vShield-Administratorhandbuch
Transcription
vShield-Administratorhandbuch
vShield-Administratorhandbuch vShield Manager 5.0 vShield App 5.0 vShield Edge 5.0 vShield Endpoint 5.0 Dieses Dokument unterstützt die aufgeführten Produktversionen sowie alle folgenden Versionen, bis das Dokument durch eine neue Auflage ersetzt wird. Die neuesten Versionen dieses Dokuments finden Sie unter http://www.vmware.com/de/support/pubs. DE-000694-00 vShield-Administratorhandbuch Die neueste technische Dokumentation finden Sie auf der VMware-Website unter: http://www.vmware.com/de/support/pubs/ Auf der VMware-Website finden Sie auch die aktuellen Produkt-Updates. Falls Sie Anmerkungen zu dieser Dokumentation haben, senden Sie Ihre Kommentare und Vorschläge an: [email protected] Copyright © 2010, 2011 VMware, Inc. Alle Rechte vorbehalten. Dieses Produkt ist durch Urheberrechtsgesetze, internationale Verträge und mindestens eines der unter http://www.vmware.com/go/patents-de aufgeführten Patente geschützt. VMware ist eine eingetragene Marke oder Marke der VMware, Inc. in den USA und/oder anderen Ländern. Alle anderen in diesem Dokument erwähnten Bezeichnungen und Namen sind unter Umständen markenrechtlich geschützt. VMware, Inc. 3401 Hillview Ave. Palo Alto, CA 94304 www.vmware.com 2 VMware Global, Inc. Zweigniederlassung Deutschland Freisinger Str. 3 85716 Unterschleißheim/Lohhof Germany Tel.: +49 (0) 89 3706 17000 Fax: +49 (0) 89 3706 17333 www.vmware.com/de VMware, Inc. Inhalt Informationen zu diesem Handbuch 7 1 Überblick über vShield 9 Grundlegendes zu vShield-Komponenten 9 Migration von vShield-Komponenten 11 Grundlegendes zu VMware Tools auf vShield-Komponenten 12 Erforderliche Ports für die vShield-Kommunikation 12 2 Grundlegende Informationen zur vShield Manager-Benutzeroberfläche 13 Anmelden bei der vShield Manager-Benutzeroberfläche 13 Grundlegendes zur vShield Manager-Benutzeroberfläche 14 3 Einstellungen für das Managementsystem 17 Herstellen einer Verbindung zu vCenter Server 17 Registrieren von vShield Manager als vSphere Client-Plug-In 18 Festlegen von DNS-Diensten 18 Festlegen von Datum und Uhrzeit für vShield Manager 19 Herunterladen eines Protokolls für den technischen Support von einer Komponente 19 Anzeigen des vShield Manager-Status 19 Hinzufügen eines SSL-Zertifikats zum Authentifizieren des vShield Manager-Webdiensts 20 4 Benutzer-Management 23 Verwalten von Benutzerkonten 23 Verwalten des Standardbenutzerkontos 24 Fügen Sie ein Benutzerkonto hinzu 24 Bearbeiten eines Benutzerkontos 25 Ändern einer Benutzerrolle 26 Deaktivieren oder Aktivieren eines Benutzerkontos Löschen eines Benutzerkontos 26 26 5 Aktualisieren von Systemsoftware 27 Anzeigen der aktuellen Systemsoftware Hochladen eines Updates 27 Anzeigen des Update-Verlaufs 28 27 6 Sichern von vShield Manager-Daten 29 Sichern von vShield Manager-Daten bei Bedarf 29 Planen einer Sicherung von vShield Manager-Daten 30 Wiederherstellen einer Sicherung 31 VMware, Inc. 3 vShield-Administratorhandbuch 7 Systemereignisse und Überwachungsprotokolle 33 Anzeigen des Systemereignisberichts 33 Ereignisse für virtuelle vShield Manager-Appliance 33 vShield App-Ereignisse 34 Grundlegendes zum Syslog-Format 35 Anzeigen des Überwachungsprotokolls 35 8 Deinstallieren von vShield-Komponenten 37 Deinstallieren einer virtuellen vShield App-Appliance 37 Deinstallieren von vShield Edge aus einer Portgruppe 37 Deinstallieren eines vShield Endpoint-Moduls 38 9 vShield Edge-Management 39 Anzeigen des Status einer vShield Edge-Instanz 39 Angeben eines Remote-Syslog-Servers 40 Verwalten