Themen:
n
„Herstellen einer Verbindung zu vCenter Server“, auf Seite 17
n
„Registrieren von vShield Manager als vSphere Client-Plug-In“, auf Seite 18
n
„Festlegen von DNS-Diensten“, auf Seite 18
n
„Festlegen von Datum und Uhrzeit für vShield Manager“, auf Seite 19
n
„Herunterladen eines Protokolls für den technischen Support von einer Komponente“, auf Seite 19
n
„Anzeigen des vShield Manager-Status“, auf Seite 19
n
„Hinzufügen eines SSL-Zertifikats zum Authentifizieren des vShield Manager-Webdiensts“, auf Seite 20
Herstellen einer Verbindung zu vCenter Server
Beim Herstellen einer Verbindung zu vCenter Server wird vShield Manager aktiviert, um Ihre VMware Infrastructure-Bestandsliste anzuzeigen.
Vorgehensweise
1
Melden Sie sich beim vShield Manager an.
Bei der ersten Anmeldung wird vShield Manager mit geöffneter Registerkarte [Configuration > vCenter]
geöffnet. Wenn Sie die Registerkarte [vCenter] bereits zuvor konfiguriert haben, führen Sie die folgenden
Schritte aus:
a
Klicken Sie in der vShield Manager-Bestandsliste auf [Settings & Reports] .
b
Klicken Sie auf die Registerkarte [Configuration] .
Der Bildschirm [vCenter] wird angezeigt.
2
Geben Sie unterhalb von „vCenter Server Information“ im Feld [Server IP Address/Name] die IP-Adresse
Ihrer vCenter Server-Instanz ein.
3
Geben Sie im Feld [Administrator User Name] Ihren Benutzernamen für die vSphere Client-Anmeldung
ein.
Dieses Benutzerkonto muss über Administratorzugriff verfügen.
4
Geben Sie das Kennwort für den Benutzernamen in das Feld [Password] ein.
5
Klicken Sie auf [Save] .
VMware, Inc.
17
vShield Manager stellt eine Verbindung mit vCenter Server her, meldet sich an und verwendet das VMware
Infrastructure-SDK zum Auffüllen der vShield Manager-Bestandsliste. Die Bestandsliste wird im linken Bildschirmbereich angezeigt. Diese Ressourcenstruktur sollte mit Ihrer VMware Infrastructure-Bestandsliste übereinstimmen. vShield Manager erscheint nicht in der vShield Manager-Bestandsliste.
Registrieren von vShield Manager als vSphere Client-Plug-In
Die Option vSphere Plug-In ermöglicht es Ihnen, vShield Manager als vSphere Client-Plug-In zu registrieren.
Nachdem das Plug-In registriert wurde, können Sie die vShield Manager-Benutzeroberfläche von vSphere
Client aus öffnen.
Vorgehensweise
1
Wenn Sie beim vSphere Client angemeldet sind, melden Sie sich ab.
2
Melden Sie sich beim vShield Manager an.
3
Klicken Sie im vShield Manager-Bestandslistenbereich auf [Settings & Reports] .
4
5
Klicken Sie unter [vSphere Plug-in] auf [Register] .
Die Registrierung kann einige Minuten in Anspruch nehmen.
6
Melden Sie sich beim vSphere-Client an.
7
Wählen Sie einen ESX-Host aus.
8
Stellen Sie sicher, dass [vShield Install] als Registerkarte angezeigt wird.
Weiter
Sie können jetzt über vSphere Client vShield-Komponenten installieren und konfigurieren.
Festlegen von DNS-Diensten
Sie müssen beim vShield Manager-Setup mindestens einen DNS-Server angeben. Die angegebenen DNS-Server erscheinen in der vShield Manager-Benutzeroberfläche.
In der vShield Manager-Benutzeroberfläche können Sie bis zu drei DNS-Server angeben, die vShield Manager
für die Auflösung von IP-Adressen und Hostnamen verwenden kann.
Vorgehensweise
1
2
3
Geben Sie unterhalb von [DNS Servers] im Feld [Primary DNS IP Address] eine IP-Adresse an, um
den primären DNS-Server festzulegen.
Dieser Server wird für alle Anforderungen zur Namensauflösung als erster kontaktiert.
18
4
(Optional) Geben Sie im Feld [Secondary DNS IP Address] eine IP-Adresse ein.
5
(Optional) Geben Sie im Feld [Tertiary DNS IP Address] eine IP-Adresse ein.
6
VMware, Inc.
Kapitel 3 Einstellungen für das Managementsystem
Festlegen von Datum und Uhrzeit für vShield Manager
Sie können Datum, Uhrzeit und Zeitzone für vShield Manager festlegen, um Zeitstempel für Ereignisse und
Daten zu erstellen. Darüber hinaus können Sie eine Verbindung mit einem NTP-Server angeben, um eine
gemeinsame Netzwerkzeit festzulegen.
Vorgehensweise
1
2
3
Klicken Sie auf [Date/Time] .
4
Geben Sie im Feld [Date and Clock] das Datum und die Uhrzeit im Format JJJJ-MM-TT HH:MM:SS an.
5
Geben Sie im Feld [NTP Server] die IP-Adresse Ihres NTP-Servers ein.
Sie können den Hostnamen Ihres NTP-Servers angeben, wenn Sie DNS-Dienste eingerichtet haben.
6
Wählen Sie im Dropdown-Menü [Time Zone] die geeignete Zeitzone aus.
7
Herunterladen eines Protokolls für den technischen Support von einer
Komponente
Sie können das Systemprotokoll von einer vShield-Komponente auf Ihren PC herunterladen. Ein Systemprotokoll kann zur Behebung von Problemen bei der Ausführung verwendet werden.
Vorgehensweise
1
2
3
Klicken Sie auf [Support] .
4
Klicken Sie unter [Tech Support Log Download] neben der gewünschten Komponente auf [Initiate] .
Das Protokoll wird generiert und in vShield Manager heruntergeladen. Dieser Vorgang kann einige Sekunden in Anspruch nehmen.
5
Klicken Sie nach der Protokollerstellung auf den Link [Download] , um das Protokoll auf Ihren PC herunterzuladen.
Das Protokoll wird komprimiert und weist die proprietäre Dateierweiterung .blsl auf.
Weiter
Sie können das Protokoll mit einem Dienstprogramm für die Dekomprimierung öffnen, indem Sie das Speicherverzeichnis für die Datei mit der Option [All Files] durchsuchen.
Anzeigen des vShield Manager-Status
vShield Manager zeigt die Nutzung der Systemressourcen an und enthält Details zur Softwareversion, den
Lizenzstatus und die Seriennummer. Die Seriennummer muss zum Erhalt von Updates und Support beim
technischen Support registriert werden.
Vorgehensweise
1
2
VMware, Inc.
19
3
Klicken Sie auf [Status] .
Weiter
Siehe „Anzeigen der aktuellen Systemsoftware“, auf Seite 27.
Hinzufügen eines SSL-Zertifikats zum Authentifizieren des vShield
Manager-Webdiensts
Sie können ein SSL-Zertifikat generieren oder in vShield Manager importieren, um den vShield ManagerWebdienst zu authentifizieren und an den vShield Manager-Webserver gesendete Informationen zu verschlüsseln. Als empfohlene Vorgehensweise zur Gewährleistung der Sicherheit sollten Sie mit der Option zum
Generieren eines Zertifikats einen privaten und einen öffentlichen Schlüssel generieren. Der private Schlüssel
wird in vShield Manager gespeichert.
Vorgehensweise
1
2
3
Klicken Sie auf [SSL Certificate] .
4
Füllen Sie unter [Generate Certificate Signing Request] die folgenden Felder des Formulars aus:
5
Option
Aktion
[Common Name]
Geben Sie die IP-Adresse für den Standortnamen ein. Wenn die IP-Adresse
der vShield Manager-Verwaltungsschnittstelle beispielsweise 192.168.1.10
lautet, geben Sie 192.168.1.10 ein.
[Organization Unit]
Geben Sie die Abteilung innerhalb des Unternehmens ein, die das Zertifikat
anfordert.
[Organization Name]
Geben Sie den vollständigen eingetragenen Namen des Unternehmens ein.
[City Name]
Geben Sie den vollständigen Namen der Stadt ein, in der Ihr Unternehmen
ansässig ist.
[State Name]
Geben Sie den vollständigen Namen des Bundeslands/Kantons ein, in dem
Ihr Unternehmen ansässig ist.
[Country Code]
Geben Sie den zweistelligen Ländercode ein. Der Code für die Vereinigten
Staaten lautet beispielsweise US.
[Key Algorithm]
Wählen Sie als Kryptografiealgorithmus entweder DSA oder RSA aus.
[Key Size]
Wählen Sie die Anzahl von Bits im ausgewählten Algorithmus.
Klicken Sie auf [Generate] .
Importieren eines SSL-Zertifikats
Sie können ein bereits vorhandenes SSL-Zertifikat zur Verwendung durch vShield Manager importieren.
Vorgehensweise
20
1
2
3
Klicken Sie auf [SSL Certificate] .
4
Klicken Sie unter Import Signed Certificate im Abschnitt Certificate File auf [Browse] , um nach der Datei
zu suchen.
5
Wählen Sie in der Dropdown-Liste [Certificate Type] den Zertifikattyp aus.
VMware, Inc.
Kapitel 3 Einstellungen für das Managementsystem
6
Klicken Sie auf [Apply] .
Das Zertifikat wird in vShield Manager gespeichert.
VMware, Inc.
21
22
VMware, Inc.
Benutzer-Management
4
Sicherheitsvorgänge werden häufig von mehreren Benutzern verwaltet. Das Management des gesamten Systems wird basierend auf logischen Kategorien an verschiedene Mitarbeiter delegiert. Zum Ausführen der
Aufgaben sind jedoch nur diejenigen Benutzer berechtigt, die über die erforderlichen Rechte für bestimmte
Ressourcen verfügen. Im Benutzerabschnitt können Sie die Aufgaben für das Ressourcen-Management an
Benutzer delegieren, indem Sie die erforderlichen Rechte erteilen.
Das Benutzer-Management über die vShield Manager-Benutzeroberfläche und das Benutzer-Management
über die Befehlszeilenschnittstelle einer vShield-Komponente sind separat implementiert.
n
„Verwalten von Benutzerkonten“, auf Seite 23
n
„Verwalten des Standardbenutzerkontos“, auf Seite 24
n
„Fügen Sie ein Benutzerkonto hinzu“, auf Seite 24
n
„Bearbeiten eines Benutzerkontos“, auf Seite 25
n
„Ändern einer Benutzerrolle“, auf Seite 26
n
„Deaktivieren oder Aktivieren eines Benutzerkontos“, auf Seite 26
n
„Löschen eines Benutzerkontos“, auf Seite 26
Verwalten von Benutzerkonten
Auf der vShield Manager-Benutzeroberfläche definiert die Rolle eines Benutzers, welche Aktionen der Benutzer für eine bestimmte Ressource ausführen kann. Die Rolle legt fest, welche Rechte der Benutzer an der
Ressource hat, wodurch sichergestellt wird, dass ein Benutzer nur auf die Funktionen Zugriff hat, die zum
Ausführen notwendiger Vorgänge erforderlich sind. So kann der Zugriff auf bestimmte Ressourcen auf Domänenebene oder systemweit gesteuert werden, wenn Ihre Rechte nicht eingeschränkt sind.
Die folgenden Regeln werden erzwungen:
n
Ein Benutzer kann nur über ein Rolle verfügen.
n
Sie können einem Benutzer eine Rolle hinzufügen oder eine dem Benutzer zugewiesene Rolle entfernen.
Sie können allerdings auch die einem Benutzer zugewiesene Rolle ändern.
Tabelle 4-1. vShield Manager-Benutzerrollen
Recht
Berechtigungen
Enterprise Administrator
vShield-Vorgänge und -Sicherheit.
vShield Administrator
Nur vShield-Vorgänge: Zum Beispiel: Installieren von virtuellen Appliances, Konfigurieren von Portgruppen.
VMware, Inc.
23
Tabelle 4-1. vShield Manager-Benutzerrollen (Fortsetzung)
Recht
Berechtigungen
Security Administrator
Nur vShield-Sicherheit: Zum Beispiel: Definieren von Datensicherheitsrichtlinien, Erstellen von Portgruppen, Erstellen von Berichten für vShield-Module.
Auditor
Nur Lesen.
Der Geltungsbereich einer Rolle legt fest, welche Ressourcen ein bestimmter Benutzer anzeigen kann. Für
vShield-Benutzer stehen folgende Geltungsbereiche zur Verfügung.
Tabelle 4-2. Geltungsbereich für vShield Manager-Benutzer
Geltungsbereich
Beschreibung
Keine Beschränkung
Zugriff auf das gesamte vShield-System
Begrenzt den Zugriff auf die unten ausgewählten Portgruppen
Zugriff auf ein angegebenes Datencenter oder eine angegebene Portgruppe
Die Rollen „Enterprise Administrator“ und „vShield Administrator“ können nur vCenter-Benutzern zugewiesen werden und ihr Geltungsbereich ist global (keine Beschränkung).
Verwalten des Standardbenutzerkontos
Die Benutzeroberfläche von vShield Manager enthält ein lokales Benutzerkonto mit Zugriffsrechten auf alle
Ressourcen. Die Rechte dieses Benutzers können nicht bearbeitet und der Benutzer kann nicht gelöscht werden.
Der Standard-Benutzername lautet admin und das Standardkennwort ist default.
Ändern Sie das Kennwort für dieses Konto, wenn Sie sich erstmalig bei vShield Manager anmelden. Siehe
„Bearbeiten eines Benutzerkontos“, auf Seite 25.
Fügen Sie ein Benutzerkonto hinzu
Sie können entweder einen neuen lokalen vShield-Benutzer erstellen oder einem vCenter-Benutzer eine Rolle
zuweisen.
Erstellen eines neuen lokalen Benutzers
1
2
Klicken Sie auf die Registerkarte [Users] .
3
Klicken Sie auf [Add] .
Das Fenster „Assign Role“ wird geöffnet.
4
Klicken Sie auf [Create a new user local to vShield] .
5
Geben Sie eine [Email] -Adresse ein.
6
Geben Sie eine [Login ID] ein.
Dieser Name wird für die Anmeldung bei der vShield Manager-Benutzeroberfläche verwendet. Dieser
Benutzername und das zugehörige Kennwort können nicht für den Zugriff auf die vShield App- oder die
vShield Manager-Befehlszeilenschnittstelle verwendet werden.
24
7
Geben Sie zu Identifikationszwecken unter [Full Name] den vollständigen Namen des Benutzers ein.
8
Geben Sie in [Password] ein Kennwort für die Anmeldung ein.
9
Geben Sie das Kennwort im Feld [Retype Password] erneut ein.
10
Klicken Sie auf [Next] .
VMware, Inc.
Kapitel 4 Benutzer-Management
11
Wählen Sie die Rolle für den Benutzer aus und klicken Sie auf [Next] . Weitere Informationen zu den
verfügbaren Rollen finden Sie unter „Verwalten von Benutzerkonten“, auf Seite 23.
12
Wählen Sie den Geltungsbereich für den Benutzer aus und klicken Sie auf [Finish] .
Das Benutzerkonto wird in der Benutzertabelle angezeigt.
Zuweisen einer Rolle zu einem vCenter-Benutzer
Wenn Sie einem vCenter-Benutzer eine Rolle zuweisen, authentifiziert vCenter die Rolle mit Active Directory.
1
2
3
Das Fenster „Assign Role“ wird geöffnet.
4
Klicken Sie auf [Select vCenter user] .
5
Geben Sie den vCenter-Benutzernamen unter [User] ein.
HINWEIS Falls der vCenter-Benutzer von einer Domäne stammt, müssen Sie einen voll qualifizierten
Windows-Domänenpfad eingeben. Dieser Benutzername dient der Anmeldung bei der vShield ManagerBenutzerschnittstelle und kann nicht für den Zugriff auf die vShield App- oder die vShield ManagerBefehlszeilenschnittstelle verwendet werden.
6
7
Wählen Sie die Rolle für den Benutzer aus und klicken Sie auf [Next] . Weitere Informationen zu den
verfügbaren Rollen finden Sie unter „Verwalten von Benutzerkonten“, auf Seite 23.
8
Wählen Sie den Geltungsbereich für den Benutzer aus und klicken Sie auf [Finish] .
Das Benutzerkonto wird in der Benutzertabelle angezeigt.
Bearbeiten eines Benutzerkontos
Sie können ein Benutzerkonto bearbeiten, um das Kennwort, die Rolle und den Gültigkeitsbereich zu ändern.
Das admin-Konto kann nicht bearbeitet werden.
Vorgehensweise
1
2
3
Wählen Sie den Benutzer aus, den Sie bearbeiten möchten.
4
Klicken Sie auf [Edit] .
5
Nehmen Sie die gewünschten Änderungen vor.
Wenn Sie das Kennwort ändern, geben Sie das Kennwort zur Bestätigung erneut im Feld [Retype Password] ein.
6
VMware, Inc.
Klicken Sie auf [Finish] , um Ihre Änderungen zu speichern.
25
Ändern einer Benutzerrolle
Sie können die Rollenzuweisung für alle Benutzer ändern mit Ausnahme des admin-Benutzers.
Vorgehensweise
1
2
3
Wählen Sie den Benutzer aus, für den Sie die Rolle ändern möchten.
4
Klicken Sie auf [Change Role] .
5
Nehmen Sie die gewünschten Änderungen vor.
6
Klicken Sie auf [Finish] , um Ihre Änderungen zu speichern.
Deaktivieren oder Aktivieren eines Benutzerkontos
Sie können ein Benutzerkonto deaktivieren, um den entsprechenden Benutzer daran zu hindern, sich bei
vShield Manager anzumelden. Sie können den Benutzer admin nicht deaktivieren.
Vorgehensweise
1
2
3
Wählen Sie ein Benutzerkonto aus.
4
Führen Sie einen der folgenden Schritte aus:
n
Klicken Sie auf [Actions] > [Disable selected user(s)] , um ein Benutzerkonto zu deaktivieren.
n
Klicken Sie auf [Actions] > [Enable selected user(s)] , um ein Benutzerkonto zu aktivieren.
Löschen eines Benutzerkontos
Sie können jedes erstellte Benutzerkonto löschen. Das admin-Konto kann nicht gelöscht werden. Überwachungsdatensätze für gelöschte Benutzer werden in der Datenbank verwaltet und können in einem Überwachungsprotokollbericht referenziert werden.
Vorgehensweise
1
2
3
Wählen Sie den Benutzer aus, den Sie löschen möchten.
4
Klicken Sie auf [Delete] .
5
Klicken Sie auf [OK] , um den Löschvorgang zu bestätigen.
Wenn Sie ein vCenter-Benutzerkonto löschen, wird nur die Rollenzuweisung für vShield Manager gelöscht. Das Benutzerkonto auf vCenter wird nicht gelöscht.
26
VMware, Inc.
Aktualisieren von Systemsoftware
5
Für die vShield-Software sind regelmäßige Updates erforderlich, um die System-Performance aufrechtzuerhalten. Mithilfe der Optionen auf der Registerkarte [Updates] können Sie System-Updates installieren und
nachverfolgen.
n
Anzeigen der aktuellen Systemsoftware auf Seite 27
Sie können die aktuell installierten Versionen der vShield-Komponentensoftware anzeigen oder überprüfen, ob gerade ein Update ausgeführt wird.
n
Hochladen eines Updates auf Seite 27
vShield-Updates sind als Offline-Updates verfügbar. Wenn ein Update zur Verfügung gestellt wird,
können Sie es auf Ihren PC herunterladen und das Update anschließend über die vShield ManagerBenutzeroberfläche hochladen.
n
Anzeigen des Update-Verlaufs auf Seite 28
[Update History] listet die Updates auf, die bereits installiert wurden, einschließlich des Installationsdatums und einer kurzen Beschreibung des jeweiligen Updates.
Anzeigen der aktuellen Systemsoftware
Sie können die aktuell installierten Versionen der vShield-Komponentensoftware anzeigen oder überprüfen,
ob gerade ein Update ausgeführt wird.
Vorgehensweise
1
2
Klicken Sie auf die Registerkarte [Updates] .
3
Klicken Sie auf [Update Status] .
Hochladen eines Updates
vShield-Updates sind als Offline-Updates verfügbar. Wenn ein Update zur Verfügung gestellt wird, können
Sie es auf Ihren PC herunterladen und das Update anschließend über die vShield Manager-Benutzeroberfläche
hochladen.
Beim Hochladen des Updates werden zunächst vShield Manager und anschließend alle vShield Zones- bzw.
vShield App-Instanzen aktualisiert. Wenn ein Neustart von vShield Manager oder einer vShield Zones- oder
vShield App-Instanz erforderlich ist, werden Sie im Bildschirm [Update Status] zum Neustarten der Komponente aufgefordert. Wenn sowohl vShield Manager als auch alle vShield Zones- bzw. vShield App-Instanzen
neu gestartet werden müssen, muss zunächst vShield Manager und anschließend jede vShield Zones- bzw.
jede vShield App-Instanz neu gestartet werden.
VMware, Inc.
27
Vorgehensweise
1
2
3
Klicken Sie auf [Upload Settings] .
4
Klicken Sie auf [Browse] , um nach dem Update zu suchen.
5
Wenn Sie die Datei ausgewählt haben, klicken Sie auf [Upload File] .
6
Klicken Sie auf [Update Status] und anschließend auf [Install] .
7
Klicken Sie auf [Confirm Install] , um die Installation des Updates zu bestätigen.
Der angezeigte Bildschirm umfasst zwei Tabellen. Während der Installation wird in der oberen Tabelle
die Beschreibung, die Startzeit sowie der Erfolgs- und der Prozessstatus des aktuellen Updates angezeigt.
Die untere Tabelle zeigt den Update-Status der einzelnen vShield App-Instanzen. Wenn als Status der
letzten vShield App-Instanz [Finished] angezeigt wird, wurden alle vShield App-Instanzen aktualisiert.
8
Klicken Sie nach dem Neustart von vShield Manager auf die Registerkarte [Update Status] .
9
Klicken Sie bei Aufforderung auf [Reboot Manager] .
10
Klicken Sie auf [Finish Install] , um das System-Update abzuschließen.
11
Klicken Sie auf [Confirm] .
Anzeigen des Update-Verlaufs
[Update History] listet die Updates auf, die bereits installiert wurden, einschließlich des Installationsdatums
und einer kurzen Beschreibung des jeweiligen Updates.
Vorgehensweise
28
1
2
3
Klicken Sie auf [Update History] .
VMware, Inc.
Sichern von vShield Manager-Daten
6
Sie können Ihre vShield Manager-Daten – ggf. einschließlich von Systemkonfiguration, Ereignissen und Überwachungsprotokolltabellen – sichern und wiederherstellen. Konfigurationstabellen sind in jeder Sicherung
enthalten. System- und Überwachungsprotokollereignisse können Sie jedoch ausschließen. Sicherungen werden an einem Remote-Speicherort abgelegt, der über vShield Manager zugänglich sein muss.
Sicherungen können nach einem Zeitplan oder bei Bedarf ausgeführt werden.
n
Sichern von vShield Manager-Daten bei Bedarf auf Seite 29
Sie können vShield Manager-Daten jederzeit sichern, indem Sie eine On-Demand-Sicherung durchführen.
n
Planen einer Sicherung von vShield Manager-Daten auf Seite 30
Sie können zu jedem Zeitpunkt jeweils nur die Parameter für einen Sicherungstyp planen. Es ist nicht
möglich, zwei Sicherungen für eine gleichzeitige Ausführung zu planen, bei denen einmal nur Konfigurationsdaten und einmal die vollständigen Daten gesichert werden.
n
Wiederherstellen einer Sicherung auf Seite 31
Zum Wiederherstellen einer verfügbaren Sicherung müssen die Felder [Host IP Address] , [User
Name] , [Password] und [Backup Directory] auf dem Bildschirm [Backups] über Werte verfügen,
die den Speicherort der wiederherzustellenden Sicherung angeben. Wenn Sie eine Sicherung wiederherstellen, wird die aktuelle Konfiguration überschrieben. Wenn die Sicherungsdatei Systemereignisse
und Überwachungsprotokolldaten enthält, werden diese Daten ebenfalls wiederhergestellt.
Sichern von vShield Manager-Daten bei Bedarf
Sie können vShield Manager-Daten jederzeit sichern, indem Sie eine On-Demand-Sicherung durchführen.
Vorgehensweise
1
2
3
Klicken Sie auf [Backups] .
4
(Optional) Aktivieren Sie das Kontrollkästchen [Exclude System Events] , wenn Sie die Systemereignistabellen nicht sichern möchten.
5
(Optional) Aktivieren Sie das Kontrollkästchen [Exclude Audit Logs] , wenn Sie die Überwachungsprotokolltabellen nicht sichern möchten.
6
Geben Sie in [Host IP Address] die Host-IP-Adresse des Systems ein, auf dem die Sicherung gespeichert
wird.
7
(Optional) Geben Sie in [Host Name] den Hostnamen des Sicherungssystems ein.
VMware, Inc.
29
8
Geben Sie in [User Name] den erforderlichen Benutzernamen zur Anmeldung beim Sicherungssystem
ein.
9
Geben Sie in [Password] das dem Benutzernamen für das Sicherungssystem zugeordnete Kennwort ein.
10
Geben Sie im Feld [Backup Directory] den absoluten Pfad zu dem Verzeichnis ein, in dem die Sicherungen gespeichert werden sollen.
11
Geben Sie in [Filename Prefix] eine als Präfix für den Dateinamen zu verwendende Textzeichenfolge
ein.
Dieser Text wird dem Sicherungsdateinamen vorangestellt, um eine leichte Identifizierung auf dem Sicherungssystem zu ermöglichen. Wenn Sie beispielsweise ppdb als Präfix verwenden, lautet der Sicherungsname ppdbHH_MM_SS_TagTTMonJJJJ.
12
Geben Sie zum Sichern der Sicherungsdatei eine [Pass Phrase] ein.
13
Wählen Sie im Dropdown-Menü [Transfer Protocol] entweder das Protokoll [SFTP] oder das Protokoll [FTP] aus.
14
Klicken Sie auf [Backup] .
Nach Abschluss der Sicherung wird diese in einer Tabelle unterhalb dieses Formulars angezeigt.
15
Klicken Sie auf [Save Settings] , um die Konfiguration zu speichern.
Planen einer Sicherung von vShield Manager-Daten
Sie können zu jedem Zeitpunkt jeweils nur die Parameter für einen Sicherungstyp planen. Es ist nicht möglich,
zwei Sicherungen für eine gleichzeitige Ausführung zu planen, bei denen einmal nur Konfigurationsdaten
und einmal die vollständigen Daten gesichert werden.
Vorgehensweise
1
2
3
4
Wählen Sie im Dropdown-Menü [Scheduled Backups] die Option [On] .
5
Wählen Sie im Dropdown-Menü [Backup Frequency] die Option [Hourly] , [Daily] oder [Weekly] .
Je nach ausgewählter Häufigkeit werden die Dropdown-Menüs [Day of Week] , [Hour of Day] und
[Minute] deaktiviert. Wenn Sie beispielsweise [Daily] auswählen, wird das Dropdown-Menü [Day of
Week] deaktiviert, da dieses Feld bei einer täglichen Sicherung nicht zum Tragen kommt.
30
6
(Optional) Aktivieren Sie das Kontrollkästchen [Exclude System Events] , wenn Sie die Systemereignistabellen nicht sichern möchten.
7
(Optional) Aktivieren Sie das Kontrollkästchen [Exclude Audit Log] , wenn Sie die Überwachungsprotokolltabellen nicht sichern möchten.
8
Geben Sie in [Host IP Address] die Host-IP-Adresse des Systems ein, auf dem die Sicherung gespeichert
wird.
9
(Optional) Geben Sie in [Host Name] den Hostnamen des Sicherungssystems ein.
10
Geben Sie in [User Name] den erforderlichen Benutzernamen zur Anmeldung beim Sicherungssystem
ein.
11
Geben Sie in [Password] das dem Benutzernamen für das Sicherungssystem zugeordnete Kennwort ein.
12
Geben Sie im Feld [Backup Directory] den absoluten Pfad zu dem Verzeichnis ein, in dem die Sicherungen gespeichert werden sollen.
VMware, Inc.
Kapitel 6 Sichern von vShield Manager-Daten
13
Geben Sie in [Filename Prefix] eine als Präfix für den Dateinamen zu verwendende Textzeichenfolge
ein.
Dieser Text wird jedem Sicherungsdateinamen vorangestellt, um eine leichte Identifizierung auf dem
Sicherungssystem zu ermöglichen. Wenn Sie beispielsweise ppdb als Präfix verwenden, lautet der Sicherungsname ppdbHH_MM_SS_TagTTMonJJJJ.
14
Wählen Sie im Dropdown-Menü [Transfer Protocol] basierend auf der Unterstützung durch das Zielsystem entweder das Protokoll [SFTP] oder das Protokoll [FTP] aus.
15
Klicken Sie auf [Save Settings] .
Wiederherstellen einer Sicherung
Zum Wiederherstellen einer verfügbaren Sicherung müssen die Felder [Host IP Address] , [User Name] ,
[Password] und [Backup Directory] auf dem Bildschirm [Backups] über Werte verfügen, die den Speicherort
der wiederherzustellenden Sicherung angeben. Wenn Sie eine Sicherung wiederherstellen, wird die aktuelle
Konfiguration überschrieben. Wenn die Sicherungsdatei Systemereignisse und Überwachungsprotokolldaten
enthält, werden diese Daten ebenfalls wiederhergestellt.
WICHTIG Sichern Sie Ihre aktuellen Daten, bevor Sie eine Sicherungsdatei wiederherstellen.
Vorgehensweise
1
2
3
4
Klicken Sie auf [View Backups] , um alle verfügbaren Sicherungen anzuzeigen, die auf dem Sicherungsserver gespeichert wurden.
5
Aktivieren Sie das Kontrollkästchen für die Sicherung, die Sie wiederherstellen möchten.
6
Klicken Sie auf [Restore] .
7
Klicken Sie zur Bestätigung auf [OK] .
VMware, Inc.
31
32
VMware, Inc.
Systemereignisse und
Überwachungsprotokolle
7
Systemereignisse sind Ereignisse, die sich auf den Betrieb von vShield beziehen. Sie werden generiert, um
Detailinformationen zu Ereignissen bereitzustellen, die während des Betriebs auftreten – beispielsweise ein
Neustart von vShield App oder eine Kommunikationsunterbrechung zwischen vShield App und vShield Manager. Ereignisse können sich auf den allgemeinen Betrieb (Informational) oder auf einen kritischen Fehler
(Critical) beziehen.
n
„Anzeigen des Systemereignisberichts“, auf Seite 33
n
„Ereignisse für virtuelle vShield Manager-Appliance“, auf Seite 33
n
„vShield App-Ereignisse“, auf Seite 34
n
„Grundlegendes zum Syslog-Format“, auf Seite 35
n
„Anzeigen des Überwachungsprotokolls“, auf Seite 35
Anzeigen des Systemereignisberichts
vShield Manager fasst die Systemereignisse in einem Bericht zusammen, die nach vShield App und Schweregrad des Ereignisses gefiltert werden können.
Vorgehensweise
1
2
Klicken Sie auf die Registerkarte [System Events] .
3
(Optional) Wählen Sie eine oder mehrere vShield App-Instanzen aus dem Feld [vShield] aus.
Standardmäßig werden alle vShield App-Instanzen ausgewählt.
4
Wählen Sie im Dropdown-Menü [and Severity] einen Schweregrad aus, nach dem die Ergebnisse gefiltert
werden sollen.
Standardmäßig sind alle Schweregrade enthalten. Sie können einen oder mehrere Schweregrade gleichzeitig auswählen.
5
Klicken Sie auf [View Report] .
6
Klicken Sie in der Berichtsausgabe auf einen [Event Time] -Link, um Details zu einem bestimmten Ereignis
anzuzeigen.
Ereignisse für virtuelle vShield Manager-Appliance
Die folgenden Ereignisse sind spezifisch für die virtuelle vShield Manager-Appliance.
VMware, Inc.
33
Tabelle 7-1. Ereignisse für virtuelle vShield Manager-Appliance
Ausschalten
Einschalten
Schnittstelle nicht verfügbar
Schnittstelle verfügbar
Lokale CLI
Führen Sie den Befehl
show log follow aus.
GUI
–
–
–
–
Tabelle 7-2. Ereignisse für virtuelle vShield Manager-Appliance
CPU
Arbeitsspeicher
Speicher
Lokale CLI
Führen Sie den Befehl show process monitor aus.
Führen Sie den Befehl show system memory aus.
Führen Sie den Befehl show filesystem aus.
GUI
Siehe „Anzeigen des vShield Manager-Status“, auf Seite 19.
vShield App-Ereignisse
Die folgenden Ereignisse sind spezifisch für die virtuellen vShield App-Appliances.
Tabelle 7-3. vShield App-Ereignisse
34
Schnittstelle nicht verfügbar
Schnittstelle verfügbar
Führen Sie den Befehl show log
follow aus.
Führen Sie den Befehl show
log follow aus.
Führen Sie den Befehl show
log follow aus.
–
Weitere Informationen hierzu finden Sie unter
„Grundlegendes
zum Syslog-Format“, auf Seite 35.
e1000: mgmt:
e1000_watchdog_task:
NIC Link is Up/Down 100
Mbps Full Duplex. Für ein
Skripting auf dem Syslog-Server suchen Sie nach
NIC Link is.
e1000: mgmt: e1000_watchdog_task: NIC Link is
Up/Down 100 Mbps Full
Duplex. Für ein Skripting auf
dem Syslog-Server suchen Sie
nach NIC Link is.
Fehler vom Typ
„Heartbeat failure“
im Systemereignisprotokoll. Weitere
Informationen
hierzu finden Sie
unter „Anzeigen
des Systemereignisberichts“,
auf Seite 33.
Weitere Informationen hierzu finden Sie unter „Anzeigen des aktuellen Systemstatus
einer vShield
App-Instanz“,
auf Seite 54.
Weitere Informationen hierzu
finden Sie unter „Anzeigen
des aktuellen Systemstatus einer vShield App-Instanz“,
auf Seite 54.
finden Sie unter „Anzeigen des
aktuellen Systemstatus einer
vShield App-Instanz“, auf Seite 54.
Ausschalten
Einschalten
Lokale CLI
follow aus.
Syslog
GUI
VMware, Inc.
Kapitel 7 Systemereignisse und Überwachungsprotokolle
Tabelle 7-4. vShield App-Ereignisse
Zurücksetzung der Sitzung
aufgrund von DoS, Inaktivität
oder Daten-Timeouts
CPU
Arbeitsspeicher
Speicher
Lokale CLI
show process monitor aus.
show system memory aus.
show filesystem
aus.
follow aus.
Syslog
–
–
–
finden Sie unter „Grundlegendes zum Syslog-Format“,
auf Seite 35.
GUI
Weitere Informationen hierzu finden Sie
unter „Anzeigen des
aktuellen Systemstatus einer vShield AppInstanz“, auf Seite 54.
Prüfen Sie das Systemereignisprotokoll. Weitere Informationen hierzu finden Sie unter
„Anzeigen des Systemereignisberichts“, auf Seite 33.
Grundlegendes zum Syslog-Format
Im Syslog-Protokoll aufgezeichnete Systemereignisse weisen das folgende Format auf.
syslog header (timestamp + hostname + sysmgr/)
Timestamp (from the service)
Name/value pairs
Name and value separated by delimiter '::' (double colons)
Each name/value pair separated by delimiter ';;' (double semi-colons)
Die Felder und Typen des Systemereignisses enthalten die folgenden Informationen.
Event ID :: 32 bit unsigned integer
Timestamp :: 32 bit unsigned integer
Application Name :: string
Application Submodule :: string
Application Profile :: string
Event Code :: integer (possible values: 10007 10016 10043 20019)
Severity :: string (possible values: INFORMATION LOW MEDIUM HIGH CRITICAL)
Message ::
Anzeigen des Überwachungsprotokolls
Auf der Registerkarte [Audit Logs] wird eine Ansicht der von allen vShield Manager-Benutzern durchgeführten Aktionen bereitgestellt. vShield Manager speichert Überwachungsprotokolldaten für ein Jahr, anschließend werden die Daten verworfen.
Vorgehensweise
1
2
Klicken Sie auf die Registerkarte [Audit Logs] .
VMware, Inc.
35
3
36
Schränken Sie die Ausgabe ein, indem Sie auf einen oder mehrere Spaltenfilter klicken.
Option
Aktion
[User Name]
Wählen Sie den Anmeldenamen eines Benutzers, der die Aktion ausgeführt
hat.
[Module]
Wählen Sie die vShield-Ressource, für die die Aktion durchgeführt wurde.
[Operation]
Wählen Sie die Art der durchgeführten Aktion.
[Status]
Wählen Sie als Ergebnis einer Aktion entweder „Success“ oder „Failure“.
[Operation Span]
Wählen Sie die vShield-Komponente, auf der die Aktion durchgeführt wurde. [Local] bezieht sich auf vShield Manager.
VMware, Inc.
Deinstallieren von vShieldKomponenten
8
In diesem Kapitel werden die erforderlichen Schritte zur Deinstallation von vShield-Komponenten aus Ihrer
vCenter-Bestandsliste beschrieben.
HINWEIS In der vShield-Kurzanleitung wird die Installation von vShield-Komponenten beschrieben.
n
„Deinstallieren einer virtuellen vShield App-Appliance“, auf Seite 37
n
„Deinstallieren von vShield Edge aus einer Portgruppe“, auf Seite 37
n
„Deinstallieren eines vShield Endpoint-Moduls“, auf Seite 38
Deinstallieren einer virtuellen vShield App-Appliance
Beim Deinstallieren von vShield App wird die virtuelle Appliance vom Netzwerk und aus vCenter Server
entfernt.
VORSICHT Bei der Deinstallation einer vShield App wird der ESX-Host in den Wartungsmodus versetzt. Nach
Abschluss der Deinstallation wird der ESX-Host neu gestartet. Wenn auf dem ESX-Zielhost ausgeführte virtuelle Maschinen nicht auf einen anderen ESX-Host migriert werden können, müssen diese virtuellen Maschinen zum Fortsetzen der Deinstallation ausgeschaltet oder manuell migriert werden. Wenn vShield Manager auf demselben ESX-Host ausgeführt wird, muss vShield Manager vor der Deinstallation von vShield
App migriert werden.
Vorgehensweise
1
Melden Sie sich beim vSphere Client an.
2
Wählen Sie den ESX-Host in der Bestandslistenstruktur aus.
3
Klicken Sie auf die Registerkarte [vShield] .
4
Klicken Sie für den [vShield App] -Dienst auf [Uninstall] .
Die Instanz wird deinstalliert.
Deinstallieren von vShield Edge aus einer Portgruppe
Sie können vShield Edge unter Verwendung des vSphere-Clients für eine sichere Portgruppe deinstallieren.
Vorgehensweise
1
2
Navigieren Sie zu [View] > [Inventory] > [Networking] .
VMware, Inc.
37
3
Klicken Sie auf die Registerkarte [Edge] .
4
Klicken Sie auf [Uninstall] .
Deinstallieren eines vShield Endpoint-Moduls
Beim Deinstallieren eines vShield Endpoint-Moduls wird ein vShield Endpoint-Modul von einem ESX-Host
entfernt. Sie entfernen vShield Endpoint, indem Sie die folgenden Aktionen der Reihe nach durchführen.
Aufheben der Registrierung einer SVM für ein vShield Endpoint-Modul
Bevor Sie das vShield Endpoint-Modul von vShield Manager deinstallieren, müssen Sie die Registrierung der
SVM aus dem vShield Endpoint-Modul entfernen. Halten Sie sich dabei an die Anweisungen des Anbieters.
Deinstallieren des vShield Endpoint-Moduls aus vSphere Client
Beim Deinstallieren eines vShield Endpoint-Moduls wird das vShield Endpoint-Modul von einem ESX-Host
entfernt, der ESX-Host in den Wartungsmodus versetzt und der ESX-Host neu gestartet.
VORSICHT Migrieren Sie vShield Manager und andere virtuelle Maschinen auf einen anderen ESX-Host, um
das Herunterfahren dieser virtuellen Maschinen während des Neustarts zu verhindern.
Vorgehensweise
1
2
Wählen Sie einen ESX-Host aus der Bestandslistenstruktur aus.
3
4
Klicken Sie für den [vShield Endpoint] -Dienst auf [Uninstall] .
Bei der Deinstallation wird die Portgruppe epsec-vmk-1 und der vSwitch epsec-vswitch-2 entfernt.
38
VMware, Inc.
vShield Edge-Management
9
vShield Edge bietet Netzwerk-Edge-Sicherheits- und -Gateway-Dienste zur Isolierung der virtuellen Maschi®
nen in einer Portgruppe, vDS-Portgruppe oder einem Cisco Nexus 1000V-Switch. vShield Edge verbindet
isolierte Stub-Netzwerke mit freigegebenen (Uplink-)Netzwerken durch die Bereitstellung von gängigen Gateway-Diensten wie DHCP, VPN, NAT und Lastausgleich. Gängige Implementierungen von vShield Edge
umfassen in DMZ-, VPN Extranets- und Multi-Tenant-Cloud-Umgebungen, in denen vShield Edge PerimeterSicherheit für virtuelle Datencenter (VDCs) bietet.
n
„Anzeigen des Status einer vShield Edge-Instanz“, auf Seite 39
n
„Angeben eines Remote-Syslog-Servers“, auf Seite 40
n
„Verwalten der vShield Edge-Firewall“, auf Seite 40
n
„Verwalten von NAT-Regeln“, auf Seite 44
n
„Verwalten des DHCP-Diensts“, auf Seite 45
n
„Verwalten des VPN-Diensts“, auf Seite 47
n
„Hinzufügen einer statischen Route“, auf Seite 49
n
„Verwalten des Lastausgleichsdiensts“, auf Seite 50
n
„Starten oder Anhalten von vShield Edge-Diensten“, auf Seite 50
n
„Upgrade der vShield Edge-Software“, auf Seite 51
n
„Erneutes Bereitstellen von vShield Edge“, auf Seite 51
Anzeigen des Status einer vShield Edge-Instanz
Über die Option [Status] wird die Netzwerkkonfiguration und der Status von Diensten eines vShield EdgeModuls angezeigt. Die angezeigten Details umfassen Schnittstellenadressen und Netzwerk-ID. Die NetzwerkID kann zum Senden von REST API-Befehlen an ein vShield Edge-Modul verwendet werden.
Vorgehensweise
1
Navigieren Sie in vSphere Client zu [Bestandsliste] > [Netzwerk] .
2
Wählen Sie eine interne Portgruppe aus, die von einer vShield Edge-Instanz geschützt ist.
3
Klicken Sie auf die Registerkarte [vShield Edge] .
VMware, Inc.
39
Angeben eines Remote-Syslog-Servers
Sie können vShield Edge-Ereignisse (z.B. das Verletzen von Firewall-Regeln) an einen Syslog-Server senden.
Vorgehensweise
1
2
3
4
Klicken Sie auf [Status] .
5
Erweitern Sie den Bereich „Remote Syslog Servers“.
6
Das Dialogfeld „Edit Syslog Servers Configuration“ wird angezeigt.
7
Geben Sie die IP-Adresse des Remote-Syslog-Servers ein.
8
Klicken Sie auf [OK] , um die Konfiguration zu speichern.
Verwalten der vShield Edge-Firewall
vShield Edge bietet Firewall-Schutz für eingehende und ausgehende Sitzungen. Die standardmäßige Firewallrichtlinie blockiert den gesamten Datenverkehr. Zusätzlich zur standardmäßigen Firewallrichtlinie können Sie einen Satz von Regeln erstellen, um Datenverkehrssitzungen zwischen bestimmten Quellen und Zielen
zuzulassen oder zu blockieren. Die standardmäßige Firewall-Richtlinie und der Satz von Firewall-Regeln
werden für jeden vShield Edge-Agenten separat verwaltet.
Bearbeiten der standardmäßigen Firewalleinstellungen
Sie können die Standardeinstellungen für Firewallregeln bearbeiten. Die standardmäßigen Firewalleinstellungen gelten für Datenverkehr, der unter keine der Firewallregeln fällt.
Vorgehensweise
1
2
3
4
Klicken Sie auf [Firewall] .
5
Klicken Sie im Bereich [Default Firewall Settings] auf [Configure Settings] .
Das Dialogfeld „Edit Default Policy Configuration“ wird angezeigt.
40
6
Wählen Sie als [Default Traffic Policy] entweder [Block] oder [Allow] aus. Der Standardwert ist
[Block] .
7
Wählen Sie als [Default Policy Logging] entweder [Enable] oder [Disable] aus. Falls die Protokollierung aktiviert ist, werden die Firewallregeln in die vShield Edge-Protokolle geschrieben. Falls ein RemoteSyslog-Server konfiguriert ist, werden die Protokolle auch auf dem Remote-Syslog-Server angezeigt.
8
Klicken Sie unter [ICMP Errors] entweder auf [Block] oder [Allow] .
9
Klicken Sie auf [OK] .
VMware, Inc.
Kapitel 9 vShield Edge-Management
Erstellen einer IP- oder MAC-Adressgruppe
Sie können eine IP- oder MAC-Adressgruppe erstellen, die aus einem Bereich von IP-/MAC-Adressen besteht.
Sie können diese Gruppe anschließend als Quelle oder Ziel in einer Firewallregel verwenden.
Vorgehensweise
1
Klicken Sie in vSphere Client auf eine Datencenterressource.
2
3
Klicken Sie auf die Registerkarte [Grouping] .
4
Klicken Sie auf [Add] und wählen Sie [IP Addresses] oder [MAC Addresses] aus.
Das Fenster „Add IP Addresses“ bzw. „Add MAC Addresses“ wird geöffnet.
5
Geben Sie einen Namen für die Adressgruppe ein.
6
Geben Sie eine Beschreibung für die Adressgruppe ein.
7
Geben Sie die IP- bzw. MAC-Adressen ein, die zur Gruppe hinzugefügt werden sollen.
8
Klicken Sie auf [OK.]
Hinzufügen einer vShield Edge-Firewallregel
Über vShield Edge-Firewall-Regeln wird Datenverkehr basierend auf den folgenden Kriterien zugelassen oder
abgelehnt:
Tabelle 9-1. vShield Edge - Kriterium für Firewallregeln
Kriterien
Beschreibung
[Quelle]
IP-Adresse des Ursprungs der Kommunikation.
[Quellport]
Port oder Portbereich des Ursprungs der Kommunikation. Trennen Sie beim Eingeben
eines Portbereichs den unteren und oberen Bereichswert durch einen Bindestrich. Beispiel: 1000-1100.
[Ziel]
IP-Adresse des Ziels der Kommunikation.
[Art des Datenverkehrs]
Anwendung oder Protokoll, für die die Regel gilt.
[Intf(Dir)]
Schnittstelle und Richtung der Übertragung.
[Aktion]
Die bei der Übertragung zu erzwingende Aktion. Mögliche Optionen sind „Allow“ bzw.
„Block“. Die Standardaktion für jede Art von Datenverkehr lautet „Allow“.
[Protokoll]
Gibt an, ob Details zum Datenverkehr protokolliert werden oder nicht.
[Enable]
Firewallregel ist aktiviert oder deaktiviert.
Sie können für dynamische Dienste wie FTP und RPC, die zum Durchführen einer Übertragung mehrere Ports
benötigen, einer Regel Ziel- und Quellportbereiche hinzufügen. Wenn Sie nicht alle Ports zulassen, die für eine
Übertragung geöffnet werden müssen, wird die Übertragung blockiert.
Wenn Sie eine Firewallregel hinzufügen, müssen Sie angeben, was mit dem Datenverkehr geschehen soll,
wenn er über die interne und externe Schnittstelle geleitet wird. Wenn der Datenverkehr beispielsweise von
Clients in einem internen Netzwerk zu einem HTTPS-Server im externen Netzwerk geleitet werden soll, müssen Sie zwei Regeln definieren.
VMware, Inc.
41
Tabelle 9-2. Firewallregeln für den Datenverkehr von einem internen Netzwerk zu einem HTTP-Server
Quelle
Quellport
Ziel
Art des Datenverkehrs
Schnittstelle:Richtung
192.168.0.0/24
Alle
10.20.222.34
HTTP
Int:Ein
192.168.0.0.24
Alle
10.20.222.34
HTTP
Ext:Aus
Vorgehensweise
1
2
3
4
Klicken Sie auf den Link [Firewall] .
5
6
Wählen Sie unter [Rule applied to] die Schnittstelle aus, an der Sie die Firewallregel hinzufügen möchten.
7
Wählen Sie unter [Traffic Direction] die Datenverkehrsrichtung aus, auf die Sie die Firewallregel anwenden möchten.
8
Geben Sie unter [Source] die IP-Adresse (oder IP-Adressgruppe), den IP-Bereich oder das Subnetz als
Quelle der Kommunikation an. Wenn Sie diese Option leer lassen, bedeutet dies, dass diese Regel für
Datenverkehr von allen Quellen gilt.
9
Geben Sie unter [Source port] den Port oder Portbereich ein, aus dem die Kommunikation stammt.
10
Geben Sie unter [Destination] die IP-Adresse (oder IP-Adressgruppe), den IP-Bereich oder das Subnetz
als Ziel der Kommunikation an. Wenn Sie diese Option leer lassen, bedeutet dies, dass diese Regel für
Datenverkehr zu allen Zielen gilt.
11
Geben Sie an, ob der [Type of traffic] entweder [Known Application] oder [Protocol] ist. Wählen Sie
die Anwendung oder das Protokoll aus.
12
Wählen Sie für den Datenverkehr unter [Action] entweder [Block] oder [Allow] aus.
13
Wählen Sie unter [Rule] aus, ob für die hinzuzufügende Regel [Enable] oder [Disable] gelten soll.
14
Wählen Sie unter [Logging] für den Datenverkehr, der durch diese Regel zugelassen oder blockiert wird,
entweder [Log] oder [Do not log] aus.
15
Geben Sie unter [Notes] bei Bedarf Anmerkungen ein.
16
17
Klicken Sie auf [Publish Changes] .
Bearbeiten einer vShield Edge-Firewallregel
Sie können jede beliebige benutzerdefinierte Firewallregel bearbeiten.
Vorgehensweise
42
1
2
3
4
5
Wählen Sie die Regel, die Sie bearbeiten möchten.
6
Klicken Sie auf [Edit Rule] .
VMware, Inc.
7
Bearbeiten Sie die Optionen entsprechend.
8
9
Ändern der Priorität einer vShield Edge-Firewallregel
Sie können die Priorität benutzerdefinierter Firewallregeln ändern.
Vorgehensweise
1
2
3
4
5
Wählen Sie die Regel aus, für die Sie die Priorität ändern möchten.
6
Klicken Sie auf [Move Up] oder [Move Down] .
7
Anzeigen von Regeln nach Typ
Sie können Regeln filtern, damit nur eine Teilmenge der Regeln angezeigt wird. Alle Regeln werden standardmäßig angezeigt.
Vorgehensweise
1
2
3
4
5
Klicken Sie auf [Show] und heben Sie die Auswahl der Optionen für Regeln auf, die nicht angezeigt
werden sollen.
Option
Beschreibung
All Rules
Zeigt alle Regeln an
Int Intf Rules
Zeigt Regeln an, die für die interne vShield-Schnittstelle gelten.
Ext Intf Rules
Zeigt Regeln an, die für die externe vShield-Schnittstelle gelten.
VPN Intf Rules
Zeigt Regeln an, die für die VPN-Schnittstelle gelten.
Inbound Rules
Zeigt Regeln für den eingehenden Datenverkehr Ihres virtuellen Netzwerks
an.
Outbound Rules
Zeigt Regeln für den ausgehenden Datenverkehr Ihres virtuellen Netzwerks
an.
Generated Rules
Zeigt die von vShield Edge generierten Regeln an.
Löschen einer vShield Edge-Firewallregel
Sie können jede benutzerdefinierte Firewallregel löschen, die Sie hinzugefügt haben.
Vorgehensweise
1
VMware, Inc.
43
2
3
4
5
Wählen Sie die Regel, die Sie löschen möchten.
6
Klicken Sie auf [Delete Selected] .
7
Verwalten von NAT-Regeln
vShield Edge bietet den Dienst „Network Address Translation“ (NAT), um einem Computer (oder einer
Gruppe von Computern) innerhalb eines privaten Netzwerks eine öffentliche Adresse zuzuweisen. Dadurch
wird die Anzahl öffentlicher IP-Adressen verringert, die eine Organisation oder ein Unternehmen verwenden
muss. Dies hat wirtschaftliche Vorteile und dient der Sicherheit. Für den Zugriff auf Dienste, die auf virtuellen
Maschinen mit privaten Adressen ausgeführt werden, müssen NAT-Regeln konfiguriert werden.
Die Konfiguration des NAT-Diensts gliedert sich in SNAT- und DNAT-Regeln.
Hinzufügen einer SNAT-Regel
Sie erstellen eine SNAT-Regel zum Übersetzen einer privaten internen IP-Adresse in eine öffentliche IP-Adresse für ausgehenden Datenverkehr.
Vorgehensweise
1
Navigieren Sie in vSphere Client zu [Inventory] > [Networking] .
2
Wählen Sie eine interne Portgruppe aus, für die eine vShield Edge-Instanz installiert ist.
3
4
Klicken Sie auf den Link [NAT] .
5
Klicken Sie unter SNAT auf [Add Rule] .
Das Dialogfeld „Add SNat Rule“ wird geöffnet.
6
Geben Sie unter [Original (Internal) Source IP/Range] eine Adresse ein. Wenn Sie mehrere IP-Adressen
eingeben möchten, trennen Sie diese durch Kommas.
7
Geben Sie unter [Translated (External) Source IP/Range] eine Adresse ein. Wenn Sie einen IP-Adressbereich eingeben möchten, trennen Sie die Adressen durch einen Bindestrich.
8
Wählen Sie [Log] oder [Do not log] aus.
9
Klicken Sie auf [OK] , um die Regel zu speichern.
10
Hinzufügen einer DNAT-Regel
Beim Erstellen einer DNAT-Regel wird eine öffentliche IP-Adresse zu einer privaten internen IP-Adresse zugeordnet.
Vorgehensweise
44
1
2
Wählen Sie eine interne Portgruppe aus, für die eine vShield Edge-Instanz installiert ist.
3
VMware, Inc.
4
Klicken Sie auf den Link [NAT] .
5
Klicken Sie unter DNAT auf [Add Rule] .
Das Dialogfeld „Add DNat Rule“ wird geöffnet.
6
Geben Sie die [Translated (Internal Destination) IP/Range] -Adresse ein.
7
Geben Sie den internen [Port/Range] ein.
8
Geben Sie [Original (External) Destination IP/Range] ein.
9
Wählen Sie das [Protocol] aus.
10
Geben Sie je nach ausgewähltem Protokoll eine der folgenden Optionen an.
Bei folgendem Protokoll
Angeben
tcp or udp
Port oder Portbereich
icmp
ICMP-Typ
11
Wählen Sie [Log] oder [Do not log] aus.
12
Klicken Sie auf [OK] , um die Regel zu speichern.
Verwalten des DHCP-Diensts
vShield Edge unterstützt IP-Adresspools und die 1:1-Zuordnung statischer IP-Adressen. Die Bindung statischer IP-Adressen basiert auf der von vCenter verwalteten Objekt- und Schnittstellen-ID des anfordernden
Clients.
Für den vShield Edge-DHCP-Dienst werden die folgenden Regeln befolgt:
n
Die interne vShield Edge-Schnittstelle wird für die DHCP-Suche überwacht.
n
Die IP-Adresse der internen vShield Edge-Schnittstelle wird als standardmäßige Gateway-Adresse für
alle Clients verwendet, die Broadcast- und Subnetzmaskenwerte der internen Schnittstelle für das Containernetzwerk.
Hinzufügen eines DHCP-IP-Pools
Der DHCP-Dienst benötigt einen Pool von IP-Adressen, die den von einer vShield Edge geschützten virtuellen
Maschinen zugewiesen werden.
Vorgehensweise
1
2
3
4
Klicken Sie auf den Link [DHCP] .
5
Klicken Sie unter „DHCP Pools“ auf [Add Pool] .
Das Fenster „Add DHCP Pool“ wird geöffnet.
6
Geben Sie die [Start IP] -Adresse ein.
7
Geben Sie die [End IP] -Adresse ein.
8
Geben Sie den [Domain Name] ein.
VMware, Inc.
45
9
Geben Sie den [Primary Nameserver] und den [Secondary Nameserver] ein, die sich auf den DNSDienst beziehen. Sie müssen die IP-Adresse eines DNS-Servers für die Auflösung von Hostnamen in IPAdressen eingeben.
10
Geben Sie unter [Default Gateway] die interne IP-Adresse der vShield Edge ein.
11
Wählen Sie für [Lease Time] aus, ob Sie die Adresse für den standardmäßigen Zeitraum (1 Tag) für den
Client leasen möchten, oder geben Sie für den Zeitraum einen Wert in Sekunden an.
12
Weiter
Stellen Sie sicher, dass der DHCP-Dienst aktiviert wurde. Weitere Informationen finden Sie unter „Starten
oder Anhalten von vShield Edge-Diensten“, auf Seite 50
Hinzufügen einer statischen DHCP-Bindung
Sie können die statische Bindung aktivieren, um eine IP-Adresse an die MAC-Adresse einer virtuellen Maschine zu binden.
Vorgehensweise
1
2
3
4
Klicken Sie auf den Link [DHCP] .
5
Klicken Sie unter „DHCP Bindings“ auf [Add Binding] .
6
Wählen Sie unter [VM Name] den Namen der VM aus, die Sie binden möchten.
7
Wählen Sie unter [Interface] die Schnittstelle aus, für die Sie die Bindung erstellen möchten.
8
Geben Sie unter [IP Address] die Adresse ein, an die Sie die MAC-Adresse der ausgewählten virtuellen
Maschine binden möchten.
9
Geben Sie den [Domain Name] ein.
10
Geben Sie den [Primary Nameserver] und den [Secondary Nameserver] ein, die sich auf den DNSDienst beziehen. Sie müssen die IP-Adresse eines DNS-Servers für die Auflösung von Hostnamen in IPAdressen eingeben.
11
Geben Sie die [Default Gateway] -Adresse ein.
12
Wählen Sie für [Lease Time] aus, ob Sie die Adresse für den standardmäßigen Zeitraum (1 Tag) für den
Client leasen möchten, oder geben Sie für den Zeitraum einen Wert in Sekunden an.
13
Weiter
Stellen Sie sicher, dass der DHCP-Dienst aktiviert wurde. Weitere Informationen finden Sie unter „Starten
oder Anhalten von vShield Edge-Diensten“, auf Seite 50
46
VMware, Inc.
Verwalten des VPN-Diensts
vShield Edge-Module unterstützen Standort-zu-Standort-IPSec-VPNs zwischen einer vShield Edge-Instanz
und Remote-Standorten.
vShield Edge unterstützt die Zertifikatsauthentifizierung, den Pre-Shared Key-Modus, den IP-Unicast-Datenverkehr und kein dynamisches Routing-Protokoll zwischen vShield Edge und den Remote-VPN-Routern. Sie
können hinter jedem Remote-VPN-Router mehrere Subnetze konfigurieren, um hinter einer vShield EdgeInstanz über IPSec-Tunnel eine Verbindung mit dem internen Netzwerk herzustellen. Diese Subnetze und das
interne Netzwerk hinter einer vShield Edge-Instanz dürfen keine überlappenden Adressbereiche aufweisen.
Sie können einen vShield Edge-Agenten hinter einem NAT-Gerät bereitstellen. In dieser Bereitstellung übersetzt das NAT-Gerät die VPN-Adresse einer vShield Edge-Instanz in eine aus dem Internet zugängliche öffentliche Adresse. Remote-VPN-Router verwenden diese öffentliche Adresse für den Zugriff auf die vShield
Edge-Instanz.
Remote-VPN-Router können sich ebenfalls hinter einem NAT-Gerät befinden. Zur Einrichtung des Tunnels
müssen Sie sowohl die interne VPN-Adresse als auch die VPN-Gateway-ID angeben.
Für die VPN-Adresse ist auf beiden Seiten eine statische 1:1-Netzwerkadressübersetzung erforderlich.
Konfigurieren des VPN-Diensts für eine vShield Edge-Instanz
Sie müssen eine externe IP-Adresse an der vShield Edge konfigurieren, um den VPN-Dienst anbieten zu können.
Vorgehensweise
1
2
3
4
Klicken Sie auf den Link [VPN] .
5
Klicken Sie unter [Global Configuration] auf [Enable VPN] .
Das Dialogfeld „Add VPN Configuration“ wird geöffnet.
6
Geben Sie die IP-Adresse der vShield Edge-Instanz in das Feld [Local Service IP Address] ein.
7
Geben Sie den vorinstallierten Schlüssel (Pre-Shared Key) in das Feld [PSK for Sites with any Peer IP]
ein, wenn anonyme Sites eine Verbindung zum VPN-Dienst herstellen sollen.
8
Geben Sie einen Namen für die VPN-Verbindung in das Feld [VPN Gateway ID] ein.
9
Wählen Sie [Log] , um die VPN-Aktivitäten zu protokollieren.
10
Weiter
Vervollständigen Sie das Authentifizierungszertifikat und laden Sie das signierte Zertifikat hoch.
VMware, Inc.
47
Konfigurieren des Authentifizierungszertifikats
Um die Zertifikatsauthentifizierung für Ihren VPN-Dienst zu verwenden, können Sie eine Zertifikatssignierungs-Anforderung generieren, die Anforderung herunterladen, signieren lassen und das signierte Zerifikat
anschließend hochladen.
Generieren einer Zertifikatssignierungs-Anforderung (Certificate Signing Request,
CSR)
1
2
3
4
Wählen Sie in der Option [Actions] unter [Global Configuration] [Generate CSR] .
5
Füllen Sie das Fomular „Generate Certificate Signing Request“ vollständig aus.
6
Klicken Sie auf [Generate] .
Herunterladen einer generierten CSR
1
Wählen Sie in der Option [Actions] unter [Global Configuration] [Download Generated CSR] .
2
Klicken Sie auf [Copy CSR Text to Clipboard] , um das Zertifikat in die Zwischenablage zu kopieren. Sie
müssen das Zertifikat an eine Zertifzierungsstelle (CA) senden, die das signierte Zertifikat an Sie zurücksendet.
Hochladen eines CA-Zertifikats und eines signierten Zertifikats
1
Wählen Sie in der Option [Actions] unter [Global Configuration] [Upload Signed Certificate] .
2
Klicken Sie je nach Typ des hochzuladenden Zertifikats auf die entsprechende Registerkarte.
3
Fügen Sie den Zertifikatstext in das Feld [Certificate file text] ein.
4
Klicken Sie auf [Upload] .
Das Zertifikat wird in der Liste „Uploaded Certificates“ angezeigt.
5
Hinzufügen einer VPN Peer-Site und eines Peer-Tunnels
Eine End-to-End-VPN-Konfiguration benötigt mindestens eine Remote-Peer-Site, um über das Internet eine
Verbindung zu vShield Edge herzustellen.
Vorgehensweise
48
1
2
3
4
5
Erweitern Sie [Peer Sites and Tunnels] .
6
Klicken Sie auf [Add Site] .
7
Geben Sie in [Peer Site name] einen Namen für den Standort ein.
VMware, Inc.
8
Geben Sie die [Peer Id] ein, um die Peer-Site eindeutig zu identifizieren.
Bei Peers mit Zertifikatsauthentifizierung muss diese ID der allgemeine Name (common name) im PeerZertifikat sein. Bei PSK-Peers kann diese ID eine beliebige Zeichenfolge sein. VMware empfiehlt, dass Sie
die öffentliche IP-Adresse des VPN oder ein FQDN für den VPN-Dienst als Peer-ID verwenden.
9
Geben Sie unter [Peer subnets] die IP-Adresse des Peer-Subnetzes ein.
10
Geben Sie unter [Local subnets] die Subnetzadresse von vShield Edge ein.
11
Geben Sie unter [MTU] den Schwellenwert für „Maximum Transmission Unit“ ein. Wenn Sie den Wert
für MTU nicht angeben, wird der MTU-Wert der externen Schnittstelle von vShield Edge verwendet.
12
Wählen Sie unter [Encryption algorithm] den Verschlüsselungsalgorithmus aus.
13
Wählen Sie unter [Authentication Method] eine der folgenden Authentifizierungsmethoden aus:
Option
Beschreibung
PSK (Pre Shared Key)
Gibt an, dass der von vShield Edge und der Peer-Site gemeinsam genutzte
geheime Schlüssel für die Authentifizierung verwendet wird. Der geheime
Schlüssel kann eine Zeichenfolge mit einer Maximallänge von 128 Byte sein.
Certificate
Gibt an, dass das auf globaler Ebene definierte Zertifikat für die Authentifizierung verwendet wird.
14
Wählen Sie unter [Diffie-Hellman (DH) Group] das kryptographische Schema aus, das es der Peer-Site
und vShield Edge ermöglicht, über einen ungesicherten Kommunikationskanal ein Shared Secret einzurichten.
15
Wählen Sie, ob der Schwellenwert für [Perfect Forward Secrecy (PFS)] aktiviert oder deaktiviert werden
soll. Bei IPsec-Aushandlungen stellt Perfect Forward Secrecy (PFS) sicher, dass kein neuer kryptographischer Schlüssel eine Beziehung zu einem vorherigen Schlüssel hat.
16
vShield Edge erstellt einen Tunnel vom lokalen Subnetz zum Peer-Subnetz.
Weiter
Nachdem Sie eine VPN-Peer-Site identifiziert haben, müssen Sie Firewallregeln definieren, um festzulegen,
wie der Datenverkehr zwischen dem lokalen Subnetz und dem Peer-Subnetz fließen soll.
Hinzufügen einer statischen Route
Sie können für Ihre nachfolgenden Datenpakete eine statische Route definieren.
Vorgehensweise
1
2
3
4
Klicken Sie auf den Link [Static Routing] .
5
Klicken Sie auf [Add Route] .
6
Geben Sie die [Network] -IP-Adresse ein.
7
Geben Sie die IP-Adresse für [Next Hop] ein.
8
Wählen Sie unter [Interface] die Option [Internal] oder [External] aus.
9
Wählen Sie für [MTU] die Option [Use default value] aus oder geben Sie den maximalen Übertragungswert für die Datenpakete an.
VMware, Inc.
49
10
Verwalten des Lastausgleichsdiensts
vShield Edge bietet Lastausgleich für HTTP-Datenverkehr. Lastausgleich (bis Layer 7) ermöglicht die automatische Skalierung von Webanwendungen.
Sie ordnen eine externe (oder öffentliche) IP-Adresse einem Satz interner Server für den Lastausgleich zu. Der
Lastausgleichsdienst akzeptiert HTTP-Anforderungen über die externe IP-Adresse und entscheidet, welcher
interne Server verwendet werden soll. Als Überwachungsport für den Lastausgleichsdienst wird standardmäßig Port 80 verwendet.
Konfigurieren des Lastausgleichsdiensts
Der Lastausgleichsdienst benötigt mindestens zwei Server zum Verteilen des HTTP-Datenverkehrs. Sie können für den Lastausgleichsdienst zwei oder mehr virtuelle Maschinen hinter einer vShield Edge angeben.
Vorgehensweise
1
2
3
4
Klicken Sie auf den Link [Load Balancer] .
5
Klicken Sie auf [Add Configuration] .
6
Geben Sie die [External IP Addresses] ein.
7
Wählen Sie den Lastausgleichsalgorithmus aus.
8
(Optional) Aktivieren Sie das Kontrollkästchen „Logging“, um für jede Anforderung ein Syslog-Ereignis
an die externe IP-Adresse zu senden.
9
10
Geben Sie die IP-Adresse des ersten Webservers ein.
11
Sie können über dieselbe Vorgehensweise weitere Webserver hinzufügen.
12
Klicken Sie auf [Commit] .
13
Wenn der Lastausgleichsdienst nicht aktiviert ist, aktivieren Sie ihn.
Siehe „Starten oder Anhalten von vShield Edge-Diensten“, auf Seite 50.
Starten oder Anhalten von vShield Edge-Diensten
Sie können den VPN-, DHCP- und Lastausgleichsdienst einer vShield Edge-Instanz über vSphere Client starten
und anhalten. Sämtliche Dienste sind standardmäßig angehalten oder weisen den Status „Not Configured“
auf. Sobald Sie einen Dienst konfiguriert haben, wird er von vShield Edge gestartet.