der vShield Edge-Firewall 40 Verwalten von NAT-Regeln 44 Verwalten des DHCP-Diensts 45 Verwalten des VPN-Diensts 47 Hinzufügen einer statischen Route 49 Verwalten des Lastausgleichsdiensts 50 Starten oder Anhalten von vShield Edge-Diensten 50 Upgrade der vShield Edge-Software 51 Erneutes Bereitstellen von vShield Edge 51 10 vShield App-Management 53 Senden von vShield App-Systemereignissen an einen Syslog-Server 53 Anzeigen des aktuellen Systemstatus einer vShield App-Instanz 54 11 vShield App Flow Monitoring 55 Grundlegendes zur Flow Monitoring-Anzeige 55 Ändern des Datumsbereichs der Flow Monitoring-Diagramme 56 Anzeigen einer bestimmten Anwendung in den Flow Monitoring-Diagrammen 56 Anzeigen des Flow Monitoring-Berichts 57 Löschen aller aufgezeichneten Flow-Daten 58 12 vShield App Firewall-Management 61 Verwenden der App Firewall 61 Arbeiten mit Anwendungen 63 Gruppieren von Objekten 65 Arbeiten mit Anwendungs-Firewallregeln Verwenden von SpoofGuard 67 66 13 vShield Endpoint-Ereignisse und -Alarme 71 Anzeigen des vShield Endpoint-Status 71 vShield Endpoint-Alarme 72 vShield Endpoint-Ereignisse 72 Überwachungsmeldungen für vShield Endpoint 73 4 VMware, Inc. Inhalt 14 vShield Data Security Management 75 vShield Data Security-Benutzerrollen 76 Definieren einer Datensicherheitsrichtlinie 76 Bearbeiten einer Datensicherheitsrichtlinie 78 Ausführen einer Datensicherheitsprüfung 79 Analysieren von Ergebnissen 79 Erstellen von regulären Ausdrücken 81 Verfügbare Bestimmungen 81 Verfügbare Content Blades 98 Unterstützte Dateiformate 120 15 Fehlerbehebung 125 Fehlerbehebung für die vShield Manager-Installation 125 Fehlerbehebung für Probleme bei der Ausführung 126 Fehlerbehebung für die Portgruppenisolierung 128 Beheben von vShield Edge-Problemen 132 Fehlerbehebung für vShield Endpoint 133 Fehlerbehebung für vShield Data Security 135 Index 137 VMware, Inc. 5 vShield-Administratorhandbuch 6 VMware, Inc. Informationen zu diesem Handbuch ® Im vorliegenden vShield-Administratorhandbuch wird beschrieben, wie Sie das VMware vShield™-System unter Verwendung von vShield Manager-Benutzeroberfläche, vSphere Client-Plug-In und Befehlszeilenschnittstelle installieren, konfigurieren, überwachen und warten. Zu den bereitgestellten Informationen gehören Schrittanleitungen für die Konfiguration sowie empfohlene Vorgehensweisen. Zielgruppe Dieses Handbuch ist für alle Benutzer gedacht, die vShield in einer VMware vCenter-Umgebung installieren oder verwenden möchten. Die Informationen in diesem Handbuch sind für erfahrene Systemadministratoren bestimmt, die mit der Technologie virtueller Maschinen und dem Betrieb virtueller Datencenter vertraut sind. In diesem Dokument wird vorausgesetzt, dass Sie bereits mit VMware Infrastructure 4.x, einschließlich VMware ESX, vCenter Server und vSphere Client, vertraut sind. VMware Technical Publications – Glossar VMware Technical Publications stellt ein Glossar mit Begriffen bereit, mit denen Sie möglicherweise noch nicht vertraut sind. Definitionen von Begriffen, die in der technischen Dokumentation von VMware verwendet werden, finden Sie unter http://www.vmware.com/support/pubs. Feedback zu diesem Dokument VMware freut sich über Ihre Anregungen zur Verbesserung der Dokumentation. Bitte senden Sie Ihre Kommentare und Anregungen an [email protected]. Technischer Support und Schulungsressourcen Ihnen stehen die folgenden Ressourcen für die technische Unterstützung zur Verfügung. Die aktuelle Version dieses Handbuchs sowie weitere Handbücher finden Sie auf folgender Webseite: http://www.vmware.com/support/pubs. Online- und TelefonSupport VMware, Inc. Auf der folgenden Webseite können Sie über den Onlinesupport technische Unterstützung anfordern, Ihre Produkt- und Vertragsdaten abrufen und Produkte registrieren: http://www.vmware.com/support. 