HINWEIS Konfigurieren Sie einen Dienst, bevor Sie ihn starten.
Die standardmäßige Firewallrichtlinie blockiert den gesamten Datenverkehr. Nachdem Sie einen VPN-,
DHCP- oder Lastausgleichsdienst konfiguriert haben, müssen Sie die entsprechenden Firewallregeln für diesen Datenverkehr hinzufügen, damit der Datenpfad für diese Dienste funktionieren kann.
50
VMware, Inc.
Vorgehensweise
1
2
3
4
Klicken Sie auf den Link [Status] .
5
Wählen Sie unter Edge Services einen Dienst aus und klicken Sie auf [Start] , um den Dienst zu starten.
Wählen Sie einen Dienst aus und klicken Sie auf [Stop] , um einen ausgeführten Dienst anzuhalten.
6
Klicken Sie auf [Refresh Status] , um den Status eines Diensts auf vShield Edge zu aktualisieren.
7
Falls ein Dienst gestartet wurde, aber nicht antwortet, oder wenn der Dienst nicht mit den Angaben von
vShield Manager synchron ist, klicken Sie auf [Force Sync] , um eine Synchronisierungsanforderung von
vShield Manager an vShield Edge zu senden.
Upgrade der vShield Edge-Software
Die vShield Edge-Software wird für jede vShield Edge-Instanz einzeln aktualisiert. vShield Edge-Upgrades
müssen getrennt von vShield Manager-basierten Upgrades ausgeführt werden.
Vorgehensweise
1
2
3
4
5
Klicken Sie rechts neben der Überschrift [Configuration] auf den Link [Upgrade to] , um die UpgradeDatei zu installieren. Dieser Link wird nur dann angezeigt, wenn ein Upgrade zur Verfügung steht.
Erneutes Bereitstellen von vShield Edge
Falls vShield Edge nicht in Ihrer vCenter-Bestandsliste gefunden wird, müssen Sie vShield Edge neu bereitstellen.
Vorgehensweise
1
2
3
4
5
Klicken Sie auf [Re-deploy] .
VMware, Inc.
51
52
VMware, Inc.
vShield App-Management
10
vShield App ist eine Hypervisor-basierte Firewall, die Anwendungen im virtuellen Datencenter vor netzwerkbasierten Angriffen schützt. Organisationen erhalten Sichtbarkeit und Kontrolle über die Netzwerkkommunikation zwischen virtuellen Maschinen. Sie können Zugriffssteuerungsrichtlinien anhand logischer Konstrukte, wie z. B. VMware vCenter™-Container und vShield-Sicherheitsgruppen, und nicht nur anhand physischer Konstrukte, wie z. B. IP-Adressen, erstellen. Außerdem bietet die flexible IP-Adressierung die Möglichkeit, dieselbe IP-Adresse in mehreren Tenant-Zonen zu verwenden, was die Bereitstellung vereinfacht.
Sie sollten vShield App auf jedem ESX-Host innerhalb eines Clusters installieren, damit VMware vMotionVorgänge funktionieren und virtuelle Maschinen geschützt bleiben, wenn sie zwischen ESX-Hosts migriert
werden. Standardmäßig kann eine virtuelle vShield App-Appliance nicht mit vMotion verschoben werden.
Die Flow Monitoring-Funktion zeigt Netzwerkaktivitäten zwischen virtuellen Maschinen auf der Anwendungsprotokollebene an. Sie können anhand dieser Informationen den Netzwerkdatenverkehr überwachen,
Firewallrichtlinien definieren bzw. verfeinern und Botnets erkennen.
n
„Senden von vShield App-Systemereignissen an einen Syslog-Server“, auf Seite 53
n
„Anzeigen des aktuellen Systemstatus einer vShield App-Instanz“, auf Seite 54
Senden von vShield App-Systemereignissen an einen Syslog-Server
Sie können vShield App-Systemereignisse an einen Syslog-Server senden.
Vorgehensweise
1
Navigieren Sie im vSphere-Client zu [Bestandsliste] > [Hosts und Cluster] .
2
Wählen Sie einen Host aus der Ressourcenstruktur aus.
3
4
Erweitern Sie vShield App SVM.
5
Geben Sie im Bereich „Syslog Servers“ die IP-Adresse des Syslog-Servers ein.
6
Wählen Sie im Dropdown-Menü [Log Level] die Ereignisstufe aus, ab der vShield App-Ereignisse an
den Syslog-Server gesendet werden sollen.
Wenn Sie z.B. [Emergency] auswählen, werden lediglich Notfallereignisse an den Syslog-Server gesendet. Bei Auswahl von [Critical] werden kritische Ereignisse sowie Warn- und Notfallereignisse an den
Syslog-Server gesendet.
vShield App-Ereignisse werden an bis zu drei Syslog-Instanzen gesendet.
7
VMware, Inc.
Klicken Sie auf [Save] , um die neuen Einstellungen zu speichern.
53
Anzeigen des aktuellen Systemstatus einer vShield App-Instanz
Über die Option [System Status] können Sie den Integritätsstatus einer vShield App-Instanz anzeigen und
beeinflussen. Die angezeigten Details umfassen Systemstatistiken, den Status von Schnittstellen, die Softwareversion sowie Umgebungsvariablen.
Vorgehensweise
1
Navigieren Sie in vSphere Client zu [Bestandsliste] > [Hosts und Cluster] .
2
Wählen Sie aus der Ressourcenstruktur einen Host aus.
3
4
Im Bereich „Resource Utilization“ werden die Systemdetails für die vShield App angezeigt.
Erzwingen der Synchronisierung einer vShield App-Instanz mit vShield Manager
Über die Option [Force Sync] wird die erneute Synchronisierung einer vShield App-Instanz mit vShield
Manager erzwungen. Dies kann nach einem Software-Upgrade erforderlich sein.
Vorgehensweise
1
2
3
4
5
Klicken Sie auf [Force Sync] .
Neustarten einer vShield App-Instanz
Sie können eine vShield App-Instanz neu starten, um ein Problem bei der Ausführung zu beheben.
Vorgehensweise
1
2
3
4
5
Klicken Sie auf [Restart] .
Anzeigen von Datenverkehrstatistiken nach vShield App-Instanz
Sie können die Datenverkehrstatistiken für die einzelnen vShield-Instanzen anzeigen.
Vorgehensweise
1
2
3
4
Im Bereich „Management Port Interface“ wird die Datenverkehrsstatistik für die vShield App angezeigt.
54
VMware, Inc.
vShield App Flow Monitoring
11
Flow Monitoring ist ein Tool zur Datenverkehrsanalyse, mit dem Sie detaillierte Informationen zum Datenverkehr in Ihrem virtuellen Netzwerk anzeigen können, der eine vShield App-Instanz durchläuft. Die Flow
Monitoring-Ausgabe zeigt, welche Maschinen Daten über welche Anwendung austauschen. Diese Daten umfassen die Anzahl von Sitzungen und Paketen sowie die Bytes, die pro Sitzung übertragen werden. Die Sitzungsdetails umfassen die Quellen, Ziele, Sitzungsrichtungen und Anwendungen sowie die verwendeten
Ports. Anhand der Sitzungsdetails können App Firewall-Regeln zum Zulassen oder Ablehnen von Datenverkehr erstellt werden.
Sie können Flow Monitoring als forensisches Tool zum Ermitteln von nicht autorisierten Diensten sowie zum
Untersuchen ausgehender Sitzungen nutzen.
n
„Grundlegendes zur Flow Monitoring-Anzeige“, auf Seite 55
n
„Ändern des Datumsbereichs der Flow Monitoring-Diagramme“, auf Seite 56
n
„Anzeigen einer bestimmten Anwendung in den Flow Monitoring-Diagrammen“, auf Seite 56
n
„Anzeigen des Flow Monitoring-Berichts“, auf Seite 57
n
„Löschen aller aufgezeichneten Flow-Daten“, auf Seite 58
Grundlegendes zur Flow Monitoring-Anzeige
Auf der Registerkarte [Flow Monitoring] werden die von einer vShield App-Instanz zurückgegebenen
Durchsatzstatistiken angezeigt.
Flow Monitoring zeigt die Datenverkehrsstatistiken in drei Diagrammen an:
Sitzungen/Std.
Gesamtzahl an Sitzungen pro Stunde
Server-KB/Std.
Anzahl von ausgehenden KB pro Stunde
Client/Std.
Anzahl von eingehenden KB pro Stunde
Flow Monitoring organisiert die Statistiken nach den bei der Client-Server-Kommunikation verwendeten Anwendungsprotokollen. Dabei wird jedes Anwendungsprotokoll im Diagramm durch eine andere Farbe dargestellt. So können Sie die Nutzung Ihrer Serverressourcen nach Anwendung nachverfolgen.
Die Datenverkehrsstatistiken zeigen alle untersuchten Sitzungen innerhalb des angegebenen Zeitraums an.
Standardmäßig werden die Daten der letzten sieben Tage angezeigt.
VMware, Inc.
55
Ändern des Datumsbereichs der Flow Monitoring-Diagramme
Sie können den Datumsbereich der Flow Monitoring-Diagramme ändern, um eine Verlaufsansicht der Datenverkehrsdaten anzuzeigen.
Vorgehensweise
1
Wählen Sie im vSphere-Client ein Datencenter, eine virtuelle Maschine, eine Portgruppe oder einen Netzwerkadapter aus.
Option
Aktion
Auswählen eines Datencenters oder
einer virtuellen Maschine
Wechseln Sie zu [Inventory] > [Hosts and Clusters]
Auswählen einer Portgruppe oder eines Netzwerkadapters
Navigieren Sie zu [Inventory] > [Networking]
2
3
Klicken Sie auf [Flow Monitoring] .
Die Diagramme werden aktualisiert und zeigen die aktuellen Informationen für die letzten sieben Tage
an. Dieser Vorgang kann einige Sekunden in Anspruch nehmen.
4
Geben Sie neben [Time period] ein neues Startdatum in das linke Textfeld ein.
Dieses Datum ist das Anfangsdatum des Zeitraums für die Abfrage.
5
Geben Sie in das rechte Textfeld ein neues Enddatum ein.
Dieses Datum ist das Enddatum des Zeitraums für die Abfrage.
6
Klicken Sie auf [Update] .
Anzeigen einer bestimmten Anwendung in den Flow MonitoringDiagrammen
Sie können eine bestimmte Anwendung in den Diagrammen auswählen, indem Sie auf das Dropdown-Menü [Application] klicken.
Vorgehensweise
1
Option
Aktion
2
3
4
Wählen Sie im Dropdown-Menü [Application] die Anwendung aus, die angezeigt werden soll.
Die Flow Monitoring-Diagramme werden aktualisiert und zeigen die Daten für die ausgewählte Anwendung
an.
56
VMware, Inc.
Kapitel 11 vShield App Flow Monitoring
Anzeigen des Flow Monitoring-Berichts
Sie können den Bericht zum Flow Monitoring generieren. Er enthält Informationen zu den zulässigen und den
blockierten Paketen, die von Ihren vShield App-Instanzen gemeldet wurden.
Vorgehensweise
1
Option
Aktion
2
3
4
Klicken Sie auf [Show Report] .
5
Führen Sie einen Drilldown für den Bericht durch.
6
Klicken Sie für eine virtuelle Maschine oder einen Netzwerkadapter auf [Show Latest] , um die Berichtsstatistik zu aktualisieren.
Anzeigen von Daten im Flow Monitoring-Bericht
Der Flow Monitoring-Bericht enthält die Datenverkehrsstatistiken im Tabellenformat.
Sie können in diesem Bericht basierend auf der folgenden Hierarchie einen Drilldown für die Datenverkehrsstatistiken durchführen:
1
Wählen Sie die Firewall-Aktion: [Allowed] oder [Blocked] .
2
Wählen Sie ein L4- oder L2-/L3-Protokoll.
n
L4: [TCP] , [UDP] oder [Dynamic TCP]
n
L2/L3: [ICMP] , [OTHER-IPV4, ETH_GENERIC, ARP, or RARP.]
3
Wenn ein L2-/L3-Protokoll ausgewählt wurde, muss ein L2-/L3-Protokoll oder -Nachrichtentyp ausgewählt werden.
4
Wählen Sie die Richtung des Datenverkehrs: [Incoming] oder [Outgoing] .
5
Wählen Sie den Porttyp: [Categorized] (standardisierte Ports) oder [Uncategorized] (nicht standardisierte Ports).
6
Wählen Sie eine Anwendung, einen Port oder eine Portgruppe aus.
7
Auswählen eines Betriebssystems.
8
Wählen Sie eine Ziel-IP-Adresse.
Für ein TCP- oder UDP-Protokoll können Sie eine Regel für App Firewall auf der Ebene der IP-Zieladresse
erstellen.
VMware, Inc.
57
Hinzufügen einer App Firewall-Regel über den Flow Monitoring-Bericht
Indem Sie einen Drilldown für die Datenverkehrsdaten durchführen, können Sie die Nutzung Ihrer Ressourcen auswerten und Sitzungsinformationen an die App Firewall senden, um eine neue Layer 4-Regel zum
Zulassen oder Ablehnen von Datenverkehr zu erstellen. Das Erstellen der App Firewall-Regel aus Flow Monitoring-Daten steht auf Datencenterebene nur für TCP- und UDP-Protokolle zur Verfügung.
Vorgehensweise
1
Melden Sie sich bei der vShield Manager-Benutzeroberfläche an..
2
Wählen Sie im Bestandslistenbereich eine Datencenterressource aus.
3
4
Klicken Sie auf [Show Report] .
5
Erweitern Sie die Liste der Firewall-Aktionen.
6
Erweitern Sie die Transportprotokollliste.
7
Erweitern Sie die Liste der Datenverkehrsrichtungen.
8
Erweitern Sie die Liste der Porttypen.
9
Erweitern Sie die Liste der Anwendungen oder Portgruppen.
10
Erweitern Sie die Liste der Quell- bzw. Ziel-IP-Adressen. Dies ist die IP-Adresse einer virtuellen Maschine
in Ihrem Netzwerk.
11
Klicken Sie für eine Ziel-IP-Adresse in der Spalte [Firewall] auf [Add Rule] , um eine App FirewallRegel zu erstellen.
Ein Popup-Fenster wird geöffnet. Klicken Sie auf [Ok] , um fortzufahren.
Das Fenster Add wird geöffnet.
HINWEIS Die Option [Add Rule] steht nur für TCP- und UDP-Protokolle zur Verfügung.
12
Füllen Sie das Fomular vollständig aus, um die Firewallregel zu konfigurieren. Weitere Informationen
finden Sie unter „Arbeiten mit Anwendungs-Firewallregeln“, auf Seite 66
13
Klicken Sie auf OK.
Löschen aller aufgezeichneten Flow-Daten
Auf Datencenterebene können die Daten für alle aufgezeichneten Datenverkehrssitzungen innerhalb des Datencenter gelöscht werden. Bei diesem Vorgang werden die Daten aus den Diagrammen, aus dem Bericht und
aus der Datenbank gelöscht. Diese Option wird normalerweise nur verwendet, wenn Sie Ihre vShield AppBereitstellung aus einer Testumgebung in eine Produktionsumgebung verschieben. Verwenden Sie diese
Funktion nicht, wenn ein Verlauf der Datenverkehrssitzungen beibehalten werden muss.
Vorgehensweise
58
1
Wählen Sie in der Bestandsliste eine Datencenterressource aus.
2
Klicken Sie auf die Registerkarte [Flow Monitoring] .
3
Klicken Sie auf [Delete All Flows] .
VMware, Inc.
Kapitel 11 vShield App Flow Monitoring
4
Klicken Sie im Popup-Fenster auf [Ok] , um den Löschvorgang zu bestätigen.
VORSICHT Nachdem Sie auf [Delete All Flows] geklickt haben, können die Datenverkehrsdaten nicht wiederhergestellt werden.
VMware, Inc.
59
60
VMware, Inc.
vShield App Firewall-Management
12
vShield App bietet Firewall-Schutz, indem Zugriffsrichtlinien erzwungen werden. Die Registerkarte App Firewall enthält die Zugriffssteuerungsliste für die vShield App Firewall.
n
„Verwenden der App Firewall“, auf Seite 61
n
„Arbeiten mit Anwendungen“, auf Seite 63
n
„Gruppieren von Objekten“, auf Seite 65
n
„Arbeiten mit Anwendungs-Firewallregeln“, auf Seite 66
n
„Verwenden von SpoofGuard“, auf Seite 67
Verwenden der App Firewall
Der App Firewall-Dienst stellt eine zentrale, hierarchische Firewall für ESX-Hosts dar. Die App Firewall ermöglicht das Erstellen von Regeln, die den Zugriff auf virtuelle Maschinen sowie den Zugriff durch virtuelle
Maschinen zulassen oder unterbinden. Jede installierte vShield App Instanz erzwingt die App Firewall-Regeln.
Sie können App Firewall-Regeln auf Datencenter-, Cluster- und Portgruppenebene verwalten, um für mehrere
vShield App-Instanzen unter diesen Containern einen einheitlichen Regelsatz bereitzustellen. Während sich
die Zugehörigkeit zu diesen Containern dynamisch ändern kann, behält die App Firewall den Status vorhandener Sitzungen bei, ohne dass eine Neukonfiguration von Firewall-Regeln erforderlich ist. Auf diese Weise
ist die App Firewall durchgängig und effektiv für alle ESX-Hosts unter den verwalteten Containern aktiviert.
Namespaces in einer Multi-Tenant-Umgebung
In einem Multi-Tenant-Modus können Sie mit vShield App eine unabhängige IP-Adresse zu bestimmten Portgruppen zuweisen.
Standardmäßig verwenden alle Portgruppen in einem Datencenter dieselbe IP-Adresse. Sie können einen unabhängigen Namespace zu einer Portgruppe zuweisen. Dann gelten die Firewallregeln auf Datencenterebene
nicht mehr für diese Portgruppe. Sie können die Namespace-Funktion in Verbindung mit den Sicherheitsgruppen verwenden, um Firewallregeln nach Tenant zu trennen.
So weisen Sie einer Portgruppe eine unabhängige IP-Adresse zu
1
2
Wählen Sie in der Ressourcenstruktur eine Portgruppe aus.
3
4
Klicken Sie auf [Namespace] .
VMware, Inc.
61
5
Klicken Sie auf [Change to Independent namespace] .
6
Klicken Sie auf [Reload] , um die aktualisierten Informationen anzuzeigen.
Grundlegendes zu Anwendungen
Mit vShield App können Sie Anwendungen erstellen und anschließend Firewallregeln für diese Anwendungen definieren.
Alle benutzerdefinierten Anwendung-Port-Paarzuordnungen, die Sie möglicherweise auf einer vorherigen
Ebene festgelegt haben, werden als Standardanwendungen angezeigt.
Sie können eine Anwendung auf Datencenter- oder Portgruppenebene erstellen. Wenn Sie eine Anwendung
für eine Portgruppe mit einem unabhängigen Namespace erstellen, ist der Geltungsbereich der Anwendung
auf diese Portgruppe begrenzt.
Entwerfen von Sicherheitsgruppen
Beim Erstellen von App Firewall-Regeln können Sie Regeln basierend auf dem Datenverkehr zu oder von
einem bestimmten Container definieren, die für alle Ressourcen in diesem Container gelten. Sie können beispielsweise eine Regel festlegen, die jeglichen Datenverkehr innerhalb eines Clusters unterbindet, der ein bestimmtes Ziel außerhalb des Clusters hat. Sie können eine Regel erstellen, um keinen eingehenden Datenverkehr zuzulassen, der über keine VLAN-ID verfügt. Wenn Sie einen Container als Quelle oder Ziel angeben,
werden alle IP-Adressen innerhalb dieses Containers in der Regel berücksichtigt.
Eine Sicherheitsgruppe ist eine vertrauenswürdige Zone, die Sie zum Zweck des App Firewall-Schutzes erstellen und der Sie Ressourcen zuweisen. Sicherheitsgruppen sind Container, wie eine vApp oder ein Cluster.
Sicherheitsgruppen ermöglichen das Erstellen eines Containers, indem Ressourcen wie virtuelle Maschinen
und Netzwerkadapter nach Wunsch zugewiesen werden. Nach der Erstellung einer Sicherheitsgruppe fügen
Sie die Gruppe dem Quell- oder Zielfeld einer App Firewall-Regel als Container hinzu. Weitere Informationen
finden Sie unter „Gruppieren von Objekten“, auf Seite 65.
Grundlegendes zu systemdefinierten Regeln in App Firewall
Standardmäßig erzwingt die App Firewall einen Regelsatz, der die Durchleitung von Datenverkehr durch alle
vShield App-Instanzen zulässt. Diese Regeln sind im L3- und L2-Abschnitt [System Defined] der App Firewall-Tabelle enthalten. Die Standardregeln können nicht gelöscht oder ergänzt werden. Sie können jedoch das
Element [Action] einer Regel von [Allow] in [Deny] ändern.
Grundlegendes zu Layer 3- und Layer 2-Regeln
Die Registerkarte [App Firewall] bietet mehrere Sätze konfigurierbarer Regeln: Layer 3-Regeln (L3-Regeln)
und Layer 2-Regeln (L2-Regeln). „Layers“ entsprechen Schichten im OSI-Referenzmodell (Open Systems Interconnection).
Layer 3- und Layer 2-Regeln überwachen den Datenverkehr von ICMP-, ARP- und anderen Layer 3- und Layer
2-Protokollen. Sie können Layer 3- und Layer 2-Regeln nur auf Datencenterebene konfigurieren. Standardmäßig darf der gesamte L3- und L2-Datenverkehr durchgeleitet werden.
Hierarchie von App Firewall-Regeln
Jede vShield App-Instanz erzwingt App Firewall-Regeln in absteigender Reihenfolge. Eine vShield App-Instanz vergleicht jede Datenverkehrssitzung zunächst mit der obersten Regel in der App Firewall-Tabelle und
anschließend mit den nachfolgenden Regeln in der Tabelle. Die erste Regel in der Tabelle, die den Datenverkehrsparametern entspricht, wird erzwungen.
Die Regeln werden in der folgenden Hierarchie erzwungen:
1
62
[High Precedence]
VMware, Inc.
Kapitel 12 vShield App Firewall-Management
2
[Network]
3
[Low Precedence]
4
[ System Defined ]
Die App Firewall bietet Konfigurationen für die Containerebene und benutzerdefinierte vorrangige Prioritäten:
n
Vorrang der Containerebene bezieht sich auf das Anerkennen, dass die Datencenterebene eine höhere
Priorität als die Clusterebene hat. Wenn eine Regel auf Datencenterebene konfiguriert wird, gilt die Regel
für alle zu dieser Ebene gehörigen Cluster und vShield-Agenten. Eine Regel auf Clusterebene gilt nur für
die vShield App-Instanz innerhalb des Clusters.
n
Benutzerdefinierte vorrangige Priorität bezieht sich auf die Option des Zuweisens eines hohen oder niedrigen Vorrangs zu Regeln auf Datencenterebene. Regeln mit hohem Vorrang funktionieren, wie zuvor im
Abschnitt zum Vorrang der Containerebene beschrieben. Regeln mit niedrigem Vorrang umfassen die
Standardregeln und die Konfiguration von Regeln mit niedrigem Vorrang für das Datencenter. Dank
dieser Flexibilität ist das Erkennen mehrerer Schichten geltender Vorränge möglich.
Auf Clusterebene konfigurieren Sie Regeln, die für alle vShield App-Instanzen innerhalb des Clusters
gelten. Da Regeln mit hohem Vorrang für das Datencenter über den Regeln auf Clusterebene angesiedelt
sind, vergewissern Sie sich, dass kein Konflikt mit den Regeln mit hohem Vorrang für das Datencenter
vorliegt.
Planen der Erzwingung von App Firewall-Regeln
Mithilfe der App Firewall können Sie basierend auf der geltenden Netzwerkrichtlinie Zulassungs- und Ablehnungsregeln konfigurieren.
In den folgenden Beispielen werden zwei gängige Firewall-Richtlinien beschrieben:
Gesamten Datenverkehr
standardmäßig zulassen
Sie lassen standardmäßig den gesamten Datenverkehr zu und fügen Ablehnungsregeln basierend auf Flow Monitoring-Daten oder einer manuellen App
Firewall-Regelkonfiguration hinzu. Wenn in diesem Szenario eine Sitzung keiner der Ablehnungsregeln entspricht, lässt die vShield App-Instanz die Durchleitung des Datenverkehrs zu.
Gesamten Datenverkehr
standardmäßig nicht zulassen
Sie können den [Action] -Status der Standardregeln von [Allow] in [Deny]
ändern und explizit für bestimmte Systeme und Anwendungen Zulassungsregeln hinzufügen. Wenn in diesem Szenario eine Sitzung keiner der Zulassungsregeln entspricht, unterbindet die vShield App-Instanz die Sitzung, bevor sie ihr Ziel erreicht. Wenn Sie die Standardregeln so ändern, dass der gesamte Datenverkehr unterbunden wird, lässt die vShield App-Instanz weder
ein- noch ausgehenden Datenverkehr zu.
Arbeiten mit Anwendungen
Sie können eine Anwendung erstellen und dann die Regeln für diese Anwendung definieren.
Erstellen einer Anwendung
Alle benutzerdefinierten Anwendung-Port-Paarzuordnungen, die Sie möglicherweise auf einer vorherigen
Ebene festgelegt haben, werden als Standardanwendungen angezeigt.
Vorgehensweise
1
2
VMware, Inc.
63
3
Klicken Sie auf die Registerkarte [Applications] .
4
Das Fenster „Add Application“ wird geöffnet.
5
Geben Sie unter [Name] einen Namen zur Identifikation der Anwendung ein.
6
(Optional) Geben Sie unter [Description] eine Beschreibung der Anwendung ein.
7
(Optional) Wählen Sie unter [Protocol] ein Protokoll aus, dem Sie einen nicht standardmäßigen Port
hinzufügen möchten.
8
Geben Sie unter „ [Ports] =“ die Portnummer(n) ein.
9
Die benutzerdefinierte Anwendung wird in der Tabelle „Applications“ angezeigt.
Bearbeiten einer Anwendung
Sie können nur benutzerdefinierte Anwendungen bearbeiten.
Vorgehensweise
1
2
3
4
Wählen Sie eine benutzerdefinierte Anwendung aus und klicken Sie auf [Edit] .
Das Fenster „Edit Application“ wird geöffnet.
5
Nehmen Sie die entsprechenden Änderungen vor.
6
Löschen einer Anwendung
Sie können nur benutzerdefinierte Anwendungen löschen.
Vorgehensweise
1
2
3
4
Wählen Sie eine benutzerdefinierte Anwendung aus und klicken Sie auf [Delete]
Das Dialogfeld „Delete Application“ wird geöffnet.
5
Klicken Sie auf [Yes] .
Die Anwendung wird gelöscht.
64
VMware, Inc.
Gruppieren von Objekten
Mit der Gruppierungsfunktion können Sie benutzerdefinierte Container erstellen, denen Sie zum Schutz durch
die App Firewall Ressourcen wie virtuelle Maschinen und Netzwerkadapter hinzufügen können. Nach dem
Definieren einer Gruppe können Sie diese zum Schutz als Quelle oder Ziel zu einer Firewallregel hinzufügen.
Erstellen einer IP- oder MAC-Adressgruppe
Sie können eine IP- oder MAC-Adressgruppe erstellen, die aus einem Bereich von IP-/MAC-Adressen besteht.
Sie können diese Gruppe anschließend als Quelle oder Ziel in einer Firewallregel verwenden.
Vorgehensweise
1
2
3
4
Klicken Sie auf [Add] und wählen Sie [IP Addresses] oder [MAC Addresses] aus.
Das Fenster „Add IP Addresses“ bzw. „Add MAC Addresses“ wird geöffnet.
5
Geben Sie einen Namen für die Adressgruppe ein.
6
Geben Sie eine Beschreibung für die Adressgruppe ein.
7
Geben Sie die IP- bzw. MAC-Adressen ein, die zur Gruppe hinzugefügt werden sollen.
8
Erstellen einer Sicherheitsgruppe
In vSphere Client können Sie eine Sicherheitsgruppe auf der Portgruppenebene hinzufügen.
Vorgehensweise
1
2
3
4
Klicken Sie auf [Add] und wählen Sie [Security Group] .
Das Fenster „Add Security Group“ wird mit dem ausgewählten Datencenter geöffnet, das als [Scope]
(Geltungsbereich) angezeigt wird.
5
Geben Sie einen Namen und eine Beschreibung für die Sicherheitsgruppe ein.
6
7
Klicken Sie in das Feld neben der Schaltfläche „Add“ und wählen Sie die Ressource aus, die Sie in die
Sicherheitsgruppe aufnehmen möchten.
8
Klicken Sie auf [Add] . Die ausgewählte Ressource wird in der Liste unterhalb der Schaltfläche „Add“
angezeigt. Sie können der Sicherheitsgruppe mehrere Ressourcen hinzufügen.
Wenn Sie einer Sicherheitsgruppe eine Ressource hinzufügen, werden automatisch auch alle zugewiesenen Ressourcen hinzugefügt. Wenn Sie beispielsweise eine virtuelle Maschine auswählen, wird die zugewiesene vNIC automatisch zur Sicherheitsgruppe hinzugefügt.
9
VMware, Inc.
Klicken Sie auf [Finish.]
65
Arbeiten mit Anwendungs-Firewallregeln
Sie können L3- und L2-Firewallregeln mit hohem und niedrigem Vorrang hinzufügen.
Hinzufügen einer Anwendungs-Firewallregel
Sie können eine Anwendungs-Firewallregel auf verschiedenen Containerebenen hinzufügen.
Vorgehensweise
1
Wechseln Sie im vSphere-Client zu [Bestandsliste] > [Hosts und Cluster] und wählen Sie ein Datencenter
aus oder wechseln Sie zu [Bestandsliste] > [Netzwerk] und wählen Sie eine Portgruppe aus.
2
Klicken Sie auf die Registerkarte [vShield App] .
3
Klicken Sie auf [App Firewall] .
4
Klicken Sie im Bereich für High Precedence, Network oder Low Precedence auf [Add Rule] .
Das Fenster „Add Rule“ wird geöffnet.
HINWEIS Nachdem Sie in einem dieser Bereiche eine Regel erstellt haben, müssen Sie über der Spalte
„Source“ auf die Schaltfläche Add klicken, um zusätzliche Regeln hinzuzufügen.
5
Füllen Sie das Fomular vollständig aus, um die Firewallregel zu konfigurieren.
Option
Beschreibung
Quelle
Container oder IP-Adresse des Ursprungs der Kommunikation.
Source boundary
Richtung im Verhältnis zur Quelle, aus der die Kommunikation stammt.
Ziel
Container oder IP-Adresse des Ziels der Kommunikation.
Destination boundary
Richtung im Verhältnis zum Ziel der Kommunikation.
Protokoll
Protokoll für die Regel.
Protokollierung
Legt fest, ob alle Sitzungen protokolliert werden sollen, die unter diese Regel
fallen.
Aktiviert
Legt fest, ob die Regel, die Sie erstellen, aktiviert werden soll.
Anmerkungen
Anmerkungen zur Regel.
6
7
Wählen Sie die neue Regel aus und klicken Sie auf [Move Up] oder [Move Down] , um die Priorität für
die Regel zu erhöhen bzw. zu verringern.
8
Klicken Sie auf [Publish Changes] , um die neue Regel in allen vShield App-Instanzen zu veröffentlichen.
Löschen einer Anwendungs-Firewallregel
Sie können App Firewall-Regeln, die Sie erstellt haben, löschen. Regeln im Abschnitt „System Defined“ der
Tabelle können nicht gelöscht werden.
Vorgehensweise
66
1
2
Je nachdem, auf welcher Ebene Sie eine Regel löschen möchten, wählen Sie ein Datencenter oder eine
Portgruppe aus der Ressourcenstruktur aus.
3
4
Klicken Sie auf [App Firewall] .
VMware, Inc.
5
Klicken Sie auf eine Regel in der entsprechenden Tabelle.
6
Klicken Sie auf [Delete Selected] .
Sie können auf [Delete All] klicken, um alle Firewallregeln zu löschen.
Wiederherstellen einer vorherigen Application Firewall-Konfiguration
vShield Manager speichert die App Firewall-Einstellungen bei jedem Veröffentlichen einer neuen Regel. Beim
Klicken auf [Publish Changes] speichert vShield Manager die vorherige Konfiguration mit einem Zeitstempel, bevor die neue Regel hinzugefügt wird. Diese Konfigurationen stehen in der Dropdown-Liste [History]
zur Verfügung.
Vorgehensweise
1
2
Wählen Sie in der Bestandsliste eine Datencenter- oder Clusterressource aus.
3
Klicken Sie auf die Registerkarte [App Firewall] .
4
Klicken Sie auf [History] > [Load] .
Im Dialogfeld „Firewall Configuration History“ werden die vorherigen Konfigurationen nach Zeitstempel
aufgelistet, wobei die neueste Konfiguration oben aufgeführt wird.
5
Wählen Sie die Konfiguration aus, die Sie wiederherstellen möchten.
6
7
Klicken Sie im Dialogfeld „Load Configuration“ auf [OK] .
8
Die ausgewählte Konfiguration wird geladen.
Verwenden von SpoofGuard
Nach der Synchronisierung mit vCenter Server erfasst vShield Manager auf allen virtuellen Maschinen die IPAdressen aller virtuellen vCenter-Gastmaschinen aus den VMware Tools. Bis vShield 4.1 vertraute vShield
den IP-Adressen, die von den VMware Tools auf einer virtuellen Maschine bereitgestellt wurden. Doch wenn
die Sicherheit einer virtuellen Maschine gefährdet ist, kann die IP-Adresse manipuliert worden sein, und
Übertragungen mit böswilligen Absichten können Firewall-Richtlinien umgehen.
SpoofGuard ermöglicht die Autorisierung der von den VMware Tools gemeldeten IP-Adressen und bei Bedarf
deren Änderung, um Manipulationen (Spoofing) zu verhindern. SpoofGuard vertraut standardmäßig den
MAC-Adressen virtueller Maschinen, die aus VMX-Dateien und dem vSphere SDK erfasst werden. SpoofGuard wird getrennt von den App Firewall-Regeln ausgeführt und kann zum Blockieren von Datenverkehr
verwendet werden, der als manipuliert erkannt wurde.
VMware, Inc.
67
Falls aktiviert, können Sie mit SpoofGuard die von Ihren virtuellen Maschinen gemeldeten IP-Adressen in
einem der folgenden Modi überwachen und verwalten.
Automatically Trust IP
Assignments on Their
First Use
Dieser Modus erlaubt dem gesamten Datenverkehr von Ihren virtuellen Maschinen die Durchleitung, wobei eine Zuweisungstabelle zwischen MAC- und
IP-Adressen erstellt wird. Sie können diese Tabelle überprüfen und IP-Adressenänderungen vornehmen.
Manually Inspect and
Approve All IP Assignments Before Use
In diesem Modus wird der gesamte Datenverkehr so lange blockiert, bis Sie
die jeweilige MAC-zu-IP-Adressenzuweisung genehmigen.
HINWEIS SpoofGuard lässt standardmäßig DHCP-Anforderungen unabhängig vom aktivierten Modus zu. Im
manuellen Prüfmodus wird der Datenverkehr allerdings erst durchgeleitet, nachdem die von DHCP zugewiesene IP-Adresse genehmigt wurde.
SpoofGuard-Bildschirmoptionen
Die SpoofGuard-Schnittstelle enthält die folgenden Optionen:
Auf dem SpoofGuard-Bildschirm werden die folgenden Optionen angezeigt.
Tabelle 12-1. SpoofGuard-Bildschirmoptionen
Option
Beschreibung
Aktive IP-Zuweisungen
Liste aller validierten IP-Adressen
Inaktive IP-Zuweisungen
Liste mit IP-Adressen, bei denen die aktuelle IP-Adresse nicht der veröffentlichten
IP-Adresse entspricht.
Active Since Last Published
Liste mit IP-Adressen, die seit der letzten Aktualisierung der Richtlinie validiert
wurden.
Unpublished IP assignment changes
Liste virtueller Maschinen, deren IP-Adressenzuweisung Sie bearbeitet, aber noch
nicht veröffentlicht haben.
IP-Zuweisungen, die von mir überprüft
und genehmigt werden müssen
IP-Adressenänderung, die genehmigt werden muss, bevor Datenverkehr zu oder
von diesen virtuellen Maschinen übertragen werden kann.
Duplicate IP assignments
IP-Adressen, die im ausgewählten Datencenter Duplikate einer vorhandenen zugewiesenen IP-Adresse sind
Aktivieren von SpoofGuard
Sobald es aktiviert ist, können Sie SpoofGuard zum Verwalten von IP-Adresszuweisungen für Ihre komplette
vCenter-Bestandsliste verwenden.
WICHTIG Sie müssen für alle vShield App-Instanzen ein Upgrade auf vShield App 1.0.0 Update 1 oder höher
durchführen, bevor Sie SpoofGuard aktivieren.
Vorgehensweise
68
1
Navigieren Sie auf der vShield Manager-Benutzeroberfläche zur Ansicht [Settings and Reports] .
2
Klicken Sie auf die Registerkarte [SpoofGuard] .
3
Klicken Sie rechts neben der Überschrift Global Status auf [Edit] .
4
Klicken Sie für [IP Assignment Tracking] auf [Enable] .
VMware, Inc.
5
6
Wählen Sie für [Operation Mode] eine der folgenden Optionen aus:
Option
Beschreibung
Automatically Trust IP Assignments
on Their First Use
Wählen Sie diese Option, um allen IP-Zuweisungen bei der einleitenden Registrierung bei vShield Manager zu vertrauen.
Manually Inspect and Approve All IP
Assignments Before Use
Wählen Sie diese Option, um eine manuelle Genehmigung aller IP-Adressen
anzufordern. Sämtlicher Datenverkehr von und an nicht genehmigte IP-Adressen wird blockiert.
Genehmigen von IP-Adressen
Wenn Sie SpoofGuard auf das Anfordern einer manuellen Genehmigung aller IP-Adressenzuweisungen festlegen, müssen Sie IP-Adressenzuweisungen genehmigen, damit die Durchleitung von Datenverkehr von diesen virtuellen Maschinen zugelassen wird.
Vorgehensweise
1
Navigieren Sie im vSphere-Client zur Ansicht [Hosts und Cluster] .
2
Wählen Sie in der Ressourcenstruktur eine Datencenterressource aus.
3
4
5
Klicken Sie auf den Link [Require Approval] oder [Duplicate IP assignments] .
6
Führen Sie eine der folgenden Aufgaben aus:
n
Aktivieren Sie in der rechten Kontrollkästchenspalte das obere Kontrollkästchen, um alle Zuweisungen auf dem Bildschirm auszuwählen.
n
Aktivieren Sie das Kontrollkästchen jeder einzelnen Zuweisung, die Sie genehmigen möchten.
7
Klicken Sie auf [Approve Selected] .
8
Klicken Sie auf [Publish Now] .
Bearbeiten einer IP-Adresse
Sie können die einer MAC-Adresse zugewiesene IP-Adresse bearbeiten, um diese zu korrigieren.
HINWEIS SpoofGuard lässt eine eindeutige IP-Adresse von mehreren virtuellen Maschinen zu. Sie können eine
IP-Adresse jedoch nur einmal zuweisen. Eine genehmigte IP-Adresse ist im gesamten vShield-System eindeutig. Duplizierte genehmigte IP-Adressen sind nicht zulässig.
Vorgehensweise
1
Navigieren Sie im vSphere-Client zur Ansicht [Hosts und Cluster] .
2
3
4
5
Klicken Sie auf einen der Links für Optionen.
6
Klicken Sie in der Spalte Approved IP auf [Edit] .
7
Geben Sie in das Popup-Fenster [Approved IP Address] eine IP-Adresse ein.
8
Klicken Sie auf [Apply] .
VMware, Inc.
69
9
Löschen einer IP-Adresse
Sie können eine MAC-zu-IP-Adressenzuweisung aus der SpoofGuard-Tabelle löschen, um eine nicht mehr
aktive virtuelle Maschine aus der Tabelle zu entfernen. Gelöschte Instanzen können in der SpoofGuard-Tabelle
basierend auf dem nachverfolgten Datenverkehr und dem aktuellen Aktivierungsstatus von SpoofGuard erneut angezeigt werden.
Vorgehensweise
70
1
Navigieren Sie in vSphere Client zu [Bestandsliste] > [Hosts und Cluster]
2
3
4
5
Klicken Sie auf einen der Links für Optionen.
6
Klicken Sie in der Spalte Approved IP auf [Delete] .
7
VMware, Inc.
vShield Endpoint-Ereignisse und Alarme
13
vShield Endpoint lagert die Verarbeitung von Antivirus- und Anti-Malware-Agenten auf eine dedizierte sichere virtuelle Appliance aus, die von VMware-Partnern bereitgestellt wird. Da die sichere virtuelle Appliance
(im Unterschied zu einer virtuellen Gastmaschine) nicht offline geschaltet wird, kann sie kontinuierlich Antivirus-Signaturen aktualisieren und dabei den virtuellen Maschinen auf dem Host unterbrechungsfreien Schutz
bieten. Zudem werden neue virtuelle Maschinen (oder vorhandene virtuelle Offline-Maschinen) sofort durch
die aktuellsten Antivirus-Signaturen geschützt, wenn sie wieder online geschaltet werden.
Der vShield Endpoint-Integritätsstatus wird mithilfe von Alarmen überwacht, die in der vCenter Server-Konsole mit roten Symbolen angezeigt werden. Zusätzlich können weitere Statusinformationen anhand der Ereignisprotokolle gesammelt werden.
WICHTIG vCenter Server muss für die vShield Endpoint-Sicherheit ordnungsgemäß konfiguriert werden:
n
Nicht alle Gastbetriebssysteme werden von vShield Endpoint unterstützt. Virtuelle Maschinen mit nicht
unterstützten Gastbetriebssystemen werden nicht von der Sicherheitslösung geschützt. Informationen zu
unterstützten Betriebssystemen finden Sie im Abschnitt „Installieren von vShield Endpoint“ in der vShieldKurzanleitung.
n
Alle Hosts in einem Ressourcenpool, die geschützte virtuelle Maschinen enthalten, müssen für vShield
Endpoint vorbereitet sein, damit virtuelle Maschinen weiterhin geschützt bleiben, wenn Sie mit vMotion
von einem auf einen anderen ESX-Host innerhalb des Ressourcenpools migriert werden.
n
„Anzeigen des vShield Endpoint-Status“, auf Seite 71
n
„vShield Endpoint-Alarme“, auf Seite 72
n
„vShield Endpoint-Ereignisse“, auf Seite 72
n
„Überwachungsmeldungen für vShield Endpoint“, auf Seite 73
Anzeigen des vShield Endpoint-Status
Die Überwachung einer vShield Endpoint-Instanz umfasst die Überprüfung von Statusinformationen von den
vShield Endpoint-Komponenten: Sichere virtuelle Maschine (SVM), vShield Endpoint-Modul auf dem ESXHost und Thin-Agent auf der geschützten virtuellen Maschine.
Vorgehensweise
1
2
Wählen Sie in der Ressourcenstruktur eine Datencenter-, Cluster- oder ESX-Hostressource aus.
3
VMware, Inc.
71
4
Klicken Sie auf [Endpoint Status] .
vShield Endpoint-Alarme
Alarme machen den vCenter Server-Administrator auf vShield Endpoint-Ereignisse aufmerksam, die ein Eingreifen erfordern. Alarme werden automatisch beendet, wenn der Alarmstatus nicht länger vorliegt.
vCenter Server-Alarme können ohne ein benutzerdefiniertes vSphere-Plug-In angezeigt werden. Weitere Informationen zu Ereignissen und Alarmen finden Sie im vCenter Server-Administratorhandbuch.
Bei der Registrierung als vCenter Server-Erweiterung definiert vShield Manager die Regeln zum Erstellen und
Entfernen von Alarmen basierend auf Ereignissen von den drei vShield Endpoint-Komponenten: SVM, vShield
Endpoint-Modul und Thin-Agent. Regeln können angepasst werden. Anweisungen zum Erstellen neuer benutzerdefinierter Regeln für Alarme finden Sie in der vCenter Server-Dokumentation. In einigen Fällen gibt
es mehrere mögliche Ursachen für einen Alarm. In den folgenden Tabellen werden die möglichen Ursachen
und die zugehörigen Aktionen aufgeführt, die zur Problembeseitigung ergriffen werden können.
Hostalarme
Hostalarme werden durch Ereignisse generiert, die den Integritätsstatus des vShield Endpoint-Moduls betreffen.
Tabelle 13-1. Fehler (Kennzeichnung in Rot)
Mögliche Ursache
Aktion
Das vShield Endpoint-Modul wurde auf dem Host
installiert, meldet aber keinen Status mehr an
vShield Manager.
1
Stellen Sie sicher, dass vShield Endpoint ausgeführt wird, indem
Sie sich beim Host anmelden und den Befehl /etc/init.d/vShield-Endpoint-Mux start eingeben.
2
Stellen Sie sicher, dass das Netzwerk ordnungsgemäß konfiguriert
ist, damit vShield Endpoint eine Verbindung zu vShield Manager
herstellen kann.
Starten Sie vShield Manager neu.
3
SVM-Alarme
SVM-Alarme werden durch Ereignisse generiert, die den Systemzustand der SVM betreffen.
Tabelle 13-2. Rote SVM-Alarme
Problem
Aktion
Die Protokollversion stimmt nicht mit der des
vShield Endpoint-Moduls überein
Stellen Sie sicher, dass das vShield Endpoint-Modul und die SVM über
ein kompatibles Protokoll verfügen.
vShield Endpoint konnte keine Verbindung zu der
SVM herstellen
Stellen Sie sicher, dass die SVM eingeschaltet ist und dass das Netzwerk ordnungsgemäß konfiguriert ist.
Die SVM meldet ihren Status auch dann nicht,
wenn Gäste verbunden sind.
Interner Fehler. Kontaktieren Sie den für Sie zuständigen Vertreter des
technischen Supports von VMware.
vShield Endpoint-Ereignisse
Ereignisse dienen der Aufzeichnung und Überwachung von Bedingungen im vShield Endpoint-basierten Sicherheitssystem.
Ereignisse können ohne ein benutzerdefiniertes vSphere-Plug-In angezeigt werden. Weitere Informationen zu
Ereignissen und Alarmen finden Sie im vCenter Server-Administratorhandbuch.
Ereignisse bilden die Grundlage zum Generieren von Alarmen. Nach der Registrierung als vCenter ServerErweiterung definiert vShield Manager die Regeln zum Erstellen und Entfernen von Alarmen.
72
VMware, Inc.
Kapitel 13 vShield Endpoint-Ereignisse und -Alarme
Die für ein Ereignis berichteten Basisargumente sind die Uhrzeit des Auftretens und die Ereignis-ID von
vShield Manager.
Die folgende Tabelle enthält die vShield Endpoint-Ereignisse, die von der SVM und vShield Manager (VSM)
gemeldet wurden. In der Spalte „Ereigniskategorie“ werden Ereignisse, die zu Fehleralarmen führen, in Rot
dargestellt.
Tabelle 13-3. vShield Endpoint-Ereignisse
Beschreibung
Schweregrad
VC-Argumente
vShield Endpoint-Lösung Name der Lösung aktiviert. Unterstützende Version Versionsnummer des VFile-Protokolls.
Info
Zeitstempel
ESX-Modul aktiviert.
Info
Zeitstempel
ESX-Modul deinstalliert.
Info
Zeitstempel
vShield Manager hat die Verbindung zum ESX-Modul verloren.
Info
Zeitstempel
vShield Endpoint-Lösung Name der Lösung wurde von einer nicht
kompatiblen Version des ESX-Moduls kontaktiert.
Fehler
Zeitstempel, Version der Lösung,
ESX-Modulversion
Eine Verbindung zwischen dem ESX-Modul und Name der Lösung
ist fehlgeschlagen.
Fehler
Zeitstempel, ESX-Modulversion,
Version der Lösung
vShield Endpoint konnte keine Verbindung zu der SVM herstellen.
Fehler
Zeitstempel
Die Verbindung von vShield Endpoint mit der SVM wurde getrennt.
Fehler
Zeitstempel
Überwachungsmeldungen für vShield Endpoint
Überwachungsmeldungen umfassen schwerwiegende Fehler und andere wichtige Überwachungsinformationen. Überwachungsmeldungen werden in der Datei vmware.log protokolliert.
Die folgenden Bedingungen werden als AUDIT-Meldungen protokolliert:
n
Erfolgreiche Thin-Agent-Initialisierung (und Versionsnummer)
n
Fehler bei der Thin-Agent-Initialisierung
n
Erste Einrichtung einer Kommunikation mit SVM
n
Fehler beim Einrichten der Kommunikation mit SVM (bei erstem Fehler)
Generierte Protokollmeldungen weisen die folgenden Unterzeichenfolgen im Anfangsabschnitt jeder Protokollmeldung auf: vf-AUDIT, vf-ERROR, vf-WARN, vf-INFO, vf-DEBUG.
VMware, Inc.
73
74
VMware, Inc.
vShield Data Security Management
14
vShield Data Security bietet Sichtbarkeit in vertrauliche Daten, die in den virtualisierten und Cloud-Umgebungen Ihres Unternehmens gespeichert sind. Auf Basis der von vShield Data Security gemeldeten Verstöße
können Sie sicherzustellen, dass vertrauliche Daten angemessen geschützt und weltweit die jeweils geltenden
Bestimmungen eingehalten werden.
Wenn Sie anfangen, vShield Data Security zu verwenden, erstellen Sie eine Richtlinie mit geltenden Datensicherheitsbestimmungen für Ihre Organisation. Darin können Sie außerdem festlegen, welche Dateien und
welche Bereiche Ihrer Umgebung geprüft werden sollen. Wenn Sie eine Data Security-Prüfung starten, analysiert vShield die Daten auf den virtuellen Maschinen in Ihrer vSphere-Bestandsliste und meldet die Anzahl
der erkannten Verstöße und die Dateien, die gegen Ihre Richtlinie verstoßen haben.
Nachdem Sie die Ergebnisse der Prüfung analysiert haben, können Sie Ihre Richtlinie bei Bedarf bearbeiten.
Wenn Sie eine Richtlinie bearbeiten, müssen Sie sie aktivieren, indem Sie die Änderungen veröffentlichen.
Sie können alle Datensicherheitsaufgaben unter Verwendung von REST-APIs durchführen. Weitere Informationen finden Sie im vShield API-Programmierhandbuch.
n
„vShield Data Security-Benutzerrollen“, auf Seite 76
n
„Definieren einer Datensicherheitsrichtlinie“, auf Seite 76
n
„Bearbeiten einer Datensicherheitsrichtlinie“, auf Seite 78
n
„Ausführen einer Datensicherheitsprüfung“, auf Seite 79
n
„Analysieren von Ergebnissen“, auf Seite 79
n
„Erstellen von regulären Ausdrücken“, auf Seite 81
n
„Verfügbare Bestimmungen“, auf Seite 81
n
„Verfügbare Content Blades“, auf Seite 98
n
„Unterstützte Dateiformate“, auf Seite 120
VMware, Inc.
75
vShield Data Security-Benutzerrollen
Die Rolle eines Benutzers legt die Aktionen fest, die der Benutzer durchführen kann.
Rolle
Zulässige Aktionen
Security Administrator
Erstellen und Veröffentlichen von Richtlinien und Anzeigen von Berichten zu Verstößen. Kann
eine Datensicherheitsprüfung weder starten noch anhalten.
vShield Administrator
Starten und Anhalten von Datensicherheitsprüfungen.
Auditor
Anzeigen von konfigurierten Richtlinien und Berichten zu Verstößen.
Definieren einer Datensicherheitsrichtlinie
Um vertrauliche Daten in Ihrer Umgebung erkennen zu können, müssen Sie eine Datensicherheitsrichtlinie
erstellen. Das Erstellen von Richtlinien ist Sicherheitsadministratoren vorbehalten.
Zum Definieren einer Richtlinie müssen Sie Folgendes angeben:
1
Bestimmungen
Eine Bestimmung ist ein Datensicherheitsgesetz zum Schutz von PCI (Payment Card Industry), PHI (Protected Health Information) und PII (Personally Identifiable Information). Sie können die Bestimmungen
auswählen, die Ihr Unternehmen erfüllen muss. Wenn Sie eine Prüfung ausführen, identifiziert vShield
Data Security die Daten, die gegen die Bestimmungen der Richtlinie verstoßen und die für Ihr Unternehmen vertraulich sind.
2
Ausschlussbereiche
Standardmäßig unterliegen alle virtuellen Maschinen in Ihrem Datencenter der Erkennung vertraulicher
Daten. Sie können bestimmte Bereiche in Ihrer Umgebung von der Datensicherheitsprüfung ausschließen,
wenn es sich um Testumgebungen handelt oder wenn Sie vertrauliche Daten in diesen Bereichen beibehalten möchten.
3
Dateifilter
Sie können Filter erstellen, um die zu prüfende Datenmenge einzuschränken und um Dateitypen auszuschließen, die wahrscheinlich keine vertraulichen Daten von der Prüfung enthalten.
Auswählen von Bestimmungen
Sobald Sie die Bestimmungen ausgewählt haben, mit denen Ihre Unternehmensdaten übereinstimmen sollen,
kann vShield Dateien identifizieren, die Informationen enthalten, die gegen diese Bestimmungen verstoßen.
Voraussetzungen
Stellen Sie sicher, dass Ihnen die Rolle des Sicherheitsadministrators zugewiesen wurde.
Vorgehensweise
1
2
Wählen Sie ein Datencenter aus.
HINWEIS Selbst wenn Sie ein Datencenter auswählen, gilt die Richtlinie, die Sie konfigurieren, für die
gesamte vSphere-Bestandsliste.
76
3
Klicken Sie auf die Registerkarte [vShield App] und klicken Sie dann auf [Data Security] .
4
Klicken Sie auf die Registerkarte [Policy] und erweitern Sie [Regulations and standards to detect] .
5
Klicken Sie auf [Edit] und klicken Sie dann auf [All] , um alle verfügbaren Bestimmungen anzuzeigen.
VMware, Inc.
Kapitel 14 vShield Data Security Management
6
Wählen Sie die Bestimmungen aus, die auf Übereinstimmung geprüft werden sollen.
7
8
Für bestimmte Bestimmungen sind zusätzliche Informationen für vShield Data Security erforderlich, damit vertrauliche Daten erkannt werden. Wenn Sie eine Bestimmung ausgewählt haben, die die Group
Insurance Numbers, Patient Identification Numbers, Medical Record Numbers, Health Plan Beneficiary
Numbers, US Bank Account Numbers, Custom Accounts oder Student Identification Numbers überwacht,
geben Sie zum Identifizieren dieser Daten ein Muster für den regulären Ausdruck an.
HINWEIS Überprüfen Sie die Genauigkeit des regulären Ausdrucks. Die Angabe falscher regulärer Ausdrücke kann den Erkennungsvorgang verlangsamen.
9
Klicken Sie auf [Finish.]
10
Wenn Sie eine vorhandene Richtlinie aktualisieren, klicken Sie auf [Publish Changes] , damit sie wirksam
wird.
Festlegen von Bereichen, die von der Richtlinienprüfung ausgeschlossen werden
sollen
Standardmäßig prüft vShield Data Security die gesamte vSphere-Infrastruktur. Sie können bestimmte Bereiche
von der Prüfung ausschließen.
Voraussetzungen
Vorgehensweise
1
Erweitern Sie auf der Registerkarte „Policy“ im Bereich „Data Security“ die Option [Set Excluded
Area] .
2
3
Klicken Sie in das Feld neben der Schaltfläche „Add“ und wählen Sie das Datencenter, den Cluster oder
den Ressourcenpool aus, den Sie von der Prüfung ausschließen möchten.
4
5
6
wird.
Angeben von Dateifiltern
Sie können die Anzahl der Dateien, die Sie überwachen möchten, auf Basis der Größe, des Datums der letzten
Änderung oder der Dateierweiterungen einschränken.
Voraussetzungen
Vorgehensweise
1
Erweitern Sie auf der Registerkarte [Policy] des Bereichs „Data Security“ die Option [Files to scan] .
2
Klicken Sie auf [Change] .
VMware, Inc.
77
3
Sie können entweder alle Dateien auf den virtuellen Maschinen Ihrer Bestandsliste überwachen oder die
Einschränkungen auswählen, die Sie anwenden möchten.
Option
Beschreibung
Alle Dateien auf den virtuellen Gastmaschinen überwachen
vShield Data Security prüft alle Dateien.
Nur die Dateien überwachen, die die
folgenden Bedingungen erfüllen
Wählen Sie bei Bedarf die folgenden Optionen aus.
n [Size] gibt an, dass vShield Data Security nur die Dateien überprüfen
soll, die kleiner sind als die angegebene Größe.
n [Last Modified Date] gibt an, dass vShield Data Security nur die Dateien
überprüfen soll, die innerhalb des angegebenen Zeitraums geändert
wurden.
n [Types:] Wählen Sie [Only files with the following extensions] , um
die zu prüfenden Dateitypen einzugeben. Wählen Sie [All files, except
those with extensions] , um die Dateitypen einzugeben, die von der
Prüfung ausgeschlossen werden sollen.
Weitere Informationen zu Dateiformaten, die vShield Data Security erkennen kann, finden Sie unter
„Unterstützte Dateiformate“, auf Seite 120.
4
5
wird.
Bearbeiten einer Datensicherheitsrichtlinie
Nachdem Sie eine Datensicherheitsrichtlinie definiert haben, können Sie sie bearbeiten, indem Sie die ausgewählten Bestimmungen, die von der Prüfung ausgeschlossenen Bereiche oder die Dateifilter ändern. Damit
die bearbeitete Richtlinie wirksam wird, müssen Sie sie veröffentlichen.
Voraussetzungen
Vorgehensweise
1
2
Wählen Sie ein Datencenter aus.
HINWEIS Selbst wenn Sie ein Datencenter auswählen, gilt die bearbeitete Richtlinie für die gesamte
vSphere-Bestandsliste.
3
4
Klicken Sie auf die Registerkarte [Policy] und erweitern Sie die Bereiche, die Sie bearbeiten möchten.
5
Nehmen Sie die entsprechenden Änderungen vor.
6
7
wird.
HINWEIS Wenn Sie während einer laufenden Prüfung eine Richtlinie veröffentlichen, wird die Prüfung
neu gestartet. Durch diese erneute Prüfung wird sichergestellt, dass alle virtuellen Maschinen mit der
bearbeiteten Richtlinie übereinstimmen.
78
VMware, Inc.
Ausführen einer Datensicherheitsprüfung
Beim Ausführen einer Datensicherheitsprüfung werden Daten in Ihrer virtuellen Umgebung identifiziert, die
gegen Ihre Richtlinie verstoßen.
Voraussetzungen
Sie müssen vShield-Administrator sein, um eine Datensicherheitsprüfung starten, anhalten oder beenden zu
können.
Vorgehensweise
1
2
3
Klicken Sie auf [Start] .
HINWEIS Falls ein Host, eine sichere virtuelle Maschine oder eine virtuelle Maschine nicht eingeschaltet
ist, wird die virtuelle Maschine nicht geprüft.
Wenn eine Prüfung ausgeführt wird, lauten die verfügbaren Optionen [Pause] und [Stop] .
Alle virtuellen Maschinen Ihres Datencenters werden während einer Prüfung einmal geprüft. Wenn bei Ausführung einer Prüfung damit begonnen wird, eine Richtlinie zu bearbeiten und zu veröffentlichen, wird die
Prüfung neu gestartet. Durch diese erneute Prüfung wird sichergestellt, dass alle virtuellen Maschinen mit der
bearbeiteten Richtlinie übereinstimmen. Eine erneute Prüfung wird durch das Veröffentlichen einer bearbeiteten Richtlinie, nicht durch Daten-Updates auf Ihren virtuellen Maschinen, ausgelöst.
Wenn während einer laufenden Prüfung neue virtuelle Maschinen zu Ihrer Bestandsliste hinzugefügt werden,
werden diese Maschinen ebenfalls geprüft. Wenn eine virtuelle Maschine während einer laufenden Datensicherheitsprüfung in einen von der Prüfung ausgeschlossenen Cluster oder Ressourcenpool verschoben wird,
werden die Dateien dieser virtuellen Maschine nicht geprüft. Für den Fall, dass eine virtuelle Maschine via
vMotion auf einen anderen Host verschoben wird, wird die Prüfung auf dem zweiten Host fortgesetzt (Dateien, die geprüft wurden, während sich die virtuelle Maschine auf dem ersten Host befand, werden nicht
erneut geprüft).
Wenn die Data Security-Engine damit beginnt, eine virtuelle Maschine zu prüfen, wird die Startzeit der Prüfung aufgezeichnet. Am Ende der Prüfung wird die Endzeit aufgezeichnet. Sie können die Start- und Endzeit
für einen Cluster, einen Host oder eine virtuelle Maschine auf der Registerkarte [Tasks and Events] anzeigen.
vShield Data Security prüft immer nur eine virtuelle Maschine auf einem Host, damit sich dies so wenig wie
möglich auf die Leistung auswirkt. Es wird empfohlen, dass Sie die Prüfung nicht während der normalen
Geschäftszeiten ausführen, um Leistungseinbußen zu vermeiden.
Analysieren von Ergebnissen
Nach dem Start einer Datensicherheitsprüfung zeigt vShield zwei Berichte an: die Bestimmungen, gegen die
Dateien Ihrer Bestandsliste verstoßen haben, und die Dateien selbst.
Anzeigen des Berichts zur Anzahl der Verstöße
Wenn Sie eine Sicherheitsprüfung starten, zeigt vShield die Bestimmungen an, gegen die die Daten Ihrer virtuellen Umgebung verstoßen haben.
Voraussetzungen
Stellen Sie sicher, dass Ihnen die Rolle des Sicherheitsadministrators oder Auditors zugewiesen wurde.
VMware, Inc.
79
Vorgehensweise
1
Navigieren Sie im vSphere-Client zu [Inventory] > [Hosts and Clusters] .
2
Wählen Sie das Datencenter, den Cluster, den Ressourcenpool oder die virtuelle Maschine aus, um den
jeweils passenden Bericht anzuzeigen.
3
Klicken Sie auf [Data Security] .
4
Klicken Sie auf die Registerkarte [Reports] im Bereich „Data Security“.
Die Liste zu den Verstößen enthält die Bestimmungen Ihrer Richtlinie, gegen die verstoßen wurde, und
gibt die Häufigkeit der Verstöße an.
Anzeigen des Berichts zu Dateien, die gegen Regeln verstoßen haben
Wenn Sie eine Datensicherheitsprüfung starten, zeigt vShield die Dateien an, die von Ihrer Richtlinie als vertraulich erachtete Daten enthalten.
Voraussetzungen
Vorgehensweise
1
2
Wählen Sie das Datencenter, den Cluster, den Ressourcenpool oder die virtuelle Maschine aus, um den
jeweils passenden Bericht anzuzeigen.
3
Klicken Sie auf [Data Security] .
4
Klicken Sie auf die Registerkarte [Reports] im Bereich „Data Security“.
5
Wählen Sie von [View Report] aus [Violating files] .
Der Bericht „Violating files“ listet das Datencenter, den Cluster und die virtuelle Maschine auf, die die Dateien
enthalten, die gegen die Richtlinie verstoßen haben, und die Bestimmungen, gegen die verstoßen wurde, sowie
das Datum und die Uhrzeit, zu dem bzw. der der Verstoß erkannt wurde.
Wenn Sie eine solche Datei korrigieren, indem Sie die vertraulichen Informationen aus der Datei löschen, die
Datei löschen bzw. verschlüsseln oder die Richtlinie bearbeiten, wird diese dennoch so lange im Abschnitt
„Violating files“ angezeigt, bis die nächste Prüfung abgeschlossen ist.
Herunterladen des Berichts zu Dateien, die gegen Regeln verstoßen haben
Der Bericht zur Sicherheitsprüfung kann in eine CSV-Datei exportiert werden.
Voraussetzungen
Vorgehensweise
80
1
Zeigen Sie den Bericht zu Dateien an, die gegen Regeln verstoßen haben. Gehen Sie dabei wie folgt vor
(siehe Beschreibung in „Anzeigen des Berichts zu Dateien, die gegen Regeln verstoßen haben“, auf Seite 80):
2
Klicken Sie auf [Download Complete Report] .
3
Wählen Sie unter [Save in] das Verzeichnis aus, in dem Sie die Datei speichern möchten.
4
Geben Sie unter [File name] den Dateinamen an.
5
VMware, Inc.
Erstellen von regulären Ausdrücken
Ein regulärer Ausdruck ist ein Muster, das eine bestimmte Textzeichenfolge beschreibt, die auch als String
bezeichnet wird. Sie verwenden reguläre Ausdrücke zum Suchen nach bestimmten Zeichenfolgen oder Zeichenfolgenklassen in einem Text.
Die Verwendung eines regulären Ausdrucks ähnelt einer Suche mit Platzhalterzeichen, aber reguläre Ausdrücke sind leistungsstärker. Reguläre Ausdrücke können sehr einfach, aber auch sehr komplex sein. Ein
Beispiel für einen einfachen regulären Ausdruck ist cat.
Mit diesem Ausdruck wird in einem Text die erste Instanz der Zeichenfolge „cat“ gefunden. Wenn Sie sicherstellen möchten, dass nur das Wort cat gefunden wird und nicht andere Zeichenfolgen wie cats oder hepcat,
können Sie einen etwas komplexeren Ausdruck verwenden: \cat\b.
In diesem Ausdruck werden Sonderzeichen verwendet, die sicherstellen, dass nur dann eine Übereinstimmung gefunden wird, wenn das Wort cat nicht Teil einer längeren Zeichenfolge ist, sondern alleine steht. Um
beispielsweise eine ähnliche Suche wie bei der Platzhaltersuche c+t durchzuführen, verwenden Sie diesen
regulären Ausdruck: \bc\w+t\b.
Dies bedeutet, dass ein Wortbegrenzer (\b) gefolgt von einem c, gefolgt von einem oder mehreren Zeichen,
die keine Whitespace- oder Interpunktionszeichen sein dürfen (\w+), gefolgt von einem t, gefolgt von einem
Wortbegrenzer (\b), gefunden wird. Dieser Ausdruck findet cot, cat, croat, aber nicht crate.
Ausdrücke können sehr komplex werden. Mit den folgenden Ausdrücken wird eine gültige E-Mail-Adresse
gesucht.
\b[A-Za-z0-9._%-]+@[A-Za-z0-9.-]+\.[A-Za-z]{2,4}\b
Weitere Informationen zum Erstellen regulärer Ausdrücke finden Sie unter
http://userguide.icu-project.org/strings/regexp.
Verfügbare Bestimmungen
Nachfolgend finden Sie Beschreibungen für jede in vShield Data Security verfügbare Bestimmung.
Arizona SB-1338
Arizona SB-1338 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten.
Arizona SB-1338 wurde am 26. April 2006 unterzeichnet und trat am 31. Dezember 2006 in Kraft. Dem Gesetz
unterliegen alle natürlichen und juristischen Personen, die in Arizona Geschäfte tätigen und unverschlüsselte
computerisierte Daten, einschließlich persönlicher Daten, besitzen bzw. diese lizenzieren.
Anhand der Richtlinie wird nach mindestens einer Übereinstimmung bei den persönlichen Daten gesucht.
Dazu gehören:
n
Kreditkartennummer
n
Daten des Kreditkartenmagnetstreifens
n
US-Führerscheinnummer
n
US-Sozialversicherungsnummer
VMware, Inc.
81
ABA Routing-Nummern
Eine Routing Transit Number (RTN) oder ABA-Nummer ist ein in den USA verwendeter neunstelliger Bankcode, der z. B. auf Schecks aufgedruckt ist und das Finanzinstitut angibt, von dem er ausgegeben wurde. Dieser
Code wird auch vom Automated Clearing House zum Verarbeiten von Direktüberweisungen und anderen
automatisierten Transfers verwendet. Dieses System ist nach der American Bankers Association benannt, die
dieses Verfahren 1910 entwickelte.
Zurzeit sind ungefähr 24.000 aktive Routing- und Transit-Nummern in Gebrauch. Jedes Finanzinstitut hat eine
solche Nummer; sie ist eine 9-stellige Nummer in MICR-Schrift am unteren Rand von Schecks, die das Finanzinstitut eindeutig identifiziert, und unterliegt dem Routing Number Administrative Board, das von der
ABA gesponsert wird.