7 vShield-Administratorhandbuch Kunden mit entsprechenden Supportverträgen erhalten über den Telefonsupport schnelle Hilfe bei Problemen der Prioritätsstufe 1. Rufen Sie die folgende Webseite auf: http://www.vmware.com/support/phone_support.html. 8 Support-Angebote Informationen zum Support-Angebot von VMware und dazu, wie es Ihre geschäftlichen Anforderungen erfüllen kann, finden Sie unter http://www.vmware.com/support/services. VMware Professional Services Die VMware Education Services-Kurse umfassen umfangreiche praktische Übungen, Fallbeispiele und Kursmaterialien, die bei der praktischen Arbeit als Nachschlagewerke dienen. Kurse werden am Kundenstandort, in einer Kursraumumgebung und live im Internet angeboten. Für Pilotprogramme vor Ort und die Best Practices für die Implementierung verfügt VMware Consulting Services über Angebote, die Sie bei der Beurteilung, Planung, Erstellung und Verwaltung Ihrer virtuellen Umgebung unterstützen. Informationen zu Schulungen, Zertifizierungsprogrammen und Consulting-Diensten finden Sie auf der folgenden Webseite: http://www.vmware.com/services. VMware, Inc. Überblick über vShield 1 ® VMware vShield ist eine Suite aus virtuellen Sicherheits-Appliances, die für die VMware vCenter Serverund VMware ESX-Integration entwickelt wurden. vShield ist eine wichtige Sicherheitskomponente zum Schutz von virtualisierten Datencentern vor Angriffen und Missbrauch, die Sie beim Erreichen Ihrer Compliance-Zielsetzungen unterstützt. In diesem Handbuch wird vorausgesetzt, dass Sie über Administratorzugriff für das gesamte vShield-System verfügen. Die anzeigbaren Ressourcen in der vShield Manager-Benutzeroberfläche können basierend auf der zugewiesenen Rolle eines Benutzers, den gewährten Rechten und der Lizenzierung variieren. Wenn Sie auf einen Bildschirm nicht zugreifen oder eine bestimmte Aufgabe nicht ausführen können, wenden Sie sich an Ihren vShield-Administrator. n Grundlegendes zu vShield-Komponenten auf Seite 9 vShield umfasst Komponenten und Dienste, die für den Schutz von virtuellen Maschinen unerlässlich sind. vShield kann über eine webbasierte Benutzeroberfläche, ein vSphere Client-Plug-In, eine Befehlszeilenschnittstelle und REST API konfiguriert werden. n Migration von vShield-Komponenten auf Seite 11 Virtuelle vShield Manager- und vShield Edge-Appliances können basierend auf DRS- und HA-Richtlinien automatisch oder manuell migriert werden. vShield Manager muss immer ausgeführt werden, daher müssen Sie vShield Manager migrieren, wenn der aktuelle ESX-Host neu gestartet oder einer Wartung unterzogen werden muss. n Grundlegendes zu VMware Tools auf vShield-Komponenten auf Seite 12 Die virtuellen vShield-Appliances umfassen VMware Tools. Die VMware Tools-Version einer virtuellen vShield-Appliance darf weder aktualisiert noch deinstalliert werden. n Erforderliche Ports für die vShield-Kommunikation auf Seite 12 Grundlegendes zu vShield-Komponenten vShield umfasst Komponenten und Dienste, die für den Schutz von virtuellen Maschinen unerlässlich sind. vShield kann über eine webbasierte Benutzeroberfläche, ein vSphere Client-Plug-In, eine Befehlszeilenschnittstelle und REST API konfiguriert werden. Zur Ausführung von vShield benötigen Sie eine virtuelle vShield Manager-Maschine und mindestens ein vShield App- oder vShield Edge-Modul. VMware, Inc. 