Die primären Gründe zur Verwendung von Routing-Nummern sind folgende:
n
Zum Identifizieren der Bank, die zum Auszahlen bzw. Vergeben von Krediten verantwortlich ist oder
berechtigt ist, Zahlungen bzw. Kredite für finanzielle Transaktionen zu erhalten.
n
Zum Bereitstellen einer Referenz auf eine designierte Stelle der Bank, an die die Transaktion zugestellt
bzw. an der sie vorgelegt werden kann.
Weitere Informationen finden Sie unter „Content Blade für ABA Routing-Nummern“, auf Seite 98.
Australische Bankkontonummern
Eine australische Bankkontonummer identifiziert zusammen mit einer BSB-Nummer (Bank State BranchNummer) das Bankkonto einer Person oder Organisation.
Australische Geschäfts- und Firmennummern
Die australischen Geschäftsnummern (ABN, Australian Business Number) und die australischen Firmennummern (ACN, Australian Company Number) dienen der eindeutigen Identifizierung der Unternehmen innerhalb des Landes.
Die ABN ist eine eindeutige, 11-stellige Identifikationsnummer, die Unternehmen im Umgang mit anderen
Unternehmen verwenden. Die letzten 9 Stellen der ABN eines Unternehmens sind häufig mit dessen ACN
identisch. Die ABN zeigt an, dass eine Person, ein Konzern oder ein Unternehmen im Australian Business
Register (ABR) registriert ist.
Eine australische Firmennummer (ACN, Australian Company Number) ist eine eindeutige 9-stellige Identifikationsnummer, die von der Australian Securities and Investments Commission (ASIC) für jedes Unternehmen ausgestellt wird, das im Rahmen des Commonwealth Corporations Act 2001 registriert ist. Die Nummer
wird in der Regel in drei Gruppen mit jeweils drei Ziffern angegeben.
Die Unternehmen sind verpflichtet, ihre ACN an folgenden Stellen anzugeben:
n
auf dem Firmensiegel (sofern vorhanden)
n
auf jedem öffentlichen Dokument, das vom Unternehmen oder in seinem Auftrag ausgestellt, unterzeichnet oder veröffentlicht wird
n
auf jedem diskontfähigen Wertpapier, das vom Unternehmen oder in seinem Auftrag ausgestellt, unterzeichnet oder veröffentlicht wird
n
auf allen Unterlagen, die bei der ASIC (Australian Securities and Investments Commission) eingereicht
werden müssen
Diese Regelung verwendet die Content Blades mit dem Titel „Australia Business Number“ oder „Australia
Company Number“. Weitere Informationen finden Sie unter .
82
VMware, Inc.
Australische Medicare-Kartennummern
Alle australischen Bürger sowie Personen mit ständigem Wohnsitz in Australien und ihre Familien haben
Anspruch auf eine Medicare-Karte, mit Ausnahme der Einwohner von Norfolk Island. Auf der Karte sind eine
Person sowie die von ihr ausgewählten Mitglieder ihrer Familie (maximal fünf Namen) aufgeführt, die ebenfalls ihren ständigen Wohnsitz in Australien haben und auf die die Medicare-Definition eines Familienangehörigen zutrifft. Die Medicare-Nummer muss angegeben werden, um Medicare-Rabatte nutzen zu können
oder im staatlichen Krankenhaussystem kostenfrei behandelt zu werden.
Medicare wird von Medicare Australia (bis 2005 Health Insurance Commission) verwaltet, das auch für die
Ausgabe von Medicare-Karten und -Nummern zuständig ist. Nahezu alle berechtigten Personen verfügen
über eine Karte: Im Juni 2002 wurden 20,4 Millionen Inhaber von Medicare-Karten gezählt, während die Einwohnerzahl zur selben Zeit weniger als 20 Millionen betrug. (Zu den Karteninhabern gehören auch Australier,
die sich im Ausland aufhalten und noch eine Karte besitzen.)
Die Medicare-Karte wird ausschließlich für Zwecke des Gesundheitswesens verwendet. Ihre Daten können
nicht in einer Datenbank verfolgt werden. Sie enthält einen Namen und eine Nummer, jedoch kein sichtbares
Foto (mit Ausnahme der tasmanischen Smartcard-Version, die über einen eingebetteten Chip mit dem elektronischen Bild des Karteninhabers verfügt).
Vorrangig dient die Medicare-Karte dem Nachweis der Medicare-Berechtigung, wenn eine von Medicare subventionierte Behandlung durch einen Arzt oder ein Krankenhaus in Anspruch genommen wird. Rein rechtlich
gesehen müsste die Karte nicht ausgestellt werden, da die Medicare-Nummer allein ausreicht. In der Praxis
jedoch haben die meisten Medicare-Anbieter Richtlinien, die verlangen, dass die Karte präsentiert wird, um
Missbrauch zu verhindern.
Australische Steuernummern
Eine Steuernummer (TFN, Tax File Number) wird einer Person durch den Commissioner of Taxation ausgestellt. Sie wird verwendet, um die Identität des Klienten zu überprüfen und das Einkommensniveau festzustellen.
Diese Richtlinie verwendet das Content Blade mit dem Namen „Australia Tax File Number“. Die Beschreibung
des Content Blades enthält Informationen darüber, welcher Inhalt erkannt wird.
California AB-1298
California AB-1298 ist ein Datenschutzgesetz des kalifornischen Staates zum Schutz persönlicher Daten. California AB-1298 wurde am 14. Oktober 2007 unterzeichnet und trat am 1. Januar 2008 in Kraft. Dem Gesetz
unterliegen alle natürlichen und juristischen Personen sowie Behörden, die in Kalifornien Geschäfte tätigen
und unverschlüsselte computerisierte Daten, einschließlich persönlicher Daten, besitzen bzw. diese lizenzieren.
Dieses Gesetz ist ein Zusatz zu California SB-1386, das medizinische Daten und Gesundheitsdaten in die Definition persönlicher Informationen aufnimmt.
Anhand der Bestimmung wird nach mindestens einer Übereinstimmung bei den persönlichen Daten gesucht,
wie in den folgenden Content Blades definiert:
n
Aufnahme- und Entlassungsdatum
n
Kreditkartennummern
n
n
Gruppenversicherungsnummern
n
Nummern für Anspruchsberechtigte von Krankenkassenleistungen
n
Wörterbücher für die Gesundheitsvorsorge
VMware, Inc.
83
n
Krankengeschichte
n
Patienten-IDs
n
US-Führerscheinnummern
n
US National Provider Identifiers (NPI)
n
US-Sozialversicherungsnummern
California SB-1386
California SB-1386 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten.
California SB-1386 wurde am 25. September 2002 unterzeichnet und trat am 1. Juli 2003 in Kraft. Dem Gesetz
unterliegen alle natürlichen und juristischen Personen sowie Behörden, die in Kalifornien Geschäfte tätigen
Dieses Gesetz wurde geändert und auf medizinische Informationen und Gesundheitsdaten ausgeweitet. Es
wird jetzt unter der Bezeichnung California AB-1298 geführt und steht im SDK als erweiterte Regelung bereit.
Wenn California AB-1298 aktiviert ist, müssen Sie diese Bestimmung nicht zusätzlich verwenden, da dieselben
Informationen im Rahmen von AB-1298 erkannt werden.
Anhand der Bestimmung wird nach mindestens einer Übereinstimmung bei den persönlichen Daten gesucht.
Dazu gehören:
n
Kreditkartennummer
n
n
n
Kanadische Sozialversicherungsnummern
Die Social Insurance Number (SIN) ist eine in Kanada ausgestellte Nummer, auf die verschiedene staatliche
Programme zurückgreifen. Die SIN wurde 1964 als benutzerdefinierte Kontonummer zur Administration des
Canada Pension Plan und von Kanadas verschiedenen Arbeitsversicherungsprogrammen eingeführt. 1967
begann Revenue Canada (heute die Canada Revenue Agency), die SIN für Steuererklärungen zu verwenden.
Kanadische Führerscheinnummern
In Kanada werden Führerscheine von der Regierung der Provinz ausgestellt, in der der Fahrer seinen Wohnsitz
hat. Daher unterscheiden sich die Vorschriften für Führerscheine der Provinzen in einzelnen Punkten, obwohl
sie insgesamt sehr ähnlich sind. In allen Provinzen gelten Vorschriften, nach denen Nichtansässige eine von
anderen Provinzen ausgestellte Fahrerlaubnis oder einen internationalen Führerschein verwenden dürfen.
Anhand der Bestimmung wird nach mindestens einer Übereinstimmung mit einem der folgenden Content
Blades gesucht:
n
Führerschein von Alberta
n
Führerschein von British Columbia
n
Führerschein von Manitoba
n
Führerschein von New Brunswick
n
Führerschein von Neufundland und Labrador
n
Führerschein von Nova Scotia
Regeln für Lizenzmuster: 5 Buchstaben gefolgt von 9 Ziffern
84
VMware, Inc.
n
Führerschein von Ontario
n
Führerschein von Prince Edward Island
n
Führerschein von Quebec
n
Führerschein von Saskatchewan
Colorado HB-1119
Colorado HB-1119 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten.
Colorado HB-1119 wurde am 24. April 2006 unterzeichnet und trat am 1. September 2006 in Kraft. Dem Gesetz
unterliegen alle natürlichen und juristischen Personen, die in Colorado Geschäfte tätigen und unverschlüsselte
Anhand der Bestimmung wird nach mindestens einer Übereinstimmung bei den persönlichen Daten gesucht.
Dazu gehören:
n
Kreditkartennummer
n
n
n
Connecticut SB-650
Connecticut SB-650 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten. Connecticut SB-650 wurde am 8. Juni 2005 unterzeichnet und trat am 1. Januar 2006 in Kraft. Dem Gesetz
unterliegen alle natürlichen und juristischen Personen sowie Behörden, die in Connecticut Geschäfte tätigen
Anhand der Bestimmung wird nach mindestens einer Übereinstimmung bei den persönlichen Daten gesucht,
wie in den folgenden Content Blades definiert:
n
Aufnahme- und Entlassungsdatum
n
Geburts- und Sterbeurkunden
n
Kreditkartennummern
n
n
Gruppenversicherungsnummern
n
n
Wörterbücher für die Gesundheitsvorsorge
n
Krankengeschichte
n
Patienten-IDs
n
n
US National Provider Identifiers (NPI)
n
Kreditkartennummern
VMware, Inc.
85
Benutzerdefinierte Kontonummern
Wenn Sie die spezifischen Kontonummern einer Organisation schützen müssen, passen Sie das Content Blade
an, das für die benutzerdefinierten Kontonummern zuständig ist, indem Sie das Muster der Nummern über
einen regulären Ausdruck angeben.
EU-Debitkartennummern
Die Richtlinie sucht nach Debitkartennummern, die von den großen Debitkartenunternehmen in der Europäischen Union wie Maestro, Visa und Laser ausgestellt wurden.
FERPA (Family Educational Rights and Privacy Act)
FERPA schützt Daten von Schülern bzw. Studenten in Bildungseinrichtungen, die durch das US Department
of Education gefördert werden. Es verlangt, dass sich die Bildungseinrichtung die schriftliche Genehmigung
eines Elternteils oder des Schülers bzw. Stundenden einholt, bevor Informationen aus den Schulakten des
Schülers bzw. des Studenten freigegeben werden.
Unter bestimmten Umständen können Informationen wie Name, Adresse, Telefonnummer, Ehrungen und
Auszeichnungen sowie das Datum der Teilnahme auch ohne Genehmigung freigegeben oder veröffentlicht
werden. Für Informationen, die eine Person mit Noten oder disziplinarischen Maßnahmen in Verbindung
bringen können, wird immer eine Erlaubnis benötigt.
Die Richtlinie muss mit beiden folgenden Content Blades übereinstimmen, damit ein Dokument einen Verstoß
auslöst:
n
Studentenidentifikationsnummern
n
Studentendaten
Florida HB-481
Florida HB-481 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten.
Florida HB-481 wurde am 14. Juni 2005 unterzeichnet und trat am 1. Juli 2005 in Kraft. Dem Gesetz unterliegen
alle natürlichen Personen, Unternehmen, Interessenverbände, Joint Ventures, Partnerschaften, Syndikate,
Großunternehmen sowie alle anderen Gruppen oder Kombinationen davon, die in Florida Geschäfte tätigen
Dazu gehören:
n
Kreditkartennummer
n
n
n
Französische IBAN-Nummern
Bei einer französischen IBAN (International Bank Account Number) handelt es sich um eine internationale
Norm zum Identifizieren von französischen Bankkonten über nationale Grenzen hinweg, die ursprünglich
vom European Committee for Banking Standards eingeführt wurde. Die offizielle IBAN-Registrierung (ISO
13616:2003) wird von der Society for Worldwide Interbank Financial Telecommunication (SWIFT) ausgestellt.
Die Richtlinie greift auf das Content Blade für französische IBAN-Nummern zurück, um nach einer Übereinstimmung zu suchen.
86
VMware, Inc.
Richtlinie für französische Personalausweisnummern
Diese Richtlinie identifiziert Dokumente und Übertragungen, die Personalausweisnummern enthalten (auch
als INSEE-Nummern und Sozialversicherungsnummern bezeichnet), die Personen vom Institut National de
la Statistique et des Etudes Economiques (INSEE) in Frankreich bei der Geburt ausgestellt werden.
Die Richtlinie greift auf das Content Blade für französische Personalausweisnummern zurück, um nach einer
Übereinstimmung zu suchen.
Georgia SB-230-Richtlinie
Georgia SB-230 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten.
Georgia SB-230 wurde am 5. Mai 2005 unterzeichnet und trat am 5. Mai 2005 in Kraft. Dem Gesetz unterliegen
alle natürlichen und juristischen Personen, die zum Erheben von Gebühren und Abgaben Informationen über
Personen sammeln, zusammenstellen, auswerten, zusammentragen, berichten, übertragen, transferieren oder
kommunizieren mit dem Hauptzweck, persönliche Daten an nicht angegliederte Dritte zur Verfügung zu
stellen, die computerisierte Daten, einschließlich persönlicher Daten, verwalten.
Dazu gehören:
n
Kreditkartennummer
n
n
n
Richtlinie für deutsche BIC-Nummern
Ein Bank Identifier Code (BIC) bzw. eine Bankleitzahl dient der eindeutigen Identifizierung einer bestimmten
Bank und wird in Deutschland und weltweit für den Austausch von Geld und Nachrichten zwischen Banken
verwendet. Die Richtlinie erkennt Dokumente und Übertragungen, die BIC-Codes (auch bekannt als SWIFTCodes) enthalten, die von der Society for Worldwide Interbank Financial Telecommunication (SWIFT) ausgegeben werden.
Die Richtlinie greift auf das Content Blade für deutsche BIC-Nummern zurück, um nach einer Übereinstimmung zu suchen.
Richtlinie für deutsche Führerscheinnummern
Eine deutsche Führerscheinnummer ist eine Identifikationsnummer auf einem deutschen Führerschein und
identifiziert den Führerscheininhaber im Zusammenhang mit dem Führen von Kraftfahrzeugen oder möglichen Verkehrsdelikten.
Die Richtlinie greift auf das Content Blade für deutsche Führerscheinnummern zurück, um nach einer Übereinstimmung zu suchen.
Richtlinie für deutsche IBAN-Nummern
Bei der IBAN (International Bank Account Number) handelt es sich um eine internationale Norm zum Identifizieren von Bankkonten über nationale Grenzen hinweg, die ursprünglich vom European Committee for
Banking Standards eingeführt wurde. Die offizielle IBAN-Registrierung (ISO 13616:2003) wird von der Society
for Worldwide Interbank Financial Telecommunication (SWIFT) ausgestellt.
Die Richtlinie greift auf das Content Blade für deutsche IBAN-Nummern zurück, um nach einer Übereinstimmung zu suchen.
VMware, Inc.
87
Richtlinie für deutsche Personalausweisnummern
Die Richtlinie erkennt Dokumente und Übertragungen, die persönliche Identifikationsnummern oder das
Wort „Personalausweis“ enthalten und für Personen in Deutschland ausgestellt wurden.
Die Richtlinie greift auf das Content Blade für deutsche Personalausweisnummern zurück, um nach einer
Richtlinie für deutsche Umsatzsteuernummern
Ansässiges Unternehmen oder juristische Person für die Zwecke der Mehrwertsteuererhebung (bzw. der Erhebung von Steuern auf Waren und Dienstleistungen).
Die Richtlinie greift auf das Content Blade für deutsche Umsatzsteuernummern zurück, um nach einer Übereinstimmung zu suchen.
Hawaii SB-2290-Richtlinie
Hawaii SB-2290 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten.
Hawaii SB-2290 wurde am 25. Mai 2006 unterzeichnet und trat am 1. Januar 2007 in Kraft. Das Gesetz gilt für
alle Einzelunternehmen, Personengesellschaften, Unternehmen, Verbände bzw. anderen juristischen Personen, ungeachtet der Organisationsform, ob sie gewinnorientiert organisiert sind oder nicht, einschließlich Finanzinstituten, die gemäß der Gesetze des Bundesstaats Hawaii, eines anderen Bundesstaats, der Vereinigten
Staaten oder eines anderen Lands organisiert sind, kraft eines Charters handeln oder im Besitz einer Lizenz
oder eines Autorisierungszertifikats sind, oder der Muttergesellschaft oder Tochtergesellschaft eines Finanzinstituts, sowie jeder juristischen Person, deren Geschäft das Vernichten von Aufzeichnungen ist, oder jeder
Behörde, die persönliche Informationen zu bestimmten behördlichen Zwecken sammelt.
Dazu gehören:
n
Kreditkartennummer
n
n
n
HIPPA-Richtlinie (Healthcare Insurance Portability and Accountability Act)
Der Health Insurance Portability and Accountability Act (HIPAA) wurde vom Kongress der Vereinigten Staaten von Amerika erlassen. HIPAA enthält eine Datenschutzrichtlinie, die die Verwendung und Veröffentlichung von geschützten Gesundheitsinformationen (PHI, Protected Health Information) regelt, eine Sicherheitsrichtlinie, die Sicherheitsvorkehrungen für elektronisch geschützte Gesundheitsinformationen (ePHI,
Electronic Protected Health Information) festlegt, und eine Durchsetzungsrichtlinie, die Prozeduren für Ermittlungen bei Verstößen sowie Strafen für bestätigte Verstöße definiert.
Unter PHI versteht man persönliche Gesundheitsinformationen, die in irgendeiner Form oder mit irgendeinem
Medium (elektronisch, mündlich oder auf Papier) durch eine abgedeckte juristische Person oder deren Geschäftspartner übermittelt werden (mit Ausnahme bestimmter Schulungs- und Beschäftigungsunterlagen).
Persönliche Informationen ermöglichen Rückschlüsse auf die Identität der betroffenen Person durch den Ermittler.
88
VMware, Inc.
Diese Richtlinie soll elektronisch geschützte Gesundheitsinformationen (ePHI) erkennen, die außer gesundheitsbezogener Terminologie eine persönliche Gesundheitsnummer enthalten. Es können Übereinstimmungen zurückgegeben werden, die falsch negativ sind, da Kombinationen von persönlichen Informationen, z. B.
Name und Adresse, von dieser Richtlinie nicht als ePHI ausgelegt werden. Interne Untersuchungen haben
ergeben, dass die meisten Datenübertragungen im Gesundheitswesen neben gesundheitsbezogenen Terminologien auch eine persönliche Gesundheitsnummer enthalten.
Idaho SB-1374-Richtlinie
Idaho SB-1374 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten.
Idaho SB-1374 wurde am 30. März 2006 unterzeichnet und trat am 1. Juli 2006 in Kraft. Dem Gesetz unterliegen
alle Behörden, natürlichen und juristischen Personen, die in Idaho Geschäfte tätigen und unverschlüsselte
computerisierte Daten, einschließlich persönlicher Daten von Bürgern von Idaho, besitzen bzw. diese lizenzieren.
Dazu gehören:
n
Kreditkartennummer
n
n
n
Illinois SB-1633
Illinois SB-1633 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten.
Illinois SB-1633 wurde am 16. Juni 2005 unterzeichnet und trat am 27. Juni 2006 in Kraft.
Das Gesetz gilt für alle Datensammler. Dazu gehören, jedoch nicht ausschließlich, Behörden, öffentliche und
private Universitäten, Privatunternehmen und Aktiengesellschaften, Finanzinstitute, Einzelhändler und andere juristische Personen, die nicht öffentliche, persönliche Daten zu jedwedem Zweck verarbeiten, erfassen,
verbreiten oder auf andere Art damit handeln bzw. die persönliche Daten zu Bürgern von Illinois besitzen
bzw. diese lizenzieren.
Dazu gehören:
n
Kreditkartennummer
n
n
n
Indiana HB-1101-Richtlinie
Indiana HB-1101 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten.
Indiana HB-1101 wurde am 26. April 2005 unterzeichnet und trat am 1. Juli 2006 in Kraft. Dem Gesetz unterliegen alle natürlichen Personen, Unternehmen, Business Trusts, Vermögensverwalter, treuhänderisch tätige
Einrichtungen, Interessenverbände, Nonprofit-Unternehmen oder -Organisationen, Kooperativen und alle
anderen juristischen Personen, die unverschlüsselte computerisierte Daten, einschließlich persönlicher Daten,
besitzen bzw. diese lizenzieren.
Dazu gehören:
n
Kreditkartennummer
n
VMware, Inc.
89
n
n
Richtlinie für italienische Führerscheinnummern
Eine italienische Führerscheinnummer ist eine Identifikationsnummer auf einem italienischen Führerschein
und identifiziert den Führerscheininhaber im Zusammenhang mit dem Führen von Kraftfahrzeugen oder
möglichen Verkehrsdelikten.
Die Richtlinie greift auf das Content Blade für italienische Führerscheinnummern zurück, um nach einer
Richtlinie für italienische IBAN-Nummern.
Banking Standards eingeführt wurde. Die offizielle IBAN-Registrierung (ISO 13616:2003) wurde von der Society for Worldwide Interbank Financial Telecommunication (SWIFT) ausgestellt.
Die Richtlinie greift auf das Content Blade für italienische IBAN-Nummern zurück, um nach einer Übereinstimmung zu suchen.
Richtlinie für italienische Personalausweisnummern
Die Richtlinie erkennt Dokumente und Übertragungen, die persönliche Identifikationsnummern oder das
Wort „Codice Fiscale“ enthalten und an Personen in Italien ausgestellt wurden.
Die Richtlinie greift auf das Content Blade für italienische Personalausweisnummern zurück, um nach einer
Kansas SB-196-Richtlinie
Kansas SB-196 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten.
Kansas SB-196 wurde am 19. April 2006 unterzeichnet und trat am 1. Januar 2007 in Kraft. Dem Gesetz unterliegen alle natürlichen Personen, Personengesellschaften, Unternehmen, Trusts, Vermögensverwalter, Kooperativen, Interessenverbände, staatliche Behörden und alle anderen juristischen Personen, die in Kansas Geschäfte tätigen und unverschlüsselte computerisierte Daten, einschließlich persönlicher Daten, besitzen bzw.
diese lizenzieren.
Dazu gehören:
90
n
Kreditkartennummer
n
n
n
VMware, Inc.
Louisiana SB-205-Richtlinie
Louisiana SB-205 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten.
Louisiana SB-205 wurde am 12. Juli 2005 unterzeichnet und trat am 1. Januar 2006 in Kraft. Dem Gesetz unterliegen alle natürlichen Personen, Unternehmen, Personengesellschaften, Einzelunternehmen, Aktiengesellschaften, Joint Ventures und alle anderen juristischen Personen, die in Louisiana Geschäfte tätigen und unverschlüsselte computerisierte Daten, einschließlich persönlicher Daten, besitzen bzw. diese lizenzieren.
Dazu gehören:
n
Kreditkartennummer
n
n
n
Maine LD-1671-Richtlinie
Maine LD-1671 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten.
Maine LD-1671 wurde am 10. Juni 2005 unterzeichnet und trat am 31. Januar 2006 in Kraft.
Das Gesetz gilt für alle natürlichen Personen, treuhänderisch tätige Einrichtungen, Unternehmen, Gesellschaften mit beschränkter Haftung, Trusts, Vermögensverwalter, Kooperativen, Verbände oder anderen juristischen Personen, einschließlich staatlicher Behörden, der University of Maine, des Maine Community Colleges, der Maine Maritime Academy und privater Colleges und Universitäten, sowie für juristische Personen,
die geschäftlich ganz oder teilweise Informationen über Personen erfassen, zusammenstellen, auswerten, zusammentragen, berichten, übertragen, transferieren oder kommunizieren mit dem Hauptzweck, persönliche
Daten an nicht angegliederte Dritte zur Verfügung zu stellen, die computerisierte Daten, einschließlich persönlicher Daten, verwalten.
Dazu gehören:
n
Kreditkartennummer
n
n
n
Massachusetts CMR-201
Massachusetts CMR-201 ist eine Datenschutzbestimmung dieses Staates zum Schutz persönlicher Daten. Massachusetts CMR-201 wurde am 19. September 2008 unterzeichnet und trat am 1. Mai 2009 in Kraft. Der Bestimmung unterliegen alle Unternehmen und andere juristische Personen, die persönliche Daten über einen
Bürger des Commonwealth of Massachusetts besitzen, lizenzieren, erfassen, speichern oder verwalten.
Dazu gehören:
n
ABA Routing-Nummern
n
Kreditkartennummer
n
n
US-Bankkontonummern
n
VMware, Inc.
91
n
Minnesota HF-2121
Minnesota HF-2121 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten. Minnesota HF-2121 wurde am 2. Juni 2005 unterzeichnet und trat am 1. Januar 2006 in Kraft. Dem Gesetz
unterliegen alle Personen bzw. Unternehmen, die in Minnesota Geschäfte tätigen und Daten, einschließlich
persönlicher Daten, besitzen bzw. diese lizenzieren.
Dazu gehören:
n
Kreditkartennummer
n
n
n
Montana HB-732
Montana HB-732 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten.
Montana HB-732 wurde am 28. April 2005 unterzeichnet und trat am 1. März 2006 in Kraft. Dem Gesetz unterliegen alle Personen bzw. Unternehmen, die in Montana Geschäfte tätigen und computerisierte Daten, einschließlich persönlicher Daten, besitzen bzw. diese lizenzieren.
Dazu gehören:
n
Kreditkartennummer
n
n
n
Niederländische Führerscheinnummern
Eine niederländische Führerscheinnummer ist eine Identifikationsnummer auf einem niederländischen Führerschein und identifiziert den Führerscheininhaber im Zusammenhang mit dem Führen von Kraftfahrzeugen
oder möglichen Verkehrsdelikten.
Die Richtlinie greift auf das Content Blade für niederländische Führerscheinnummern zurück, um nach einer
Nevada SB-347
Nevada SB-347 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten.
Nevada SB-347 wurde am 17. Juni 2005 unterzeichnet und trat am 1. Oktober 2005 in Kraft. Dem Gesetz unterliegen alle Behörden, Universitäten, Unternehmen, Finanzinstitute und Einzelhändler sowie alle anderen
Arten von geschäftlichen Unternehmen bzw. Verbänden, die unverschlüsselte computerisierte Daten, einschließlich persönlicher Daten, besitzen bzw. diese lizenzieren.
Dazu gehören:
92
n
Kreditkartennummer
n
n
VMware, Inc.
n
New Hampshire HB-1660
New Hampshire HB-1660 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten. New Hampshire HB-1660 wurde am 2. Juni 2006 unterzeichnet und trat am 1. Januar 2007 in Kraft.
Dem Gesetz unterliegen alle Personen, Unternehmen, Trusts, Personengesellschaften, eingetragene und nicht
eingetragene Vereine, Gesellschaften mit beschränkter Haftung bzw. andere juristische Personen, Behörden,
Gremien, Gerichte, Gerichte, Abteilungen, Dezernate, Kommissionen, Institutionen, Ämter und andere staatliche Stellen sowie alle politischen Gliederungen des Bundesstaats, die in New Hampshire Geschäfte tätigen
und computerisierte Daten, einschließlich persönlicher Daten, besitzen bzw. diese lizenzieren.
Dazu gehören:
n
Kreditkartennummer
n
n
n
New Jersey A-4001
New Jersey A-4001 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten.
New Jersey A-4001 wurde am 22. September 2005 unterzeichnet und trat am 1. Januar 2006 in Kraft. Das Gesetz
gilt für New Jersey sowie für jedes County, jede Stadt, jeden Bezirk, jede Behörde, jede staatliche Agentur und
jede andere politische Gliederung bzw. öffentliche Körperschaft in New Jersey, für alle Einzelunternehmen,
Personengesellschaften, Unternehmen, Verbände bzw. andere juristische Personen, ungeachtet der Organisationsform, ob sie gewinnorientiert organisiert sind oder nicht, einschließlich Finanzinstituten, die gemäß der
Gesetze des Bundesstaats New Jersey, eines anderen Bundesstaats, der Vereinigten Staaten oder eines anderen
Lands organisiert sind, kraft eines Charters handeln oder im Besitz einer Lizenz oder eines Autorisierungszertifikats sind, oder die Muttergesellschaft oder die Tochtergesellschaft eines Finanzinstituts, das in New
Jersey tätig ist, die Computerdaten zusammenstellen oder verwalten, die persönliche Informationen enthalten.
Dazu gehören:
n
Kreditkartennummer
n
n
n
New York AB-4254
New York AB-4254 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten. New York AB-4254 wurde am 10. August 2005 unterzeichnet und trat am 8. Dezember 2005 in Kraft. Dem
Gesetz unterliegen alle Personen bzw. Unternehmen, die in New York Geschäfte tätigen und unverschlüsselte
Dazu gehören:
n
Kreditkartennummer
n
VMware, Inc.
93
n
n
Neuseeländische Steuernummern
Die Richtlinie erkennt Dokumente und Übertragungen, die neuseeländische Steuernummern enthalten, die
vom Inland Revenue Department (IRD) an jeden Steuerzahler und jede Organisation ausgegeben werden. Die
Nummer muss bei den Steuerbehörden (Inland Revenue), Arbeitgebern, Banken oder anderen Finanzinstituten, KiwiSaver Scheme-Anbietern, StudyLink und Steuerberatern angegeben werden.
Die Richtlinie greift auf das Content Blade für neuseeländische Steuernummern zurück, um nach einer Übereinstimmung zu suchen.
Nummern des neuseeländischen Gesundheitsministeriums
Die Richtlinie erkennt Dokumente und Übertragungen, die Nummern des New Zealand Health Practitioner
Index (HPI) oder National Health Index (NHI) enthalten.
Das neuseeländische Ministerium für Gesundheit (Manatu Hauora in Maori) leitet das neuseeländische Gesundheitssystem und ist der wichtigste Berater der Regierung in allen gesundheitlichen Belangen. Das Ministerium verwendet zwei Systeme, um die Korrektheit der Daten unter Beibehaltung der Privatsphäre des Einzelnen sicherstellen zu können: das NHI-Nummernsystem für die Registrierung von Patienten und das HPISystem für die Registrierung von Ärzten. Diese Richtlinie erkennt die 6-stellige alphanumerische HPI-CPN
(New Zealand Health Practitioner Index Common Person Number), über die ein Arzt oder eine medizinische
Fachkraft eindeutig identifiziert werden kann. Darüber hinaus erkennt diese Richtlinie die 7-stelligen NHINummern zur eindeutigen Identifizierung eines Patienten innerhalb des neuseeländischen Gesundheitssystems.
Die Richtlinie greift auf einen der folgenden Content Blades zurück, um nach einer Übereinstimmung zu
suchen:
n
Neuseeländische HPI-Nummer (Health Practitioner Index-Nummer)
n
Neuseeländische NHI-Nummer (National Health Index-Nummer)
Ohio HB-104
Ohio HB-104 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten. Ohio
HB-104 wurde am 17. November 2005 unterzeichnet und trat am 29. Dezember 2006 in Kraft. Dem Gesetz
unterliegen alle natürlichen Personen, Unternehmen, Business Trusts, Vermögensverwalter, treuhänderisch
tätige Einrichtungen und Interessenverbände, die in Ohio Geschäfte tätigen und computerisierte Daten, einschließlich persönlicher Daten, besitzen bzw. diese lizenzieren.
Dazu gehören:
94
n
Kreditkartennummer
n
n
n
VMware, Inc.
Oklahoma HB-2357
Oklahoma HB-2357 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten. Oklahoma HB-2357 wurde am 8. Juni 2006 unterzeichnet und trat am 1. November 2008 in Kraft. Dem
Gesetz unterliegen alle Unternehmen, Business Trusts, Vermögensverwalter, Personengesellschaften, Kommanditgesellschaften, Personengesellschaften mit beschränkter Haftung, Gesellschaften mit beschränkter
Haftung, Verbände, Organisationen, Joint Ventures, Behörden, Behördenabteilungen sowie alle anderen juristischen Personen, kommerzieller oder nicht kommerzieller Art, die in Oklahoma Geschäfte tätigen und
unverschlüsselte computerisierte Daten, einschließlich persönlicher Daten, besitzen bzw. diese lizenzieren.
Dazu gehören:
n
Kreditkartennummer
n
n
n
Patienten-IDs
Die persönlich identifizierbaren Informationen (PII), die häufig von Krankenhäusern sowie Organisationen
und Unternehmen des Gesundheistswesens in den Vereinigten Staaten von Amerika verwendet werden. Diese
Richtlinie sollte angepasst werden, um das Format der Patientenidentifikationsnummer zu definieren.
Dazu gehören:
n
Patienten-IDs
n
US National Provider Identifier
n
Payment Card Industry Data Security Standard (PCI-DSS)
Der PCI DSS, eine Reihe von umfassenden Anforderungen zur Verbesserung der Sicherheit von Zahlungskontendaten, wurde von den Gründungsorganisationen des PCI Security Standards Council entwickelt, darunter American Express, Discover Financial Services, JCB International, MasterCard Worldwide und Visa
Inc. International, um die globale Einführung einheitlicher Datensicherheitsmaßnahmen zu unterstützen.
Der PCI DSS ist ein vielseitiger Sicherheitsstandard, der Anforderungen an das Sicherheitsmanagement, an
Richtlinien, Verfahren, Netzwerkarchitektur, Softwaredesign und andere kritische Schutzmaßnahmen beinhaltet. Mithilfe dieses umfassenden Standards sollen Organisationen Kundenkontendaten proaktiv schützen
können.
Die Richtlinie greift auf einen der folgenden Content Blades zurück, um nach mindestens einer Übereinstimmung zu suchen:
n
Kreditkartennummer
n
VMware, Inc.
95
Texas SB-122
Texas SB-122 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten.
Texas SB-122 wurde am 17. Juni 2005 unterzeichnet und trat am 1. September 2005 in Kraft. Dem Gesetz
unterliegen alle Personen, die in Texas Geschäfte tätigen und unverschlüsselte computerisierte Daten, einschließlich persönlicher Daten, besitzen bzw. diese lizenzieren.
Dazu gehören:
n
Kreditkartennummer
n
n
n
Britische BIC-Nummern
Eine Bank Identifier Code (BIC) dient der eindeutigen Identifizierung einer bestimmten Bank und wird in
Großbritannien und weltweit für den Austausch von Geld und Nachrichten zwischen Banken verwendet. Die
Richtlinie erkennt Dokumente und Übertragungen, die BIC-Codes (auch bekannt als SWIFT-Codes) enthalten,
die von der Society for Worldwide Interbank Financial Telecommunication (SWIFT) ausgegeben werden.
Die Richtlinie greift auf das Content Blade für britische BIC-Nummern zurück, um nach einer Übereinstimmung zu suchen.
Britische Führerscheinnummern
Eine britische Führerscheinnummer ist eine Identifikationsnummer auf einem britischen Führerschein und
identifiziert den Führerscheininhaber im Zusammenhang mit dem Führen von Kraftfahrzeugen oder möglichen Verkehrsdelikten.
Die Richtlinie greift auf das Content Blade für britische Führerscheinnummern zurück, um nach einer Übereinstimmung zu suchen.
Britische IBAN-Nummern
Banking Standards eingeführt wurde. Die offizielle IBAN-Registrierung (ISO 13616:2003) wird von der Society
for Worldwide Interbank Financial Telecommunication (SWIFT) ausgestellt.
Die Richtlinie greift auf das Content Blade für britische IBAN-Nummern zurück, um nach einer Übereinstimmung zu suchen.
Britische National Health Service-Nummer
Eine britische National Health Service-Nummer ist eine Identifikationsnummer, die der britische National
Health Service ausstellt und die den Inhaber der besagten Nummer auf medizinischen Unterlagen identifiziert.
Die Richtlinie greift auf das Content Blade für britische National Health Service-Nummern zurück, um nach
einer Übereinstimmung zu suchen.
96
VMware, Inc.
Britische Sozialversicherungsnummer (NINO, UK National Insurance Number)
Die britische Sozialversicherung ist ein System von Zahlungen, die Arbeitnehmer, Arbeitgeber und Selbstständige an die Regierung tätigen, und das sie berechtigt, eine staatliche Rente und andere Leistungen in
Anspruch zu nehmen.
Britische Sozialversicherungsnummern (NINO, National Insurance Number) sind Identifikationsnummern,
die jeder in Großbritannien geborenen Person und jedem Einwohner in Großbritannien zugewiesen wird, der
einer legalen Arbeit nachgeht, studiert, Sozialhilfe oder Rente empfängt usw.
Die Richtlinie greift auf das Content Blade für britische NINO-Nummern mit formalem Muster oder das Content Blade für britische NINO-Nummern mit nicht formalem Muster zurück, um nach einer Übereinstimmung
zu suchen.
Britische Reisepassnummern
Die Richtlinie erkennt Dokumente und Übertragungen, die in Großbritannien ausgestellte Reisepassnummern
enthalten.
Die Richtlinie greift auf das Content Blade für britische Reisepassnummern zurück, um nach einer Übereinstimmung zu suchen.
In den Vereinigten Staaten vom Department of Motor Vehicles (oder einer vergleichbaren Behörde) ausgestellte Führerscheine enthalten einen numerischen oder alphanumerischen Code, in der Regel ein Foto des
Inhabers sowie eine Kopie seiner Unterschrift, die Adresse seines Hauptwohnsitzes, den Typ oder die Kategorie des Führerscheins, ggf. Einschränkungen und/oder Vermerke, physische Merkmale des Trägers (wie
Größe, Gewicht, Haarfarbe, Augenfarbe, manchmal auch die Hautfarbe) und das Geburtsdatum. Innerhalb
eines Staates sind ausgegebene Führerscheinnummern immer eindeutig. Wegen der Gefahr des Identitätsdiebstahls werden Sozialversicherungsnummern nur noch selten auf Führerscheinen angegeben.
Die Richtlinie greift auf das Content Blade für US-Führerscheine zurück, um nach einer Übereinstimmung zu
suchen.
Gemäß Paragraf 205 (c) (2) des Social Security Act, kodifiziert als 42 USC 405(c)(2), wird die US-Sozialversicherungsnummer US-Bürgern, Personen mit ständigem Wohnsitz in den Vereinigten Staaten und Personen
mit befristeter Arbeits- bzw. Aufenthaltsgenehmigung ausgestellt. Die Social Security Administration, eine
unabhängige Agentur der Regierung der Vereinigten Staaten, vergibt die Sozialversicherungsnummern an die
Bürger. In erster Linie wird mithilfe der Sozialversicherungsnummer das Einkommen von Personen für steuerliche Zwecke verfolgt.
Utah SB-69
Utah SB-69 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten. Utah
SB-69 wurde am 20. März 2006 unterzeichnet und trat am 1. Januar 2007 in Kraft. Dem Gesetz unterliegen alle
Personen, die unverschlüsselte computerisierte Daten, einschließlich persönlicher Daten, zu Bürgern von Utah
Dazu gehören:
n
Kreditkartennummer
n
VMware, Inc.
97
n
n
Vermont SB-284
Vermont SB-284 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten.
Vermont SB-284 wurde am 18. Mai 2006 unterzeichnet und trat am 1. Januar 2007 in Kraft. Dem Gesetz unterliegen alle Personen, die Daten sammeln und unverschlüsselte computerisierte Daten, einschließlich persönlicher Daten, zu Bürgern von Vermont besitzen bzw. diese lizenzieren.
Dazu gehören:
n
Kreditkartennummer
n
n
n
Washington SB-6043
Washington SB-6043 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher
Daten. Washington SB-6043 wurde am 10. Mai 2005 unterzeichnet und trat am 24. Juli 2005 in Kraft. Dem
Gesetz unterliegen alle lokalen und staatlichen Behörden sowie jeder Person bzw. jedes Unternehmen, die in
Washington Geschäfte tätigen und unverschlüsselte computerisierte Daten, einschließlich persönlicher Daten,
Dazu gehören:
n
Kreditkartennummer
n
n
n
Verfügbare Content Blades
In diesen Abschnitten sind die verfügbaren Content Blades für vShield-Bestimmungen aufgeführt.
Content Blade für ABA Routing-Nummern
Das Content Blade sucht nach Übereinstimmungen bei 3 Informationsbestandteilen, die sich nah beieinander
befinden.
Das Content Blade sucht nach:
n
ABA Routing-Nummern
n
Wörtern und Phrasen aus dem Bankwesen (z. B. „ABA“, „routing number“, „checking“, „savings“)
n
Persönlichen Daten (z. B. Name, Adresse, Telefonnummer)
Wörter und Phrasen aus dem Bankwesen sind implementiert, um die Genauigkeit zu erhöhen. Eine RoutingNummer besteht aus 9 Ziffern und kann mit vielen verschiedenen Datentypen verwechselt werden, beispielsweise mit einer gültigen US-Sozialversicherungsnummer, einer gültigen kanadischen Sozialversicherungsnummer oder einer internationalen Telefonnummer.
Da Routing-Nummern selbst keine vertraulichen Daten sind, kann es nur bei persönlichen Daten zu einem
Verstoß kommen.
98
VMware, Inc.
Content Blade für Aufnahme- und Entlassungsdatum
Das Content Blade sucht nach Übereinstimmungen mit dem US-Datumsformat sowie nach Wörtern und
Phrasen wie z. B. „admit date“, „admittance date“, „date of discharge“, „discharge date“, die sich nah beieinander befinden.
Content Blade für Führerscheine aus Alabama
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Alabama sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie AL oder
Alabama.
Führerscheinmuster
7 oder 8 Ziffern
Content Blade für Führerscheine aus Alaska
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Alaska sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie AK oder
Alaska.
Führerscheinmuster:
7 Ziffern
Content Blade für Führerscheine aus Alberta
Alaska.
Führerscheinmuster
7 Ziffern
Content Blade für Führerscheine aus Alaska
Alaska.
7 Ziffern
Content Blade für Führerscheine aus Alberta
Alaska.
Führerscheinmuster
7 Ziffern
VMware, Inc.
99
Content Blade für American Express
Das Content Blade sucht nach einer Kombination aus folgenden Informationsbestandteilen.
n
Mehr als eine American Express-Kreditkartennummer
n
Eine einzelne Kreditkartennummer plus Wörtern und Phrasen wie z. B. „ccn“, „credit card“, „expiration
date“
n
Eine einzelne Kreditkartennummer plus einem Ablaufdatum
Content Blade für Führerscheine aus Arizona
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Arizona sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie AZ oder
Arizona.
Das Führerscheinmuster lautet: 1 Buchstabe, 8 Ziffern oder 9 Ziffern (SSN) bzw. 9 Ziffern (unformatierte SSN).
Content Blade für Führerscheine aus Arkansas
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Arkansas sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie AR oder
Arkansas.
Das Führerscheinmuster kann 8 oder 9 Ziffern sein.
Content Blade für Bankkontonummern aus Australien
Die australische Bankkontonummer selbst ist nicht vertraulich, identifiziert aber ein Bankkonto, ohne die
Zweigstelle der Bank zu identifizieren. Deshalb müssen die Bankkontonummer und die Zweigstellendaten
verfügbar sein, damit das Dokument als vertraulich betrachtet wird.
Das Content Blade sucht nach Übereinstimmungen für beide Informationen:
n
Einer australischen Bankkontonummer
n
Wörtern und Phrasen hinsichtlich der Zweigstelle oder BSB (Bank State Branch).
Zudem wird auch ein regulärer Ausdruck verwendet, um Telefonnummern mit derselben Länge unterscheiden zu können.
Eine australische Bankkontonummer ist 6 bis 10 Ziffern lang, wobei die Ziffern keine nähere Bedeutung haben.
Es gibt keine Routine zum Überprüfen der Ziffern.
Content Blade für australische Geschäftsnummern (ABN)
Das Content Blade sucht nach Übereinstimmungen in beiden Informationsbestandteilen, die sich nah beieinander befinden.
n
Australia Business Number
n
Begriffe und Phrasen im Zusammenhang mit der ABN (z. B. ABN, Australian Business Number)
Content Blade für australische Firmennummer (ACN)
Das Content Blade sucht nach Übereinstimmungen in beiden Informationsbestandteilen, die sich nah beieinander befinden.
100
n
Australia Company Number
n
Wörter und Phrasen im Zusammenhang mit der ACN (z. B. ACN, Australian Company Number)
VMware, Inc.
Content Blade für australische Medicare-Kartennummer
Das Content Blade findet Übereinstimmungen, wenn ein Dokument folgende Informationen enthält.
n
Mehr als eine australische Medicare-Kartennummer
n
Eine Medicare-Kartennummer sowie weitere Begriffe im Zusammenhang mit Medicare oder der Patientenidentifizierung (z. B. Patientenkennung, Patientennummer)
n
Eine Medicare-Kartennummer sowie zwei weitere der folgenden Informationen: Name, Ablaufdatum
oder Ablaufbestimmungen
Content Blade für australische Steuernummern
Das Content Blade sucht nach Übereinstimmungen in beiden Informationsbestandteilen, die sich sehr nah
beieinander befinden.
n
Australische Steuernummer (siehe Objektbeschreibung)
n
Steuernummerbegriffe und -Phrasen (z. B. „TFN“, „Tax File Number“)
Content Blade für Führerscheinnummern aus Kalifornien
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Kalifornien sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie CA oder
California.
Das Führerscheinmuster lautet: 1 Buchstabe, 7 Ziffern.
Content Blade für Führerscheinnummern aus Kanada
Das Content Blade ist lediglich eine Containerdatei für untergeordnete Content Blades. Die ihm zugeordneten
Content Blades suchen separat in den einzelnen Provinzen und Territorien nach Führerscheinen.
Content Blade für Sozialversicherungsnummern aus Kanada
Das Content Blade ist lediglich eine Containerdatei für untergeordnete Content Blades. Die ihm zugeordneten
Content Blades suchen separat nach der formatierten und der unformatierten Version der kanadischen Sozialversicherungsnummern sowie nach persönlichen Informationen, sodass ihnen unterschiedliche Regeln zugeordnet werden können. Die formatierte Version der Sozialversicherungsnummer hat ein spezifischeres
Muster. Daher sind die Regeln für die Rückgabe einer Übereinstimmung weniger streng. Die unformatierte
Version ist jedoch sehr allgemein und stimmt mit vielen anderen Nummern überein.
Content Blade für Führerscheinnummern aus Colorado
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Colorado sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie CO oder
Colorado.
Das Führerscheinmuster besteht aus 9 Ziffern.
Content Blade für Führerscheinnummern aus Connecticut
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Connecticut sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie CT oder
Connecticut.
Führerscheinmuster: 9 Ziffern, die ersten zwei Stellen sind der Geburtsmonat in geraden bzw. ungeraden
Jahreszahlen. 01-12 für Jan-Dez in ungeraden Jahren, 13-24 Jan-Dez in geraden Jahren, 99 für unbekannt.
VMware, Inc.
101
Content Blade für Kreditkartennummern
Das Content Blade sucht nach einer Kombination aus folgenden Informationsbestandteilen.
n
Mehr als eine Kreditkartennummer
n
date“
n
Content Blade für Daten des Kreditkartenmagnetstreifens
Bei den Magnetstreifendaten handelt es sich um verschlüsselte Informationen, die auf zwei Spuren des Magnetstreifens auf der Rückseite einer Kreditkarte (Bankkarte, Geschenkkarte usw.) gespeichert sind. Der Magnetstreifen auf der Rückseite einer Kreditkarte enthält drei Spuren.
Jede Spur hat eine Breite von 2,8 mm (0,11 Zoll). In der von den Banken verwendeten ISO/IEC-Norm 7811 ist
Folgendes definiert:
n
Spur 1 hat 210 bpi (bits per inch) und umfasst 79 7-Bit-Zeichen (6 Bit und 1 Paritätsbit). Sie kann nicht
beschrieben werden.
n
Spur 2 hat 75 bpi (bits per inch) und umfasst 40 5-Bit-Zeichen (4 Bit und 1 Paritätsbit).
n
Spur 3 hat 210 bpi (bits per inch) und umfasst 107 5-Bit-Zeichen (4 Bit und 1 Paritätsbit).
Ihre Kreditkarte verwendet in der Regel nur die Spuren 1 und 2. Bei der dritten Spur handelt sich um eine
Lese-/Schreib-Spur (die eine verschlüsselte PIN, einen Landescode, Währungseinheiten und den genehmigten
Betrag enthält), jedoch ist ihre Nutzung durch die Banken nicht standardisiert.
Dieses Content Blade erfordert eine Übereinstimmung mit der Entität „Credit Card Track Data".
Content Blade für benutzerdefinierte Kontonummern
Das Content Blade für benutzerdefinierte Kontonummern kann bearbeitet werden. Es sollte einen regulären
Ausdruck für das benutzerdefinierte Kontomuster einer Organisation enthalten.
Content Blade für Führerscheinnummern aus Delaware
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Delaware sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie DE oder
Delaware.
Content Blade für europäische Debitkartennummern
Das Content Blade sucht nach Mustern der wichtigsten Debitkarten in der europäischen Union.
Das Content Blade findet Übereinstimmungen, wenn ein Dokument eine Kombination aus folgenden Informationsbestandteilen in unmittelbarer Nachbarschaft zueinander enthält.
102
n
Mehr als eine Übereinstimmung mit einer EU-Debitkartennummer
n
Eine einzelne Übereinstimmung mit einer EU-Debitkartennummer sowie zwei weitere der folgenden Informationen: ein Wort oder eine Phrase für Kreditkarte (z. B. „Kartennummer“ oder „CC #“), für Kreditkartensicherheit, ein Verfallsdatum oder ein Name
n
Eine einzelne Übereinstimmung mit einer EU-Debitkartennummer mit einem Ablaufdatum
VMware, Inc.
Content Blade für Führerscheinnummern aus Florida
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Florida sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie FL oder
Florida.
Führerscheinmuster: 1 Buchstabe, 12 Ziffern.
Content Blade für Führerscheinnummern aus Frankreich
Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um einen französischen
Führerschein zu erkennen.
n
Muster für französischen Führerschein
n
Entweder Wörter oder Phrasen für einen Führerschein (z. B. „permis de conduire“) oder das EU-Datumsformat
Content Blade für französische BIC-Nummern
Bei der Suche nach französischen BIC-Nummern durch das Content Blade müssen die beiden folgenden Regeln
zutreffen.
n
Europäisches BIC-Nummerformat
n
Französisches Format der BIC-Nummer
Content Blade für französische IBAN-Nummern
Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um eine französische
IBAN-Nummer zu erkennen.
n
Europäisches IBAN-Nummerformat
n
Muster einer französischen IBAN-Nummer
Content Blade für die französische Personalausweisnummer
Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um eine französische
Personalausweisnummer zu erkennen.
n
Mehr als eine Übereinstimmung mit dem Muster für die französische Personalausweisnummer
n
Eine Übereinstimmung mit dem Muster für die französische Personalausweisnummer sowie entweder
Wörter oder Phrasen für eine Sozialversicherungsnummer
Content Blade für französische Umsatzsteuernummern
Das Content Blade erfordert eine Übereinstimmung mit dem Muster für eine französische Umsatzsteuernummer, die sich in der Nähe der Abkürzung FR befindet.
Content Blade für Führerscheinnummern aus Georgia
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Georgia sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie GA oder
Georgia.
Führerscheinmuster: 7-9 Ziffern oder formatierte SSN.
VMware, Inc.
103
Content Blade für deutsche BIC-Nummern
Bei der Suche nach deutschen BIC-Nummern durch das Content Blade müssen die beiden folgenden Regeln
zutreffen.
n
n
Deutsches Format der BIC-Nummer
Content Blade für Führerscheinnummern aus Deutschland
Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um einen deutschen
n
Muster für deutschen Führerschein\
n
Wörter oder Phrasen, die im Zusammenhang mit einem Führerschein stehen (z. B. „Führerschein“, „Ausstellungsdatum“)
Content Blade für deutsche IBAN-Nummern
Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um eine deutsche IBANNummer zu erkennen.
n
n
Muster einer deutschen IBAN-Nummer
Die Regel für eine deutsche IBAN: Ländercode „DE“, gefolgt von 22 Ziffern.
Content Blade für deutsche Personalausweisnummern
Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um eine deutsche Personalausweisnummer zu erkennen.
n
Entweder eine deutsche Personalausweisnummer oder eine maschinenlesbare Version der Nummer
n
Wörter oder Phrasen für eine deutsche Personalausweisnummer (z. B. „Personalausweis“, „Personalausweisnummer“)
Content Blade für deutsche Reisepassnummern
Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um eine deutsche Reisepassnummer zu erkennen.
104
n
Entweder eine deutsche Reisepassnummer oder eine maschinenlesbare Version der Nummer
n
Wörter oder Phrasen für eine deutsche Reisepassnummer (z. B. „Reisepass“, „Ausstellungsdatum“)
VMware, Inc.
Content Blade für deutsche Umsatzsteuernummern
Das Content Blade erfordert eine Übereinstimmung mit dem Muster für eine deutsche Umsatzsteuernummer,
die sich in direkter Nachbarschaft zu der Abkürzung „DE“ befindet.
Content Blade für Gruppenversicherungsnummern
Dies ist ein Content Blade, das angepasst werden muss. Um dieses Content Blade verwenden zu können,
müssen Sie einen regulären Ausdruck hinzufügen, der dem Nummernmuster für die Gruppenversicherungsnummer einer Organisation entspricht. Das Content Blade sucht anhand des benutzerdefinierten regulären
Ausdrucks nach Übereinstimmungen mit Wörtern und Phrasen, wie z. B. „group insurance“ oder einem Namen, einer Adresse in den USA oder einem Datum im US-Datumsformat.
Content Blade für Führerscheinnummern aus Hawaii
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Hawaii sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie HI oder
Hawaii.
Führerscheinmuster: Buchstabe H und 8 Ziffern, oder SSN.
Content Blade für italienische Personalausweisnummern
Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um eine italienische
1
Muster einer italienischen nationalen Identifikationsnummer
2
Wörter oder Phrasen für eine italienische Personalausweisnummer (z. B. „codice fiscale“, „national identification“)
Regel für Personalausweisnummern: 16 Zeichen alphanumerischer Zeichencode, wobei Folgendes gilt:
n
SSS sind die ersten drei Konsonanten im Familiennamen (der erste Vokal und dann ein X werden verwendet, wenn nicht genügend Konsonanten zur Verfügung stehen).
n
NNN ist der Vorname, von dem der erste, dritte und vierte Konsonant verwendet werden. Ausnahmen
werden wie in Familiennamen behandelt.
n
JJ steht für die letzten beiden Ziffern des Geburtsjahrs.
n
M steht für den Anfangsbuchstaben des Geburtsmonats. Die Buchstaben werden in alphabetischer Reihenfolge verwendet. Dabei kommen nur die Buchstaben A bis E, H, L, M, P sowie R bis T zum Einsatz
(demzufolge steht A für Januar und R für Oktober).
n
TT steht für den Tag des Geburtsdatums. Um Geschlechter unterscheiden zu können, wird dem Tag des
Geburtsdatums 40 hinzuaddiert. (Eine Frau, die an einem 3. Mai geboren wurde, hat ...E43...)
n
ZZZZ ist ein für den Geburtsort spezifischer Bereichscode. Für das Ausland werden landesweite Codes
verwendet: ein Buchstabe, gefolgt von drei Ziffern.
n
X ist eine Paritätszeichen, das berechnet wird, indem Zeichen an geraden und ungeraden Positionen addiert und durch 26 geteilt werden. Dazu werden für Buchstaben an geraden Positionen numerische Werte
verwendet, die der Stellung der Buchstaben im Alphabet entsprechen. Zeichen an ungeraden Positionen
haben andere Werte. Dann wird der Buchstabe verwendet, der an der Stelle im Alphabet steht, die sich
aus dem Rest der Division ergibt.
Muster:
n
LLLLLLDDLDDLDDDL
n
LLL LLL DDLDD LDDDL
VMware, Inc.
105
Dies ist ein Content Blade, das angepasst werden muss. Fügen Sie zum Einsetzen dieses Content Blades einen
regulären Ausdruck hinzu, um Empfänger von Krankenkassenleistungen zu identifizieren. Das Content Blade
sucht anhand des benutzerdefinierten regulären Ausdrucks nach Übereinstimmungen mit Wörtern und Phrasen, wie z. B. nach Anspruchsberechtigten oder einem Namen, einer Adresse in den USA oder einem Datum
im US-Datumsformat.
Content Blade für Führerscheinnummern aus Idaho
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Idaho sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie ID oder Idaho.
Führerscheinmuster: 2 Buchstaben, 6 Ziffern, 1 Buchstabe.
Content Blade für Führerscheinnummern aus Illinois
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Illinois sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie IL oder Illinois.
Führerscheinmuster: 1 Buchstabe, 11 Ziffern.
Content Blade für Führerscheinnummern aus Indiana
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Indiana sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie IN oder
Indiana.
Führerscheinmuster: 10 Ziffern.
Content Blade für Führerscheinnummern aus Iowa
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Iowa sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie IA oder Iowa.
Das Führerscheinmuster besteht aus 3 Ziffern, 2 Buchstaben und 3 Ziffern oder der Sozialversicherungsnummer.
Content Blade für das Verfahrensverzeichnis
Das Content Blade sucht nach Wörtern und Phrasen, die sich auf medizinische Verfahren beziehen, die auf
der International Classification of Diseases (ICD) basieren.
Das Content Blade findet Übereinstimmungen, wenn ein Dokument eine Kombination aus folgenden Informationsbestandteilen enthält:
n
Mehr als eine Übereinstimmung im Verfahrensverzeichnis-Wörterbuch
n
Eine einzelne Übereinstimmung im Verfahrensverzeichnis-Wörterbuch plus zwei Übereinstimmungen
bei Name, US-Adresse oder US-Datum
n
Eine einzelne Übereinstimmung im Verfahrensverzeichnis-Wörterbuch mit einem Wort oder einer Phrase,
die einen Patienten oder Arzt identifiziert (z. B. Patienten-ID, Name des behandelnden Arztes)
Content Blade für Führerscheinnummern aus Italien
Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um einen italienischen
n
106
Muster für italienischen Führerschein
VMware, Inc.
n
Wörter oder Phrasen, die im Zusammenhang mit einem Führerschein stehen (z. B. „patente di guida“,
„driving license“)
Führerscheinregel: 10 alphanumerische Zeichen - 2 Buchstaben, 7 Ziffern und als letztes Zeichen ein Buchstabe.
Das erste Zeichen darf nur aus den Buchstaben A - V bestehen.
n
LLDDDDDDDL
n
LL DDDDDDD L
n
LL-DDDDDDD-L
n
LL-DDDDDDD-L
Content Blade für italienische IBAN-Nummern
Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um eine italienische
1
Begriffe und Phrasen im Zusammenhang mit der IBAN (z. B. „International Bank Account Number“,
„IBAN“)
2
Muster einer italienischen IBAN-Nummer
IBAN-Regel: Ländercode IT gefolgt von 25 alphanumerischen Zeichen.
Muster:
n
ITDDLDDDDDDDDDDAAAAAAAAAAAA
n
IT DDL DDDDD DDDDD AAAAAAAAAAAA
n
IT DD LDDDDD DDDDD AAAAAAAAAAAA
n
IT DD L DDDDD DDDDD AAAAAAAAAAAA
n
IT DD LDDDDDDDDDDAAAAAAAAAAAA
n
IT DD L DDDDDDDDDDAAAAAAAAAAAA
n
ITDD LDDD DDDD DDDA AAAA AAAA AAA
n
IT DDL DDDDD DDDDD AAAAAA AAAAAA
n
IT DDL DDD DDD DDD DAAA AAA AAAAAA
n
IT DDL DDDDDDDDDD AAAAAA AAAAAA
Leerzeichen können durch Bindestriche, Schrägstriche oder Doppelpunkte ersetzt werden.
Content Blade für unformatierte ITIN
Das Content Blade sucht unformatierte Muster der US-Steuernummer (ITIN). Das Content Blade findet eine
Übereinstimmung, wenn eine unformatierte ITIN in direkter Nachbarschaft eines Worts oder einer Phrase für
eine ITIN-Nummer (z. B. tax identification, ITIN) gefunden wird.
ITIN-Regel: 9-stellige Nummer, die immer mit der Zahl 9 beginnt und deren vierte und fünfte Stelle innerhalb
eines Bereiches von 70 bis 88 liegt.
Muster: DDDDDDDDD
VMware, Inc.
107
Content Blade für Führerscheinnummern aus Kansas
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Kansas sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie KS oder
Kansas.
Führerscheinmuster: 1 Buchstabe (K), 8 Ziffern; oder US-Sozialversicherungsnummer.
Content Blade für Führerscheinnummern aus Kentucky
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Kentucky sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie KY oder
Kentucky.
Führerscheinmuster: 1 Buchstabe, 8 Ziffern oder US-Sozialversicherungsnummer.
Content Blade für Führerscheinnummern aus Louisiana
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Louisiana sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie LA oder
Louisiana.
Führerscheinmuster: 2 Nullen, 7 Ziffern.
Content Blade für Führerscheinnummern aus Maine
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Maine sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie ME oder
Maine.
Führerscheinmuster: 7 Ziffern, optionaler Buchstabe X.
Content Blade für Führerscheine aus Manitoba
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Manitoba sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „permis de conduire“ und nach Begriffen wie MB oder
Manitoba in näherer Umgebung.
Regeln für Lizenzmuster: 12 alphanumerische Zeichen, die durch Bindestriche getrennt sein können, wobei
Folgendes gilt:
n
Das erste Zeichen ist ein Buchstabe
n
Das 2. bis 5. Zeichen sind Buchstaben oder Sternchen
n
Das 6. Zeichen ist ein Buchstabe
n
Das 7. bis 10. Zeichen sind Ziffern
n
Das 11. Zeichen ist ein Buchstabe
n
Das 12. Zeichen ist ein Buchstabe oder eine Ziffer
oder
108
n
Das erste Zeichen ist ein Buchstabe
n
Das 2. bis 4. Zeichen sind Buchstaben oder Sternchen
n
Das 5. bis 6. Zeichen sind Ziffern
VMware, Inc.
n
Das 7. bis 12. Zeichen sind Buchstaben oder Ziffern
n
LLLLLLDDDDLA
n
LLLLLDDAAAAAA
Content Blade für Führerscheinnummern aus Maryland
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Maryland sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie MD oder
Maryland.
Führerscheinmuster: 1 Buchstabe, 12 Ziffern
Content Blade für Führerscheinnummern aus Massachusetts
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Massachusetts sowie
nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie MA
oder Massachusetts.
Führerscheinmuster: 1 Buchstabe (S), 8 Ziffern oder US-Sozialversicherungsnummer
Content Blade für Führerscheinnummern aus Michigan
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Michigan sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie MI oder
Michigan.
Content Blade für Führerscheinnummern aus Minnesota
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Minnesota sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie MN oder
Minnesota.
Content Blade für Führerscheinnummern aus Mississippi
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Mississippi sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie MS oder
Mississippi.
Führerscheinmuster: 9 Ziffern oder formatierte Sozialversicherungsnummer
Content Blade für Führerscheinnummern aus Missouri
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Missouri sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie MO oder
Missouri.
Führerscheinmuster: 1 Buchstabe, 6-9 Ziffern; 9 Ziffern oder formatierte Sozialversicherungsnummer
VMware, Inc.
109
Content Blade für Führerscheinnummern aus Montana
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Montana sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie MT oder
Montana.
Führerscheinmuster: 9 Ziffern (SSN); oder 1 Buchstabe, 1 Ziffer, 1 alphanumerisches Zeichen, 2 Ziffern, 3
Buchstaben und 1 Ziffer; oder 13 Ziffern
Content Blade für das NDC Formulas-Wörterbuch
Das Content Blade sucht nach Wörtern und Phrasen, die sich auf Formeln beziehen, die auf den National Drug
Codes (NDC) basieren.
1
Mehr als eine Übereinstimmung im NDC Formulas-Wörterbuch
2
Eine einzelne Übereinstimmung im NDC Formulas-Wörterbuch plus zwei Übereinstimmungen bei
Name, US-Adresse oder US-Datum
3
Eine einzelne Übereinstimmung im NDC Formulas-Wörterbuch mit einem Wort oder einer Phrase, die
einen Patienten oder Arzt identifiziert (z. B. Patienten-ID, Name des behandelnden Arztes)
Content Blade für Führerscheinnummern aus Nebraska
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Nebraska sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie NE oder
Nebraska.
Content Blade für Führerscheinnummern aus den Niederlanden
Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um einen niederländischen Führerschein zu erkennen.
1
Muster eines niederländischen Führerscheins (siehe Ojektbeschreibung)
2
Wörter oder Phrasen, die im Zusammenhang mit einem Führerschein stehen (z. B. „rijbewijs“)
Content Blade für niederländische IBAN-Nummern
Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um eine niederländische
1
Begriffe und Phrasen im Zusammenhang mit der IBAN (z. B. „International Bank Account Number“,
„IBAN“)
2
Muster einer niederländischen IBAN-Nummer
IBAN-Regel: Ländercode NL gefolgt von 16 alphanumerischen Zeichen.
Muster:
110
n
NLDDLLLLDDDDDDDDDD
n
NL DDLLLLDDDDDDDDDD
n
NL DD LLLL DDDDDDDDDD
n
NL DD LLLL DDDD DDDD DD
VMware, Inc.
n
NL DD LLLL DDDD DDDD DD
n
NLDDLLLL DDDD DDDDDD
n
NL DD LLLL DDDDDDDDDD
n
NL DD LLLL D DD DD DD DDD
n
NL DD LLLL DD DD DD DDDD
n
NL DD LLLL DDD DDDDDDD
n
NL DD LLLL DDDD DD DD DD
Leerzeichen können durch Schrägstriche ersetzt werden
Content Blade für niederländische Personalausweisnummern
1
Niederländische Personalausweisnummer (siehe Ojektbeschreibung)
2
Wörter oder Phrasen für eine niederländische Personalausweisnummer (z. B. „sofinummer“, „burgerservicenummer“)
Content Blade für niederländische Reisepassnummern
Reisepassnummer zu erkennen.
1
Niederländische Reisepassnummer (siehe Ojektbeschreibung)
2
Wörter oder Phrasen für eine niederländische Reisepassnummer (z. B. „paspoort“, „Noodpaspoort“)
Content Blade für Führerscheinnummern aus Nevada
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Nevada sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie NV oder
Nevada.
Führerscheinmuster: 9 Ziffern (SSN), 12 Ziffern (die letzten beiden sind das Geburtsjahr) oder 10 Ziffern
[Content Blade für Führerscheine aus New Brunswick]
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von New Brunswick sowie
nach Wörtern und Phrasen wie z. B. „driver’s license“, „permis de conduire“ und nach Begriffen wie NB oder
New Brunswick in näherer Umgebung.
Regeln für Lizenzmuster: 5 - 7 Ziffern
n
DDDDD
n
DDDDDD
n
DDDDDDD
VMware, Inc.
111
Content Blade für Führerscheinnummern aus New Hampshire
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von New Hampshire sowie
nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie NH
oder New Hampshire.
Führerscheinmuster: 2 Ziffern, 3 Buchstaben, 5 Ziffern
Content Blade für Führerscheinnummern aus New Jersey
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von New Jersey sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie NJ oder
New Jersey.
Content Blade für Führerscheinnummern aus New Mexico
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von New Mexico sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie NM oder
New Mexico.
Führerscheinmuster: 9 Ziffern
Content Blade für Führerscheinnummern aus New York
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von New York sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie NY oder
New York.
Content Blade für Indexnummern von in Neuseeland niedergelassenen
Fachkräften im Gesundheitswesen
Das Content Blade sucht nach Übereinstimmungen mit der Indexentität für neuseeländische Fachkräfte im
Gesundheitswesen und unterstützende Begriffe, wie z. B. „hpi-cpn“ oder „health practitioner index“.
Neuseeländische Steuernummer
Das Content Blade sucht nach Übereinstimmungen mit der neuseeländischen Steuernummerentität und Wörtern und Phrasen, wie z. B. „IRD Number“ oder „Inland Revenue Department Number“.
Content Blade für neuseeländische NHI-Nummern (National Health Index)
Das Content Blade sucht nach Übereinstimmungen mit der neuseeländischen NHI-Entität sowie unterstützenden Begriffen, wie z. B. „nhi“ oder „National Health Index“.
Content Blade für Führerscheine aus Neufundland und Labrador
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Neufundland und Labrador sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „permis de conduire“ und nach Begriffen
wie NL oder Labrador in näherer Umgebung.
Regeln für Lizenzmuster: 1 Buchstabe gefolgt von 9 Ziffern
Führerscheinmuster: LDDDDDDDDD
112
VMware, Inc.
Content Blade für Führerscheinnummern aus North Carolina
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von North Carolina sowie
nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie NC
oder North Carolina.
Führerscheinmuster: 6 - 8 Ziffern
Content Blade für Führerscheinnummern aus North Dakota
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von North Dakota sowie
nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie ND
oder North Dakota.
Führerscheinmuster: 9 Ziffern oder 3 Buchstaben, 6 Ziffern
Content Blade für Führerscheine aus Nova Scotia
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Nova Scotia sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „permis de conduire“ und nach Begriffen wie NS oder Nova
Scotia in näherer Umgebung.
Regeln für Lizenzmuster: 5 Buchstaben gefolgt von 9 Ziffern
Führerscheinmuster: LLLLDDDDDDDDD
Content Blade für Führerscheinnummern aus Ohio
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Ohio sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie OH oder Ohio.
Content Blade für Führerscheinnummern aus Oklahoma
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Oklahoma sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie OK oder
Oklahoma.
Führerscheinmuster: 1 Buchstabe, 8 Ziffern; 9 Ziffern oder formatierte Sozialversicherungsnummer
Content Blade für Führerscheine aus Ontario
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Ontario sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „permis de conduire“ und nach Begriffen wie ON oder
Ontario in näherer Umgebung.
Führerscheinmuster: LDDDDDDDDDDDDDD
Content Blade für Führerscheinnummern aus Oregon
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Oregon sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie OR oder
Oregon.
Führerscheinmuster: 6 -7 Ziffern
VMware, Inc.
113
Content Blade für Patientenidentifikationsnummern
Dies ist ein Content Blade, das angepasst werden muss. Um dieses Content Blade verwenden zu können,
müssen Sie einen regulären Ausdruck hinzufügen, der dem Nummernmuster für eine firmenspezifische Patientenidentifikationsnummer entspricht. Das Content Blade sucht anhand des benutzerdefinierten regulären
Ausdrucks nach Übereinstimmungen mit Wörtern und Phrasen, wie z. B. einer Patienten-ID, einem Namen,
einer Adresse in den USA oder einem Datum im US-Datumsformat.
Content Blade für Führerscheinnummern aus Pennsylvania
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Pennsylvania sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie PA oder
Pennsylvania.
Content Blade für Führerscheine aus Prince Edward Island
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Prince Edward Island
sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „permis de conduire“ und nach Begriffen wie
PE oder Prince Edward Island in näherer Umgebung.
Regeln für Lizenzmuster: 5 - 6 Ziffern
n
DDDD
n
DDDDDD
Content Blade für Begriffe im Zusammenhang mit geschützten Gesundheitsdaten
Das Content Blade sucht nach Wörtern und Phrasen im Zusammenhang mit persönlichen Gesundheitsakten
und Krankenversicherungsansprüchen.
1
Mehr als eine Übereinstimmung mit dem Wörterbuch für geschützte Gesundheitsdaten.
2
Eine einzelne Übereinstimmung mit dem Wörterbuch für geschützte Gesundheitsdaten sowie zwei der
folgenden Informationen: Name, US-Adresse oder US-Datum
3
Eine einzelne Übereinstimmung mit dem Wörterbuch für geschützte Gesundheitsdaten und ein Wort oder
eine Phrase, die einen Patienten oder Arzt identifiziert (z. B. Patienten-ID, Name des behandelnden Arztes)
Content Blade für Führerscheine aus Quebec
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Quebec sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „permis de conduire“ und nach Begriffen wie QC oder
Quebec in näherer Umgebung.
Führerscheinmuster: LDDDDDDDDDDDD
114
VMware, Inc.
Content Blade für Führerscheinnummern aus Rhode Island
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Rhode Island sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie RI oder
Rhode Island.
Content Blade für Führerscheine aus Saskatchewan
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Saskatchewan sowie
nach Wörtern und Phrasen wie z. B. „driver’s license“, „permis de conduire“ und nach Begriffen wie SK oder
Saskatchewan in näherer Umgebung.
Regeln für Lizenzmuster: 8 Ziffern
Lizenzmuster: DDDDDDDD
Content Blade für formatierte SIN
Das Content Blade sucht formatierte Muster der kanadischen Sozialversicherungsnummer (SIN).
Das Content Blade findet Übereinstimmungen, wenn ein Dokument eine Kombination aus folgenden Informationsbestandteilen in mittelbarer Nachbarschaft zueinander enthält:
1
Mehr als eine Übereinstimmung mit einer formatierten SIN
2
Eine einzelne Übereinstimmung mit einer formatierten SIN sowie ein Wort oder eine Phrase im Zusammenhang mit dem Führerschein oder dem Geburtsdatum
3
Eine einzelne Übereinstimmung mit einer formatierten SIN mit einem Wort oder einer Phrase
Content Blade für unformatierte SIN
Das Content Blade sucht unformatierte Muster der kanadischen Sozialversicherungsnummer (SIN). Das Content Blade findet eine Übereinstimmung, wenn eine unformatierte SIN in direkter Nachbarschaft eines Worts
oder einer Phrase für eine Sozialversicherungsnummer (z. B. Social Insurance, SIN), für einen Führerschein
oder das Geburtsdatum gefunden wird.
Content Blade für formatierte SSN
Content Blade für formatierte SSN
Das Content Blade findet Übereinstimmungen, wenn ein Dokument eine Kombination aus folgenden Informationsbestandteilen in mittelbarer Nachbarschaft zueinander enthält:
n
Mehr als eine Übereinstimmung mit einer formatierten SSN
n
Eine einzelne Übereinstimmung mit einer formatierten SSN sowie zwei weitere der folgenden Informationen: Name, US-Adresse oder US-Datum
n
Ein Übereinstimmung mit einer formatierten SSN sowie ein Wort oder eine Phrase für eine Sozialversicherungsnummer (z. B. Social Security, SSN)
VMware, Inc.
115
Content Blade für unformatierte SSN
Das Content Blade sucht unformatierte Muster der US-Sozialversicherungsnummer (SSN). Das Content Blade
findet eine Übereinstimmung, wenn eine unformatierte SSN in direkter Nachbarschaft eines Worts oder einer
Phrase für eine Sozialversicherungsnummer (z. B. Social Security, SSN) gefunden wird.
Content Blade für Führerscheinnummern aus South Carolina
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von South Carolina sowie
nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie SC
oder South Carolina.
Content Blade für Führerscheinnummern aus South Dakota
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von South Dakota sowie
nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie SD
oder South Dakota.
Führerscheinmuster: 8 Ziffern oder Sozialversicherungsnummer
Content Blade für die spanische Personalausweisnummer
Das Content Blade sucht nach Übereinstimmungen mit der spanischen nationalen Identifikationsnummer und
Wörtern und Phrasen, wie z. B. „Documento Nacional de Identidad“ und „Número de Identificación de Extranjeros“. Darüber hinaus verwendet es reguläre Ausdrücke, um Telefonnummern zu unterscheiden und um
die Doppelzählung von DNIs und NIEs ohne Prüfzeichen zu verhindern.
Content Blade für spanische Reisepassnummern
Das Content Blade sucht nach Übereinstimmungen mit spanischen Reisepassnummern und nach Wörtern und
Phrasen, wie „pasaporte“ oder „passport“.
Reisepassregel: 8 alphanumerische Zeichen - 2 Buchstaben gefolgt von 6 Ziffern.
Muster:
LLDDDDDD
LL-DDDDDD
LL DDDDDD
Content Blade für Sozialversicherungsnummern aus Spanien
Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um eine spanische
Sozialversicherungsnummer zu erkennen.
1
Spanische Sozialversicherungsnummer
2
Wörter oder Phrasen für eine Sozialversicherungsnummer (z. B. „número de la seguridad social“, die
Sozialversicherungsnummer)
Content Blade für schwedische IBAN-Nummern
Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um eine schwedische
1
116
Begriffe und Phrasen im Zusammenhang mit der IBAN (z. B. International Bank Account Number, IBAN)
VMware, Inc.
2
Muster einer schwedischen IBAN-Nummer
IBAN-Regel: Ländercode „SE“, gefolgt von 22 Ziffern.
Muster: SE DDDDDDDDDDDDDDDDDDDDDD
Content Blade für schwedische Reisepassnummern
Das Content Blade sucht nach Übereinstimmungen mit dem regulären Ausdruck für schwedische Reisepassnummern mit den folgenden möglichen Kombinationen von Belegen.
1
Wörter und Ausdrücke im Zusammenhang mit Reisepässen, z. B. „Passnummer“
2
Wörter und Phrasen für das Land Schweden, Nationalität und Ablaufdaten
Reisepassregel: 8 Ziffern
Muster:
DDDDDDDD
DD-DDDDDD
LL-DDDDDD
Content Blade für Führerscheinnummern aus Tennessee
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Tennessee sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie TN oder
Tennessee.
Content Blade für britische BIC-Nummern
Beim Prüfen auf britische BIC-Nummern durch das Content Blade müssen die beiden folgenden Regeln zutreffen.
1
2
Britisches Format der BIC-Nummer
BIC-Regel: 8 oder 11 alphanumerische Zeichen. An 5. und 6. Stelle stehen immer die Buchstaben „GB“ für den
Ländercode gemäß ISO 3166-1 alpha-2.
Muster:
LLLLLLAAA
LLLLLLAAAAA
LLLLLLAA-AAA
LLLLLLAA AAA
LLLLLL AA AAA
LLLL LL AA AAA
LLLL LL AA-AAA
VMware, Inc.
117
Content Blade für Führerscheinnummern aus Großbritannien
Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um einen britischen
1
Muster für britischen Führerschein
2
Entweder Wörter oder Phrasen für einen Führerschein (z. B. „driving license“) oder eine Angabe zur
persönlichen Identifikation (z. B. Geburtsdatum, Adresse, Telefonnummer)
Führerscheinregel: 16 bis 18 alphanumerische Zeichen, die mit einem Buchstaben beginnen.
Muster:
LAAAADDDDDDLLDLLDD
An einigen Stellen sind die akzeptierten Werte begrenzt.
Content Blade für britische IBAN-Nummern
Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um eine britische IBANNummer zu erkennen.
1
2
Muster einer britischen IBAN-Nummer
IBAN-Regel: Ländercode „GB“, gefolgt von 20 Zeichen.
GB, ISO-Ländercode
2 Ziffern (nur numerische Zeichen von 0 bis 9), Prüfziffern (IBAN)
4 Großbuchstaben (nur A - Z), Bankleitzahl
6 Ziffern (nur numerische Zeichen von 0 bis 9), Bankfilialcode
8 Ziffern (nur numerische Zeichen von 0 bis 9), Kontonummer
Muster:
GBDDLLLLDDDDDDDDDDDDDD
GB DD LLLL DDDD DDDD DDDD DD
GB DD LLLL DDDDDD DDDDDDDD
Content Blade für die britische National Health Service-Nummer
Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um eine britische National Health Service-Nummer zu erkennen.
1
Format der britischen National Health Service-Nummer
2
Wörter und Phrasen im Zusammenhang mit dem nationalen Gesundheitsdienst Großbritanniens oder
der Patientenkennung bzw. dem Geburtsdatum des Patienten
Content Blade für das formale Muster britischer NINO-Nummern
Das Content Blade sucht nach dem formalen Muster der britischen Sozialversicherungsnummer (NINO).
Das Content Blade findet Übereinstimmungen, wenn ein Dokument eine Kombination aus folgenden Informationsbestandteilen in unmittelbarer Nachbarschaft zueinander enthält:
1
118
Mehr als eine Übereinstimmung mit dem formalen NINO-Muster
VMware, Inc.
2
Eine einzelne Übereinstimmung mit einer formalen NINO sowie ein Wort oder eine Phrase für eine Sozialversicherungsnummer (z. B. „NINO“, „taxpayer number“)
Content Blade für britische Reisepassnummern
Das Content Blade sucht nach Übereinstimmungen mit einer der britischen Reisepassnummern und folgenden
Belegen.
1
Wörter und Phrasen für Reisepass, wie das Wort „passport“ oder ein Nationalitätencode, dem eine Reisepassnummer vorangestellt ist
2
Wörter und Phrasen für das Land (UK) oder das Austellungsdatum (optional)
Content Blade für Führerscheinnummern aus Utah
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Utah sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie UT oder Utah.
Content Blade für Führerscheinnummern aus Virginia
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Virginia sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie VA oder
Virginia.
Content Blade für Visa-Kartennummer
Das Content Blade sucht nach einer Kombination aus folgenden Informationsbestandteilen:
1
Mehr als eine JCB-Kreditkartennummer
2
date“
3
Content Blade für Führerscheinnummern aus Washington
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Washington sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie WA oder
Washington.
Führerscheinmuster: 5 Buchstaben (Nachname), 1 Buchstabe (Initiale des Vornamens), 1 Buchstabe (Initiale
des 2. Vornamens), 3 Ziffern, 2 alphanumerische Zeichen. Falls der Nachname kürzer ist oder es keinen zweiten
Vornamen gibt, werden die Stellen mit „*“ aufgefüllt.
Content Blade für Führerscheinnummern aus Wisconsin
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Wisconsin sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie WI oder
Wisconsin.
VMware, Inc.
119
Content Blade für Führerscheinnummern aus Wyoming
Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Wyoming sowie nach
Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie WY oder
Wyoming.
Unterstützte Dateiformate
vShield Data Security erkennt die folgenden Dateiformate.
Tabelle 14-1. Archivformate
Anwendungsformat
Erweiterungen
7-Zip 4.57
7Z
BinHex
HQX
BZIP2
BZ2
Expert Witness (EnCase)Compression-Format
E0, E101 usw.
GZIP 2
GZ
ISO-9660 CD Disc Image-Format
ISO
Java-Archiv
JAR
Legato EMailXtender Archive
EMX
MacBinary
BIN
Mac Disk copy Disk Image
DMG
Microsoft Backup File
BKF
Microsoft Cabinet Format 1.3
CAB
Microsoft Compressed Folder
LZH
LHA
Microsoft Entourage
120
Microsoft Outlook Express
DBX
Microsoft Outlook Offline Store 2007
OST
Microsoft Outlook Personal Store 2007
PST
OASIS Open Document Format
ODC
SXC
STC
ODT
SXW
STW
Open eBook Publication Structure
EPUB
PKZIP
ZIP
RAR-Archiv
RAR
Selbstextrahierende Archive
SEA
Shell Scrap-Objektdatei
SHS
Bandarchiv
TAR
UNIX Compress
Z
VMware, Inc.
Tabelle 14-1. Archivformate (Fortsetzung)
Anwendungsformat
Erweiterungen
UUEncoding
UUE
WinZip
ZIP
Tabelle 14-2. CAD-Formate
Anwendungsformat
Erweiterungen
CATIA-Formate 5
CAT
Microsoft Visio 5, 2000, 2002, 2003, 2007
VSD
MicroStation 7, 8
DGN
Omni Graffle
GRAFFLE
Tabelle 14-3. Datenbankformate
Anwendungsformat
Erweiterungen
Microsoft Access 95, 97, 2000, 2002, 2003, 2007
MDB
Tabelle 14-4. Anzeigeformate
Anwendungsformat
Erweiterungen
Adobe PDF 1.1 bis 1.7
PDF
Tabelle 14-5. Mail-Formate
Anwendungsformat
Erweiterungen
Domino XML Language
DXL
Legato Extender
ONM
Lotus Notes-Datenbank 4, 5, 6.0, 6.5, 7.0 und 8.0
NSF
Mailbox Thunderbird 1.0 und Eudora 6.2
MBX
Microsoft Outlook 97, 2000, 2002, 2003 und 2007
MSG
Microsoft Outlook Express Windows 6 und MacIntosh 5
EML
Microsoft Outlook Personal Folder 97, 2000, 2002 und 2003
PST
Text-Mail (MIME)
Verschiedene
Tabelle 14-6. Multimedia-Formate
Anwendungsformat
Erweiterungen
Advanced Streaming Format 1.2
DXL
Tabelle 14-7. Präsentationsformate
Anwendungsformat
Erweiterungen
Apple iWork Keynote 2, 3, ‘08 und ‘09
GZ
Applix Presents 4.0, 4.2, 4.3, 4.4
AG
Corel Presentations 6, 7, 8, 9, 10, 11, 12 und X3
SHW
Lotus Freelance Graphics 2
PRE
VMware, Inc.
121
Tabelle 14-7. Präsentationsformate (Fortsetzung)
Anwendungsformat
Erweiterungen
Lotus Freelance Graphics 96, 97, 98, R9 und 9.8
PRZ
Macromedia Flash bis 8.0
SWF
Microsoft PowerPoint PC 4
PPT
Microsoft PowerPoint Windows 95, 97, 2000, 2002 und 2003
PPT, PPS, POT
Microsoft PowerPoint Windows XML 2007
PPTX, PPTM, POTX, POTM, PPSX und PPSM
Microsoft PowerPoint Macintosh 98, 2001, v.X und 2004
PPT
OpenOffice Impress 1 und 1.1
SXP
StarOffice Impress 6 und 7
SXP
Tabelle 14-8. Tabellenformate
Anwendungsformat
Erweiterungen
Apple iWork Numbers '08 und 2009
GZ
Applix Spreadsheets 4.2, 4.3 und 4.4
AS
Kommagetrennte Werte
CSV
Corel Quattro Pro 5, 6, 7, 8, X4
WB2. WB3, QPW
Data Interchange Format
DIF
Lotus 1-2-3 96, 97, R9, 9.8, 2, 3, 4, 5
123, WK4
Lotus 1-2-3 Charts 2, 3, 4, 5
123
Microsoft Excel Windows 2.2 bis 2003
XLS, XLW, XLT, XLA
Microsoft Excel Windows XML 2007
XLSX, XLTX, XLSM, XLTM, XLAM
Microsoft Excel-Diagramme 2, 3, 4, 5, 6, 7
XLS
Microsoft Excel Macintosh 98, 2001, v.X, 2004
XLS
Microsoft Office Excel Binary Format 2007
XLSB
Microsoft Works Spreadsheet 2, 3, 4
S30 S40
Oasis Open Document Format 1, 2
ODS, SXC, STC
OpenOffice Calc 1, 1.1
SXC, ODS, OTS
StarOffice Calc 6, 7
Tabelle 14-9. Text- und Markup-Formate
122
Anwendungsformat
Erweiterungen
ANSI
TXT
ASCII
TXT
Extensible Forms Description Language
XFDL, XFD
HTML 3, 4
HTM, HTML
Microsoft Excel Windows XML 2003
XML
Microsoft Word Windows XML 2003
XML
Microsoft Visio XML 2003
vdx
MIME HTML
MHT
VMware, Inc.
Tabelle 14-9. Text- und Markup-Formate (Fortsetzung)
Anwendungsformat
Erweiterungen
Rich Text Format 1 bis 1.7
RTF
Unicode Text 3, 4
TXT
XHTML 1.0
HTM, HTML
XML (generisch)
XML
Tabelle 14-10. Textverarbeitungsformate
Anwendungsformat
Erweiterungen
Adobe FrameMaker InterchangeFormat 5, 5.5, 6, 7
MIF
Apple iChat Log AV, AV 2, AV 2.1,AV 3
LOG
Apple iWork Pages ‘08, 2009
GZ
Applix Words 3.11, 4, 4.1, 4.2, 4.3, 4.4
AW
Corel WordPerfect Linux 6.0, 8.1
WPS
Corel WordPerfect Macintosh 1.02, 2, 2.1, 2.2, 3, 3.1
WPS
Corel WordPerfect Windows 5, 5.1, 6, 7, 8, 9, 10, 11, 12, X3
WO, WPD
DisplayWrite 4
IP
Folio Flat File 3.1
FFF
Founder Chinese E-paper Basic 3.2.1
CEB
Fujitsu Oasys 7
OA2
Haansoft Hangul 97, 2002, 2005, 2007
HWP
IBM DCA/RFT (Revisable Form Text) SC23-0758 -1
DC
JustSystems Ichitaro 8 bis 2009
JTD
Lotus AMI Pro 2, 3
SAM
Lotus AMI Professional Write Plus 2.1
AMI
Lotus Word Pro
96, 97, R9
Lotus SmartMaster 96, 97
MWP
Microsoft Word PC 4, 5, 5.5, 6
DOC
Microsoft Word Windows 1.0 und 2.0, 6, 7, 8, 95, 97, 2000,
2002, 2003
DOC
Microsoft Word Windows XML 2007
DOCX, DOTX, DOTM
Microsoft Word Macintosh 4, 5, 6, 98, 2001, v.X, 2004
DOC
Microsoft Works 2, 3, 4, 6, 2000
WPS
Microsoft Windows Write 1, 2, 3
WRI
Oasis Open Document Format 1, 2
ODT, SXW, STW
OpenOffice Writer 1, 1.1
SXW, ODT
Omni Outliner 3
OPML, OO3, OPML, OOUTLINE
Skype-Protokolldatei
DBB
StarOffice Writer 6, 7
SXW, ODT
WordPad bis 2003
RTF
VMware, Inc.
123
Tabelle 14-10. Textverarbeitungsformate (Fortsetzung)
124
Anwendungsformat
Erweiterungen
XML Paper Specification
XPS
XyWrite 4.12
XY4
VMware, Inc.
Fehlerbehebung
15
In diesem Abschnitt finden Sie Informationen zum Beheben gängiger vShield-Probleme.
n
„Fehlerbehebung für die vShield Manager-Installation“, auf Seite 125
n
„Fehlerbehebung für Probleme bei der Ausführung“, auf Seite 126
n
„Fehlerbehebung für die Portgruppenisolierung“, auf Seite 128
n
„Beheben von vShield Edge-Problemen“, auf Seite 132
n
„Fehlerbehebung für vShield Endpoint“, auf Seite 133
n
„Fehlerbehebung für vShield Data Security“, auf Seite 135
Fehlerbehebung für die vShield Manager-Installation
Dieser Abschnitt bietet detaillierte Informationen zur Behebung von Problemen bei der vShield ManagerInstallation.
Die vShield OVA-Datei kann nicht in vSphere Client installiert werden
Sie können die vShield OVA-Datei nicht installieren.
Problem
Wenn ich versuche, die vShield OVA-Datei zu installieren, schlägt die Installation fehl.
Lösung
Wenn eine vShield OVA-Datei nicht installiert werden kann, wird in einer Fehlermeldung in vSphere Client
die Zeile angegeben, in der der Fehler aufgetreten ist. Senden Sie diese Fehlerinformationen zusammen mit
den Informationen zum Build von vSphere Client an den technischen Support von VMware.
Nach dem Start der virtuellen vShield Manager-Maschine ist keine Anmeldung bei
der Befehlszeilenschnittstelle möglich
Problem
Nach der OVF-Installation ist keine Anmeldung bei der Befehlszeilenschnittstelle von vShield Manager möglich.
VMware, Inc.
125
Lösung
Warten Sie nach Abschluss der vShield Manager-Installation einige Minuten, bevor Sie sich bei der Befehlszeilenschnittstelle von vShield Manager anmelden. Drücken Sie in der Ansicht der Registerkarte Console die
Eingabetaste, um zu prüfen, ob eine Eingabeaufforderung vorhanden ist, wenn der Bildschirm leer ist.
Anmelden bei der vShield Manager-Benutzeroberfläche nicht möglich
Problem
Wenn ich versuche, mich im Webbrowser bei der vShield Manager-Benutzeroberfläche anzumelden, tritt der
Ausnahmefehler „Page Not Found“ auf.
Lösung
Die IP-Adresse von vShield Manager befindet sich in einem Subnetz, auf das der Webbrowser nicht zugreifen
kann. Auf die IP-Adresse der Management-Oberfläche von vShield Manager muss der Webbrowser zugreifen
können, damit vShield genutzt werden kann.
Fehlerbehebung für Probleme bei der Ausführung
Probleme bei der Ausführung sind Probleme, die möglicherweise nach der Installation auftreten.
vShield Manager kann nicht mit einer vShield App-Instanz kommunizieren
Problem
Ich kann in vShield Manager keine vShield App-Instanz konfigurieren.
Lösung
Wenn Sie die vShield App-Instanz nicht im vShield Manager konfigurieren können, wurde die Verbindung
zwischen den beiden virtuellen Maschinen unterbrochen. Die Management-Oberfläche von vShield kann nicht
mit der Management-Oberfläche von vShield Manager kommunizieren. Vergewissern Sie sich, dass sich die
Management-Oberflächen im selben Subnetz befinden. Vergewissern Sie sich bei Verwenden von VLANs,
dass sich die Management-Oberflächen im selben VLAN befinden.
Eine weitere Ursache kann sein, dass die virtuelle Maschine von vShield App oder vShield Manager ausgeschaltet ist.
vShield App-Instanz kann nicht konfiguriert werden
Problem
Eine vShield App-Instanz kann nicht konfiguriert werden.
Lösung
Dieses Problem kann die Folge einer der folgenden Bedingungen sein.
126
n
Die virtuelle Maschine der vShield App-Instanz ist beschädigt. Deinstallieren Sie die fehlerhafte vShield
App-Instanz auf der vShield Manager-Benutzeroberfläche. Installieren Sie eine neue vShield App-Instanz
zum Schutz des ESX-Hosts.
n
vShield Manager kann nicht mit der vShield App-Instanz kommunizieren.
VMware, Inc.
Kapitel 15 Fehlerbehebung
n
Der Speicher bzw. die LUN, der/die die vShield-Konfigurationsdatei hostet, ist fehlerhaft. Wenn dies
geschieht, können Sie keine Konfigurationsänderungen vornehmen. Die Firewall ist aber weiter aktiv. Sie
können virtuelle vShield-Maschinen in lokalem Speicher speichern, wenn kein Remote-Speicher verfügbar ist.
Erstellen Sie mit vSphere Client einen Snapshot oder eine TAR-Datei der betroffenen vShield App-Instanz.
Übermitteln Sie diese Informationen an den technischen Support von VMware.
Eine Firewall-Blockierungsregel blockiert nicht den vorgesehenen Datenverkehr
Problem
Ich habe eine App Firewall-Regel konfiguriert, die bestimmten Datenverkehr blockieren soll. Ich habe den
Datenverkehr mit Flow Monitoring überwacht und festgestellt, dass der zu blockierende Datenverkehr zugelassen wird.
Lösung
Überprüfen Sie Reihenfolge und Gültigkeitsbereich der Regel. Dies schließt die Containerebene ein, auf der
die Regel durchgesetzt werden soll. Probleme können auftreten, wenn eine auf einer IP-Adresse basierende
Regel unter dem falschen Container konfiguriert ist.
Prüfen Sie, wo sich die betreffende virtuelle Maschine befindet. Befindet sie sich hinter einer vShield AppInstanz? Falls nicht, gibt es keinen Agenten zum Durchsetzen der Regel. Wählen Sie in der Ressourcenstruktur
die virtuelle Maschine aus. Die Registerkarte App Firewall dieser virtuellen Maschine enthält alle Regeln, die
für diese virtuelle Maschine gelten.
Platzieren Sie nicht geschützte virtuelle Maschinen auf einem mit vShield geschützten Switch oder schützen
Sie den vSwitch, auf dem sich die virtuelle Maschine befindet, indem Sie eine vShield-Instanz installieren.
Aktivieren Sie die Protokollierung für die betreffende App Firewall-Regel. Dadurch kann sich der durch die
vShield App-Instanz geleitete Netzwerkverkehr verlangsamen.
Überprüfen Sie die vShield App-Verbindungen. Prüfen Sie den Synchronisierungsstatus der vShield AppInstanz auf der Seite System Status. Klicken Sie bei fehlender Synchronität auf [Force Sync] . Sollte weiter
keine Synchronität vorliegen, ermitteln Sie mithilfe des Systemereignisprotokolls die Ursache.
In Flow Monitoring werden keine Flow-Daten angezeigt
Problem
Ich habe vShield Manager und eine vShield App-Instanz installiert. Wenn ich die Registerkarte Flow Monitoring öffne, werden keine Daten angezeigt.
Lösung
Dieses Problem kann die Folge einer oder mehrerer der folgenden Bedingungen sein.
n
Sie haben der vShield App-Instanz nicht genügend Zeit für die Überwachung von Datenverkehrssitzungen eingeräumt. Warten Sie nach der Installation der vShield App-Instanz einige Minuten lang die Erfassung von Datenverkehr ab. Sie können die Datenerfassung anfordern, indem Sie auf der Registerkarte
Flow Monitoring auf [Get Latest] klicken.
n
Datenverkehr hat virtuelle Maschinen zum Ziel, die nicht durch eine vShield App-Instanz geschützt sind.
Stellen Sie sicher, dass Ihre virtuellen Maschinen durch eine vShield App-Instanz geschützt sind. Virtuelle
Maschinen müssen in derselben Portgruppe wie der geschützte Port (p0) der vShieldApp-Instanz enthalten sein.
n
Datenverkehr hat keine virtuellen Maschinen zum Ziel, die durch eine vShield App-Instanz geschützt
sind.
VMware, Inc.
127
n
Überprüfen Sie die Seite System Status auf Synchronisierungsfehler der einzelnen vShield App-Instanzen.
Fehlerbehebung für die Portgruppenisolierung
Es folgt eine detaillierte Beschreibung der Schritte zum Validieren der Installation, des Betriebs und der Deinstallation der Funktion der Portgruppenisolierung. Durch die Validierung der Portgruppenisolierung können Konfigurationsfehler verhindert werden.
Überprüfen der Installation von Portgruppenisolierung
Sie können die Installation der Funktion der Portgruppenisolierung validieren, indem Sie jede Ressource validieren, die beim Installationsvorgang verwendet wurde.
So überprüfen Sie die Installation der Portgruppenisolierung
1
Vergewissern Sie sich, dass dieselbe Portgruppe und dieselben virtuellen Maschinen nicht auch für die
vCloud Service Director-Netzwerkisolierung oder das Host-übergreifende Fencing von LabManager konfiguriert sind. Der doppelte Kapselungsmodus wird derzeit nicht unterstützt.
2
Prüfen Sie, ob das Paket der Portgruppenisolierung installiert ist. esxupdate query.
3
Prüfen Sie, ob vshd ausgeführt wird.
n
ESXi: ps | grep vsh. Die Ergebnisse können mehrere Instanzen enthalten, was in Ordnung ist.
n
ESX Classic: ps –eaf | grep vshd
4
Prüfen Sie, ob das Kernel-Modul geladen ist. vmkload_mod –l | grep vshd -ni
5
Prüfen Sie, ob die gespiegelte virtuelle Maschine eingeschaltet ist.
Suchen Sie auf dem ESX-Host mit dem Befehl nahe vshield-infra-ni-<Zeichenfolge> nach einer eingeschalteten virtuellen Maschine.
6
Prüfen Sie, ob die virtuelle Maschine für die Portgruppenisolierung mit der richtigen Portgruppe verbunden ist.
7
Prüfen Sie, ob die VMX-Dateien für die geschützten virtuellen Maschinen die Filtereinträge enthalten.
Öffnen Sie die VMX-Datei und suchen Sie nach filter15. Es müssen drei Einträge vorhanden sein. Vergewissern Sie sich, dass diese Einträge für die ordnungsgemäße Ethernet-Karte vorhanden sind. Jede
VMX-Datei darf nur drei Einträge pro vNIC in Bezug auf das Fence-Modul (filter15) aufweisen. Wenn
sich die Einträge wiederholen, bedeutet dies, dass die VMX-Datei Isolierungseinträge aus einer vorherigen
Konfiguration enthielt, die nicht bereinigt wurde, und dass später doppelte Einträge hinzugefügt wurden.
8
Prüfen Sie, ob alle virtuellen Maschinen, die zur selben Portgruppe gehören, in den VMX-Dateien identische Filtereinstellungen haben.
9
Prüfen Sie, ob die Konfiguration von VSHD intakt ist.
a
Wechseln Sie zu /etc/opt/vmware/vslad/config.
b
Überprüfen Sie die Dateien in diesem Verzeichnis. Stellen Sie sicher, dass alle Dateien dieselben Daten
enthalten. Sie sollten nicht leer sein.
Wenn alle diese Punkte zutreffen, ist der ESX-Host ordnungsgemäß für die Portgruppenisolierung eingerichtet.
128
VMware, Inc.
Überprüfen des Installations- bzw. Deinstallations-Skripts für die
Portgruppenisolierung
Das Installationsskript für die Portgruppenisolierung erstellt die folgende Elemente.
n
Es erstellt den Benutzer vslauser und legt ein Standardkennwort fest.
So prüfen Sie, ob der Benutzer hinzugefügt wurde: vi /etc/passwd
n
Es fügt die Rolle vslauser hinzu und ordnet den Benutzer vslauser der Rolle zu.
n
Es fügt bei jedem Neustart Einträge zum Starten von VSHD und des Skripts svm-autostart hinzu.
Sie können dies unter ESXi überprüfen, indem Sie in der Datei /etc/chkConfig.db nach Einträgen zu
„vshd“ und „svm-autostart“ suchen. Unter ESX können Sie dies prüfen, indem Sie find / -name *vsh*
aufrufen und prüfen, ob Skripts mit den Namen S<Wert>vslad und svm-autostart vorhanden sind.
n
Es fügt unter ESX einen Eintrag der Dienstliste hinzu, um VSHD-Dienste zur Verfügung zu stellen. Sie
können dies überprüfen, indem Sie die Datei /etc/vmware/hostd/proxy.xml öffnen und das Wort vsh
suchen.
Das Bereinigungsskript entfernt alle Vorgänge, die vom Installationsskript erstellt wurden.
n
Es entfernt den Benutzer vslauser.
n
Es entfernt die Rolle vslauser.
n
Es entfernt Initialisierungseinträge für vshd und svm-autostart.
n
Es entfernt den VSHD-Eintrag aus der Datei proxy.xml.
Validieren des Datenpfads
Sie sollten den Datenpfad validieren, um sicherzustellen, dass der Datenverkehr auf Basis Ihrer Konfiguration
der Portgruppenisolierung zugelassen bzw. blockiert wird.
Vorgehensweise
1
Vergewissern Sie sich, dass Adressen, Routen, Netzmasken und Gateways ordnungsgemäß konfiguriert
sind.
2
Installieren Sie tcpdump auf einer virtuellen Maschine in der isolierten Portgruppe.
3
Führen Sie innerhalb dieser virtuellen Maschine eine Paketerfassung durch.
4
Rufen Sie auf der problembehafteten virtuellen Maschine einen Ping-Befehl an die virtuelle Maschine auf,
auf der die Erfassung läuft.
Wenn ein ARP-Paket empfangen wird, bedeutet dies, dass Broadcast-Pakete empfangen werden. Wird
kein ARP-Paket empfangen, bedeutet dies hingegen, dass keine Pakete empfangen wurden.
VMware, Inc.
129
So beheben Sie Probleme, wenn Broadcast-Pakete empfangen, Unicast-Pakete
jedoch verworfen werden
Vorgehensweise
1
Führen Sie /opt/vmware/vslad/fence-util setSwitchMode 1 auf allen betroffenen ESX-Hosts aus. Dieser
Befehl weist das VSHD-Modul an, alle per Fencing abgegrenzten Pakete zu übertragen.
Wenn nach der Ausführung des Befehls auf allen Hosts der Betrieb ordnungsgemäß aufgenommen wird,
sind zumeist die gespiegelten virtuellen Maschinen das Problem, da gespiegelte virtuelle Maschinen ordnungsgemäß konfiguriert sein müssen, damit die Übertragung von Unicast-Paketen funktioniert.
Weitere Informationen zu fence-util finden Sie unter „Details des Dienstprogramms „fence-util““,
auf Seite 131.
2
Überprüfen Sie auf jedem ESX-Host die Netzwerkkarten der gespiegelten virtuellen Maschine, um sicherzustellen, dass mindestens eine Netzwerkkarte mit dem vSwitch verbunden ist, mit dem diese virtuellen Maschinen verbunden sind.
3
Bestätigen Sie, dass die Filtereinträge für diese Netzwerkkarte in den VMX-Dateien der gespiegelten virtuellen Maschinen ordnungsgemäß sind. Alle Einträge für diesen vSwitch müssen für „LanId?“ denselben
Wert aufweisen.
Setzen Sie nach dem Beheben des Problems den Modus durch Ausführen von /opt/vmware/vslad/fenceutil setSwitchMode 0 auf 0 zurück.
4
Bestätigen Sie, dass die Pakete den anderen ESX-Host erreichen. Wenn die gespiegelten virtuellen Maschinen falsch konfiguriert sind, werden Pakete auf dem ESX-Ziel-Host und nicht vom Quell-Host verworfen.
Sollten Probleme bestehen bleiben, bedeutet dies wahrscheinlich, dass die Unicast-Umschaltung irgendwo auf den physischen Computern im Netzwerk nicht funktioniert. Dies ist selten, denn wenn BroadcastPakete ihr Ziel erreichen, bedeutet dies, dass zwischen den miteinander kommunizierenden virtuellen
Maschinen physische Verbindungen bestehen. Wenn Broadcast-Übertragungen im Gegensatz zu UnicastÜbertragungen funktionieren, auch nachdem alle VSDH-Module mit dem Dienstprogramm „fence-utils“
in den Broadcast-Modus versetzt wurden, liegen die Probleme ggf. im physischen Netzwerk für solche
Unicast-Übertragungen vor.
Möglich ist auch, dass im selben Netzwerk mehr als je eine Installation von vShield Manager, Portgruppenisolierung und vCenter vorhanden ist. In diesem Fall wurden ggf. einige der Hostkey-MAC-Adressen
im selben physischen Netzwerk dupliziert. Aus diesem Grund kann der Broadcast-Datenverkehr ordnungsgemäß funktionieren, doch der Unicast-Datenverkehr ggf. die falschen Hosts erreichen, da die physischen Switches im Netzwerk Informationen zu MAC-Adressen von zwei verschiedenen Stellen erhalten.
So beheben Sie Probleme, wenn keine Pakete empfangen und Broadcast-Pakete
verworfen werden
Vorgehensweise
130
1
Bestätigen Sie, dass die beiden ESX-Hosts in einem gemeinsamen physischen Netzwerk und im selben
VLAN vorhanden sind.
2
Prüfen Sie bei älteren Switches, ob dieselbe Portgruppe auf allen betreffenden ESX-Hosts mit demselben
benannten vSwitch verbunden ist.
3
Bestätigen Sie, dass die mit diesen vSwitches verbundene Netzwerkkarte mit demselben physischen
Netzwerk verbunden ist.
VMware, Inc.
4
Führen Sie den Befehl /opt/vmware/vslad/fence-util info mehrmals auf allen ESX-Hosts aus, um zu
prüfen, ob sich Zähler zu verworfenen Paketen erhöhen.
Dieses Modul zeigt auch die Anzahl verworfener Pakete für nicht abgegrenzte Pakete, die in per Fencing
abgegrenzte vNICs gelangen. Dies bedeutet, dass alle anderen Broadcast-Übertragungen im Netzwerk
verworfen werden, wenn diese abgegrenzte vNICs erreichen. Untersuchen Sie die Zähler Fenced From
VM und Fenced To VM.
5
Isolieren Sie die Stelle, an der Pakete verworfen werden, indem Sie auf der ESX-Benutzeroberfläche Erfassungsvorgänge an beiden Enden ausführen.
In Fällen, in denen Pakete aus der ESX-Quelle stammen, aber das ESX-Ziel nicht erreichen, kann es ggf.
möglich sein, dass ein dazwischen geschaltetes intelligentes Gerät diese Pakete aufgrund eines unbekannten ETH-Typs in den Paketen verwirft.
Details des Dienstprogramms „fence-util“
Log Level gibt die Protokollebene für das Debugging an.
Hostkey ist die konfigurierte Host-ID. Das Dienstprogramm „fence-util“ enthält einen Druckfehler. Es hängt
eine 0 an das Ende der Host-ID an. Eine Host-ID von 0x30 bedeutet eigentlich Host-ID 3.
Configured LAN MTUs bezieht sich auf die über VSDH explizit festgelegten MTU-Werte.
Port Id ist die erste Spalte in allen anderen Tabellen (Active Ports, Switch State und Portstats). Dies ist eine
eindeutige ID, die vom VSHD-Modul jedem für das Fencing (Abgrenzung) aktivierten Port zugewiesen wird.
Diese ID hat nur eine interne und keine externe Bedeutung. Es handelt sich um den DVFILTER-Namen für
diesen Porttyp, der Uint64 zugewiesen ist. Die Port-ID ist nützlich zum Abfragen von Werten für einen bestimmten Port mithilfe des „fence -util“-Befehls portInfo <Port-ID>, der Details nur eines Ports ausgibt.
Active Ports zeigt alle Ports/vNICs, bei denen das Fencing (Abgrenzen) aktiv ist. Dies schließt die gespiegelten
vNICs ein. Der erste Host hat fünf Ports für das Fencing aktiviert, von denen zwei gespiegelte vNICs sind. Die
gespiegelten vNICs können anhand der speziellen Fence-ID fffffe bestimmt werden. Die Spalte OPI gibt die
Fence-ID an. Bei Ihrer Einrichtung hat der erste Host die Fence-ID 000001. Die nächste Spalte enthält die für
diesen Port konfigurierte LanId?. Die ist ein Hinweis, mit welchem vSwitch die Ports ggf. verbunden sind. In
der Ausgabe unten hat der erste Host zwei vSwitches (legacy + dvswitches). Einer hat die Lan-ID 1 und der
andere die Lan-ID 2. Deshalb sehen Sie zwei vNICs gespiegelter virtueller Maschinen (eine für jeden vSwitch)
mit unterschiedlichen LanIds? in aktiven Ports.
Switch State zeigt die Lerntabelle des internen Unicast-Lernvorgangs im Fence-Modul. Inner MAC ist die
MAC-Adresse der virtuellen Zielmaschine, Outer MAC die Hostkey-MAC-Adresse des Hosts, auf dem diese
virtuelle Maschine vorhanden ist. Während des Lernvorgangs wird diese Tabelle erstellt, indem Pakete untersucht werden und zu ermitteln versucht wird, auf welchem Host sich die einzelnen virtuellen Maschinen
befinden. Wenn anschließend eine virtuelle Maschine auf dem jeweiligen Host versucht, eine andere virtuelle
Maschine zu erreichen, wird in dieser Tabelle nachgeschlagen. Wenn die MAC-Adresse der virtuellen Zielmaschine in der Spalte „Inner MAC“ angezeigt wird, dient der Wert von „OuterMac?“ als Hostkey-MACZieladresse, die in den Header „Outer MAC“ eingegeben wird, der vom Fence-Modul hinzugefügt wurde.
Wenn hier kein Eintrag vorhanden ist, wird ein solches Paket per Broadcast übertragen (die MAC-Zieladresse
im Header „Outer MAC“ wird auf „broadcast“ festgelegt). Wie beliebige andere Lernsysteme bietet auch
dieses Mechanismen, über die gelernte Einträge entfernt oder geändert werden können. Diese Mechanismen
übernehmen beispielsweise das Verschieben virtueller Maschinen auf andere Hosts oder stellen sicher, dass
die Tabelle nicht zu stark mit veralteten MAC-Einträgen aufgefüllt wird. Die Bits „Used/Age/Seen“ stellen die
Flags dar, die vom Fence-Modul zum Überwachen der Häufigkeit dieser MAC-Einträge verwendet werden.
Der Lernvorgang erfolgt auf Ports bezogen, weshalb diese Paare aus innerer und äußerer MAC-Adresse an
verschiedenen Ports möglich sind. Diese Tabelle enthält dieselbe Hostkey-MAC-Adresse in den Abschnitten
VMware, Inc.
131
„Outer MAC“, da für virtuelle Maschinen auf demselben Host auch derselbe Code verwendet wird, wobei ein
Paket verkapselt und vom Quellport gesendet und am Zielport entkapselt wird. Es erfolgt keine Optimierung
virtueller Maschinen auf demselben Host. Demzufolge ist für virtuelle Maschinen auf demselben Host die
äußere MAC-Adresse die Hostkey-MAC-Adresse desselben Hosts.
Port Statistics zeigt auf Ports bezogene Paketstatistiken an. Ein Port pro Zeile. Die Statistiken zu „From vm“
und „To vm“ geben die von einer virtuellen Maschine gesendeten und empfangenen Pakete an. Die Unterkategorien enthalten spezifische Paketinformationen. Die Details der einzelnen Zähler haben die folgende Struktur. Lassen Sie mich wissen, wenn Sie dazu weitere Informationen benötigen.
Beheben von vShield Edge-Problemen
Dieser Abschnitt bietet detaillierte Informationen zur Behebung von vShield Edge-Problemen bei der Ausführung.
Virtuelle Maschinen erhalten keine IP-Adressen vom DHCP-Server
Vorgehensweise
1
Überprüfen Sie durch Ausführen des folgenden Befehls an der Befehlszeilenschnittstelle, ob die DHCPKonfiguration für vShield Edge erfolgreich war: show configuration dhcp.
2
Überprüfen Sie durch Ausführen des folgenden Befehls an der Befehlszeilenschnittstelle, ob der DHCPDienst für vShield Edge ausgeführt wird: show service dhcp
3
Vergewissern Sie sich, dass die Netzwerkkarte der virtuellen Maschine und vShield Edge-Instanz verbunden sind ( [vCenter] > [Virtual Machine] > [Edit Settings] > [Network Adapter] > [Connected/Connect at Power On] [Kontrollkästchen]).
Wenn sowohl eine vShield App- als auch eine vShield Edge-Instanz auf demselben ESX-Host installiert
sind, können Netzwerkkarten getrennt werden, wenn eine vShield App- nach einer vShield Edge-Instanz
installiert wird.
Lastausgleich funktioniert nicht
Vorgehensweise
1
Überprüfen Sie durch Ausführen des folgenden Befehls an der Befehlszeilenschnittstelle, ob der Lastausgleich ausgeführt wird: show service lb.
Der Lastausgleich kann durch Aufrufen des Befehls start gestartet werden.
2
Mit dem folgenden Befehl können Sie die Konfiguration des Lastausgleichs überprüfen: show configuration lb.
Dieser Befehl zeigt auch, an welchen externen Schnittstellen die Listener ausgeführt werden.
Der Lastausgleich löst Fehler 502 „Bad Gateway for HTTP Requests“ aus
Dieser Fehler tritt auf, wenn die Back-End- oder internen Server nicht auf Anforderungen reagieren.
Vorgehensweise
1
Prüfen Sie, ob die IP-Adressen der internen Server ordnungsgemäß sind.
Die aktuelle Konfiguration kann in vShield Manager oder über den Befehl show configuration lb an der
Befehlszeilenschnittstelle angezeigt werden.
2
132
Prüfen Sie, ob die IP-Adressen der internen Server von der internen vShield Edge-Schnittstelle erreicht
werden.
VMware, Inc.
3
Prüfen Sie, ob die internen Server die Kombination aus IP-Adresse/Port überwachen, die zum Zeitpunkt
der Konfiguration des Lastausgleichs angegeben wurde.
Ist kein Port angegeben, muss IP:80 überprüft werden. Der interne Server darf nicht nur 127.0.0.1:80 überwachen. Entweder 0.0.0.0:80 oder <Interne IP-Adresse>:80 muss geöffnet sein.
VPN funktioniert nicht
Vorgehensweise
1
Prüfen Sie, ob der andere Endpunkt des Tunnels ordnungsgemäß konfiguriert ist.
Rufen Sie an der Befehlszeilenschnittstelle diesen Befehl auf: show configuration ipsec
2
Prüfen Sie, ob der IPSec-Dienst für die vShield Edge-Instanz ausgeführt wird.
Rufen Sie dazu an der Befehlszeilenschnittstelle diesen Befehl auf: show service ipsec. Der IPSec-Dienst
kann durch Aufrufen des Befehls start gestartet werden.
Wenn IPSec ausgeführt wird und zum Zeitpunkt der Tunneleinrichtung Fehler aufgetreten sind, enthält
die Ausgabe von show service ipsec relevante Informationen.
3
Überprüfen Sie die Konfiguration an beiden Enden (vShield Edge und Remote-Ende), insbesondere die
gemeinsamen Schlüssel.
4
Beheben Sie MTU- oder fragmentierungsbezogene Probleme mithilfe des PING-Befehls mit kleinen und
großen Paketgrößen.
n
ping -s 500 ip-at-end-of-the-tunnel
n
ping -s 2000 ip-at-end-of-the-tunnel
Fehlerbehebung für vShield Endpoint
Dieser Abschnitt bietet detaillierte Informationen zur Behebung von vShield Endpoint-Problemen bei der
Ausführung.
Thin-Agent-Protokollierung
Die Thin-Agent-Protokollierung von vShield Endpoint erfolgt innerhalb der geschützten virtuellen Maschinen. Beim Start werden zwei Registrierungswerte aus der Windows-Registrierung gelesen. Sie werden regelmäßig neu abgefragt.
Die beiden Registrierungswerte log_dest und log_level befinden sich an den folgenden Stellen in der Registrierung:
n
HKLM\System\CurrentControlSet\Services\vsepflt\Parameters\log_dest
n
HKLM\System\CurrentControlSet\Services\vsepflt\Parameters\log_level
Beide sind Bitmasken vom Typ DWORD, die beliebige Kombinationen der folgenden Werte aufweisen dürfen:
VMware, Inc.
133
Tabelle 15-1. Thin-Agent-Protokollierung
Header
Header
Header
log_dest
WINDBLOG
0x1
0x2
Debug-Modus erforderlich
VMWARE_LOG
Die Protokolldatei wird im Root-Verzeichnis der
virtuellen Maschine gespeichert
log_level
AUDIT
ERROR
WARN
INFO
DEBUG
0x1
0x2
0x4
0x8
0x10
Standardmäßig sind die Werte in Release-Builds auf VMWARE_LOG und AUDIT festgelegt. Sie können die
Werte mit „Or“ verbinden.
Weitere Informationen zum Überwachen des Status von vShield Endpoint finden Sie unter Kapitel 13, „vShield
Endpoint-Ereignisse und -Alarme“, auf Seite 71.
Versionskompatibilität von Komponenten
Die SVM- und Thin-Agent-Version müssen kompatibel sein.
Führen Sie zum Abrufen der Versionsnummern der verschiedenen Komponenten die folgenden Schritte aus:
n
SVM: Beachten Sie für Partner-SVMs die Anweisungen des Antivirus-Anbieters. Melden Sie sich für die
virtuelle vShield Data Security-Maschine bei vShield Manager an und wählen Sie die virtuelle Maschine
aus der Bestandsliste aus. Auf der Registerkarte „Summary“ wird die Build-Nummer angezeigt.
n
GVM: Klicken Sie mit der rechten Maustaste auf die Eigenschaften der Treiberdateien, um die BuildNummer abzurufen. Der Pfad zum Treiber lautet C:\WINDOWS\system32\drivers\vsepflt.sys.
n
vShield Endpoint-Modul: Melden Sie sich bei vShield Manager an und wählen Sie einen Host aus der
Bestandsliste aus. Auf der Registerkarte „Summary“ wird die Build-Nummer von vShield Endpoint angezeigt.
Überprüfen des Status und der Alarme für vShield Endpoint
Die vShield Endpoint-Komponenten sollten in der Lage sein, mit vShield Manager zu kommunizieren.
Vorgehensweise
134
1
2
Wählen Sie in der Ressourcenstruktur ein Datencenter, einen Cluster oder einen ESX-Host aus.
3
4
Klicken Sie auf [Endpoint.]
5
Bestätigen Sie, dass sich die sichere virtuelle Maschine (SVM), das vShield Endpoint-Modul auf dem ESXHost und der Thin-Agent auf der geschützten virtuellen Maschine in einem normalen Zustand befinden.
6
Wenn der Thin-Agent auf der virtuellen Maschine nicht normal funktioniert, überprüfen Sie, ob es sich
bei der Version von VMware Tools um 8.6.0 handelt (mit ESXi 5.0 Patch 1 verfügbar).
7
Wenn ein Alarm angezeigt wird, führen Sie die entsprechende Aktion aus. Weitere Informationen finden
Sie unter „vShield Endpoint-Alarme“, auf Seite 72.
VMware, Inc.
Fehlerbehebung für vShield Data Security
Da vShield Data Security die vShield Endpoint-Technologie verwendet, ist die Fehlerbehebung für beide
Komponenten sehr ähnlich.
Falls vShield Data Security-Probleme auftreten, stellen Sie zuerst sicher, dass die Data Security-Appliance als
aktiviert gemeldet wird. Stellen Sie anschließend sicher, dass eine Datensicherheitsprüfung durchgeführt
wurde.
Überprüfen des Zeitstempels für das Starten und Beenden der Prüfung
vShield Data Security prüft nur diejenigen virtuellen Maschinen, die eingeschaltet sind. Der erste Schritt der
Fehlerbehebung von vShield Data Security-Problemen besteht darin zu bestätigen, dass die virtuelle Maschine
geprüft wurde.
Vorgehensweise
1
2
Wählen Sie ein Datencenter, einen ESX-Host oder eine virtuelle Maschine aus der Ressourcenstruktur aus.
3
Klicken Sie auf die Registerkarte [Tasks and Events] .
4
Suchen Sie nach „Scan“ in der Spalte „Name“ und stellen Sie sicher, dass die Prüfung erfolgreich abgeschlossen wurde.
VMware, Inc.
135
136
VMware, Inc.
Index
A
admin-Benutzerkonto 24
Aktualisieren einer vShield Edge-Instanz 51
Aktualisieren eines Benutzers 25
Alarme für vShield Endpoint 72
Anmeldung, vShield Manager 13
Ansicht „Hosts & Clusters“ 14
Ansichten
Hosts & Cluster 14
Netzwerke 14
sichere Portgruppen 14
App Firewall
Hierarchie der Regeln 62
Hinzufügen von L4-Regeln 66
Hinzufügen von Regeln über Flow Monitoring 58
Informationen zu L4- und L2-/L3-Regeln 62
Löschen von Regeln 66
Planen der Regelerzwingung 63
Standardregeln 62
Wiederherstellen einer vorherigen Regel 67
Aufheben der Registrierung einer vShield Endpoint-SVM 38
B
Bearbeiten eines Benutzerkontos 25
Benutzer
Administratorkonto 24
Ändern eines Kennworts 25
bearbeiten 25
löschen 26
Rollen und Rechte 23
Benutzeroberfläche, Anmeldung 13
Berichte
Systemereignisse 33
Überwachungsprotokoll 35, 65
Bestandsliste 14
Bestimmungen
ABA Routing-Nummern 82
Arizona SB-1338 81
Australische Bankkontonummern 82
Australische Medicare-Kartennummern 83
Australische Steuernummern 83
Benutzerdefinierte Kontonummern 86
Britische BIC-Nummern 96
VMware, Inc.
Britische Führerscheinnummern 96
Britische IBAN-Nummern 96
Britische National Health Service-Nummer 96
Britische Reisepassnummern 97
Britische Sozialversicherungsnummer (NINO,
UK National Insurance Number) 97
California AB-1298 83
California SB-1386 84
Colorado HB-1119 85
Connecticut SB-650 85
EU-Debitkartennummern 86
FERPA (Family Educational Rights and Privacy
Act) 86
Florida HB-481 86
Georgia SB-230-Richtlinie 87
Hawaii SB-2290-Richtlinie 88
HIPPA-Richtlinie (Healthcare Insurance Portability and Accountability Act) 88
Idaho SB-1374-Richtlinie 89
Illinois SB-1633 89
Indiana HB-1101-Richtlinie 89
Kanadische Führerscheinnummern 84
Kanadische Sozialversicherungsnummern 84
Kansas SB-196-Richtlinie 90
Kreditkartennummern 85
Louisiana SB-205-Richtlinie 91
Maine LD-1671-Richtlinie 91
Massachusetts CMR-201 91
Minnesota HF-2121 92
Montana HB-732-Richtlinie 92
Neuseeländische Steuernummern 94
Nevada SB-347 92
New Hampshire HB-1660 93
New Jersey A-4001 93
New York AB-4254 93
Niederländische Führerscheinnummern 92
Nummern des neuseeländischen Gesundheitsministeriums 94
Ohio HB-104 94
Oklahoma HB-2357 95
Patienten-IDs 95
Payment Card Industry Data Security Standard
(PCI-DSS) 95
Richtlinie für deutsche BIC-Nummern 87
137
Richtlinie für deutsche Führerscheinnummern 87
Richtlinie für deutsche IBAN-Nummern 87
Richtlinie für deutsche Personalausweisnummern 88
Richtlinie für deutsche Umsatzsteuernummern 88
Richtlinie für französische IBAN-Nummern 86
Richtlinie für französische Personalausweisnummern 87
Richtlinie für italienische Führerscheinnummern 90
Richtlinie für italienische IBAN-Nummern 90
Richtlinie für italienische Personalausweisnummern 90
Richtlinie für US-Führerscheinnummern 97
Texas SB-122 96
US-Sozialversicherungsnummern 97
Utah SB-69 97
Vermont SB-284 98
Washington SB-6043 98
C
Content Blade für Führerscheinnummern aus
Massachusetts 109
Content Blades
Content Blade für niederländische Personalausweisnummern 111
North Dakota, Content Blade für Führerscheinnummern 113
ABA Routing-Nummer 98
Content Blade für American Express 100
Content Blade für Aufnahme- und Entlassungsdatum 99
Content Blade für australische Firmennummer
(ACN) 100
Content Blade für australische Geschäftsnummern (ABN) 100
Content Blade für australische Medicare-Kartennummer 101
Content Blade für australische Steuernummern 101
Content Blade für Bankkontonummern aus
Australien 100
Content Blade für Begriffe im Zusammenhang
mit geschützten Gesundheitsdaten 114
Content Blade für benutzerdefinierte Kontonummern 102
Content Blade für britische IBAN-Nummern 118
Content Blade für britische Reisepassnummern 119
138
Content Blade für das formale Muster britischer
NINO-Nummern 118
Content Blade für das NDC Formulas-Wörterbuch 110
Content Blade für das Verfahrensverzeichnis 106
Content Blade für Daten des Kreditkartenmagnetstreifens 102
Content Blade für deutsche BIC-Nummern 104
Content Blade für deutsche Personalausweisnummern 104
Content Blade für deutsche Reisepassnummern 104
Content Blade für deutsche Umsatzsteuernummern 105
Content Blade für die französische Personalausweisnummer 103
Content Blade für die spanische Personalausweisnummer 116
Content Blade für europäische Debitkartennummern 102
Content Blade für formatierte SIN 115
Content Blade für formatierte SSN 115
Content Blade für französische BIC-Nummern 103
Content Blade für französische Umsatzsteuernummern 103
Content Blade für Führerscheine aus Alabama 99
Content Blade für Führerscheine aus Alaska 99
Content Blade für Führerscheine aus Alberta 99
Content Blade für Führerscheine aus Arizona 100
Content Blade für Führerscheine aus Arkansas 98, 100
Content Blade für Führerscheine aus Manitoba 108
Content Blade für Führerscheine aus Neufundland und Labrador 112
Content Blade für Führerscheine aus New
Brunswick 111
Content Blade für Führerscheine aus Nova Scotia 113
Content Blade für Führerscheine aus Ontario 113
Content Blade für Führerscheine aus Prince Edward Island 114
Content Blade für Führerscheine aus Quebec 114
Content Blade für Führerscheine aus Saskatchewan 115
VMware, Inc.
Index
Colorado 101
Connecticut 101
Delaware 102
den Niederlanden 110
Deutschland 104
Florida 103
Frankreich 103
Georgia 103
Großbritannien 118
Hawaii 105
Idaho 106
Content Blade für Führerscheinnummern aus Illinois 106
Indiana 106
Iowa 106
Italien 106
Kalifornien 101
Kanada 101
Kansas 108
Kentucky 108
Louisiana 108
Maine 108
Maryland 109
Michigan 109
Minnesota 109
Mississippi 109
Missouri 109
Montana 110
VMware, Inc.
Nebraska 110
New Hampshire 112
New Jersey 112
New Mexico 112
New York 112
North Carolina 113
Ohio 113
Oklahoma 113
Oregon 113
Pennsylvania 114
Rhode Island 115
South Carolina 116
South Dakota 116
Tennessee 117
Utah 119
Virginia 119
Washington 119
Wisconsin 119
Wyoming 120
Content Blade für Gruppenversicherungsnummern 105
Content Blade für Indexnummern von in Neuseeland niedergelassenen Fachkräften im Gesundheitswesen 112
Content Blade für italienische IBAN-Nummern 107
Content Blade für italienische Personalausweisnummern 105
Content Blade für neuseeländische NHI-Nummern (National Health Index) 112
Content Blade für niederländische IBAN-Nummern 110
Content Blade für niederländische Reisepassnummern 111
Content Blade für Patientenidentifikationsnummern 114
139
Content Blade für schwedische IBAN-Nummern 116
Content Blade für schwedische Reisepassnummern 117
Content Blade für Sozialversicherungsnummern aus Kanada 101
Content Blade für Sozialversicherungsnummern aus Spanien 116
Content Blade für spanische Reisepassnummern 116
Content Blade für unformatierte ITIN 107
Content Blade für unformatierte SIN 115
Content Blade für unformatierte SSN 116
Content Blade für Visa-Kartennummer 119
Neuseeländische Steuernummer 112
D
Daten
Planen von Sicherungen 30
Sicherungen bei Bedarf 29
Datensicherheit,Benutzerrollen 76
Datensicherheit,Richtlinie,Bestimmungen 76
Datenverkehrsanalyse, Datumsbereich 56
Datenverkehrstatistiken für eine vShield App-Instanz 54
Datum 19
Datumsbereich für Flow Monitoring 56
Deinstallieren
vShield App 37
vShield Edge 37
vShield Endpoint-Modul 38
Dienste
DNS 18
NTP 19
DNS 18
E
Ereignisse
Senden an Syslog 53
Syslog-Format 35
vShield App 34
vShield Manager 33
Ereignisse für vShield Endpoint 72
Erzwingen der Synchronisierung 54
F
Fehlerbehebung
Portgruppenisolierung, Probleme 128
Probleme bei der Ausführung 126
vShield Edge-Probleme 132
140
vShield Endpoint-Probleme 133
vShield Manager-Installation 125
Firewall
App Firewall, grundlegende Informationen 61
Hinzufügen von L4-Regeln 66
Hinzufügen von Regeln über Flow Monitoring 58
Löschen von Regeln 66
Planen der Regelerzwingung 63
Flow Monitoring
Anzeigen des Berichts 57
Anzeigen einer bestimmten Anwendung 56
Datumsbereich 56
grundlegende Informationen 55
Hinzufügen einer App Firewall-Regel 58
Löschen aller aufgezeichneten Flow-Daten 58
Flow-Analyse, Datumsbereich 56
G
GUI, Anmeldung 13
H
Hierarchie von App Firewall-Regeln 62
Hostalarme für vShield Endpoint 72
I
Installieren, Updates 27
K
Kennwort 25
L
L2-/L3-Regeln, grundlegende Informationen 62
L4-Regeln
hinzufügen 66
Lastausgleichsdienst 50
Löschen eines Benutzers 26
N
Namespace 61
NAT 44
Netzwerk, Ansicht 14
Neubereitstellung von vShield Edge 51
Neustarten einer vShield App 54
NTP 19
P
Planen von Sicherungen 30
Plug-In 18
Protokolle
technischer Support 19
Überwachungsprotokoll 35, 65
VMware, Inc.
Index
R
U
Regeln
Hinzufügen von L4-Regeln zur App Firewall 66
Löschen von App Firewall-Regeln 66
Regeln auf Clusterebene 62
Regeln mit hohem Vorrang für das Datencenter 62
Regeln mit niedrigem Vorrang für das Datencenter 62
Rollen und Rechte, grundlegende Informationen 23
Überwachungsmeldungen für vShield Endpoint 73
Überwachungsprotokolle 35, 65
Uhrzeit 19
Update-Status 27
Update-Verlauf 28
Updates
installieren 27
Update-Status 27
Update-Verlauf 28
vShield Edge 51
S
Seriennummer von vShield Manager 19
Sichere Portgruppen, Ansicht 14
Sichere Portgruppenregeln 62
Sicherheitsgruppen
hinzufügen 65
Sicherungen
bei Bedarf 29
planen 30
wiederherstellen 31
SpoofGuard 67
SSL-Zertifikat 20
Standardregeln 62
Starten oder Anhalten von vShield Edge-Diensten 50
Status
von Updates 27
vShield App 54
vShield Edge 39
vShield Endpoint 71
vShield Manager 19
SVM-Alarme für vShield Endpoint 72
Synchronisieren einer vShield App-Instanz 54
Synchronisierung mit vCenter 17
syslog, vShield Edge 40
Syslog-Format 35
Syslog-Server 53
Systemereignisse 33
Systemstatus
Datenverkehrstatistiken 54
Neustart 54
Systemzeit 19
T
Technischer Support, Protokoll 19
VMware, Inc.
V
Verbindungsherstellung mit vCenter Server 17
Verlauf von Updates 28
VPN
Dienst konfigurieren 47
Konfigurieren des Authentifizierungszertifikats 48
Peer-Site hinzufügen 48
verwalten 47
vShield
vShield App 9
vShield Edge 9
vShield Endpoint 9
vShield Manager 9
vShield App
Benachrichtigung bei Ereignissen 34
Datenverkehrstatistiken 54
Deinstallieren 37
Grundlegende Informationen 9
Neustart 54
Senden von Ereignissen an Syslog-Server 53
Systemstatus 54
vShield Data Security
Benutzerrollen 76
Berichte 79
Prüfen 79
Richtlinie 76
vShield Edge
Aktualisieren der Software 51
Deinstallieren 37
DHCP 45
Firewallregeln
Anzeige nach Typ 43
bearbeiten 42
hinzufügen 41
löschen 43
141
Priorität ändern 43
verwalten 40
Hinzufügen von NAT-Regeln 44
Lastausgleichsdienst 50
Starten oder Anhalten von Diensten 50
Status 39
syslog 40
VPN 47
vShield Endpoint
Alarme 72
Aufheben der Registrierung einer SVM 38
Deinstallieren 38
Ereignisse 72
Hostalarme 72
Status 71
SVM-Alarme 72
Überwachungsmeldungen 73
vShield Manager
Anmeldung 13
Benachrichtigung bei Ereignissen 33
Benutzeroberfläche, Bereiche 14
Bestandsliste 14
Datum und Uhrzeit 19
DNS 18
NTP 19
Planen einer Sicherung 30
Seriennummer 19
Sicherungen bei Bedarf 29
SSL-Zertifikat 20
Status 19
Support 19
Synchronisierung mit vCenter Server 17
Systemereignisse 33
vSphere-Plug-In 18
vSphere-Plug-In 18
W
Wiederherstellen von Sicherungen 31
142
VMware, Inc.

vShield-Administratorhandbuch

Transcription

Similar documents

vShield-Administratorhandbuch - vShield Manager 5.0.1

vShield-Administratorhandbuch - vShield Manager 5.5

Anhang I - Fahrerlaubnisrecht

Einreisegenehmigungsverfahren "ESTA

Neuer EU-Führerschein ab 19. Jänner 2013

Benutzerhandbuch für VMware vCenter Converter Standalone

Installations

SAN-Konfigurationshandbuch (für Fibre-Channel)

Rundreise durch Myanmar Aus dem Tagebuch

Abwehr von Insider-Attacken: Wie Unternehmen ihre

porträt - Arbido