9 vShield-Administratorhandbuch vShield Manager vShield Manager ist die zentrale vShield-Komponente für das Netzwerkmanagement. Diese Komponente wird mithilfe einer OVA-Datei und unter Verwendung von vSphere Client als virtuelle Maschine installiert. Mit der vShield Manager-Benutzeroberfläche können Sie vShield-Komponenten installieren, konfigurieren und warten. vShield Manager kann auf einem anderen ESX-Host als die vShield App- und vShield Edge-Module ausgeführt werden. vShield Manager nutzt das VMware Infrastructure-SDK, um eine Kopie der vSphere Client-Bestandsliste anzuzeigen. Weitere Informationen zur Verwendung der vShield Manager-Benutzeroberfläche finden Sie unter Kapitel 2, „Grundlegende Informationen zur vShield Manager-Benutzeroberfläche“, auf Seite 13. vShield Edge vShield Edge bietet Netzwerk-Edge-Sicherheits- und -Gateway-Dienste zur Isolierung der virtuellen Maschi® nen in einer Portgruppe, vDS-Portgruppe oder einem Cisco Nexus 1000V-Switch. vShield Edge verbindet isolierte Stub-Netzwerke mit freigegebenen (Uplink-)Netzwerken durch die Bereitstellung von gängigen Gateway-Diensten wie DHCP, VPN, NAT und Lastausgleich. Gängige Implementierungen von vShield Edge umfassen in DMZ-, VPN Extranets- und Multi-Tenant-Cloud-Umgebungen, in denen vShield Edge PerimeterSicherheit für virtuelle Datencenter (VDCs) bietet. HINWEIS Sie müssen eine Evaluierungslizenz oder eine Lizenz für die Vollversion erwerben, um vShield Edge nutzen zu können. Standard-vShield EdgeDienste (einschließlich vCloud Director) Erweiterte vShield EdgeDienste n Firewall: Die unterstützten Regeln umfassen die IP 5-tuple-Konfiguration mit IP- und Port-Bereichen für die statusbehaftete Inspektion für TCP, UDP und ICMP. n Netzwerkadressübersetzung (NAT): Separate Steuerelemente für Quellund Ziel-IP-Adressen sowie TCP- und UDP-Portübersetzung. n Dynamic Host Configuration Protocol (DHCP): Konfiguration von IPPools, Gateways, DNS-Servern und Suchdomänen. n Virtuelles privates Site-to-Site-Netzwerk (VPN): Verwendet standardisierte IPsec-Protokolleinstellungen für die Interoperabilität mit allen großen Firewall-Anbietern. n Lastausgleich: Einfach und dynamisch konfigurierbare IP-Adressen und Servergruppen. vShield Edge unterstützt den Syslog-Export an Remote-Server für alle Dienste. vShield App vShield App ist eine interne Firewall auf vNIC-Ebene, mit der Sie Richtlinien für die Zugriffssteuerung unabhängig von der Netzwerktopologie erstellen können. Eine vShield App-Instanz überwacht den gesamten eingehenden und ausgehenden Datenverkehr für einen ESX-Host, einschließlich von Datenverkehr zwischen virtuellen Maschinen in derselben Portgruppe. vShield App umfasst die Datenverkehrsanalyse sowie die Erstellung von containerbasierten Richtlinien. vShield App wird als Hypervisor-Modul und virtuelle Appliance für Firewall-Dienste installiert. vShield App wird mit ESX-Hosts über VMsafe-APIs integriert und arbeitet mit VMware vSphere-Plattformfunktionen wie DRS, vMotion, DPM und dem Wartungsmodus. 10 VMware, Inc. Kapitel 1 Überblick über vShield vShield App bietet Firewall-Funktionen zwischen virtuellen Maschinen, indem ein Firewall-Filter auf jedem virtuellen Netzwerkadapter platziert wird. Der Firewall-Filter arbeitet transparent und erfordert keine Änderungen am Netzwerk oder an IP-Adressen, um Sicherheitszonen zu erstellen. Sie können Zugriffsregeln mithilfe von vCenter-Containern wie Datencentern, Clustern, Ressourcenpools und vApps sowie mithilfe von Netzwerkobjekten wie Portgruppen und VLANs erstellen, um die Anzahl von Firewall-Regeln zu reduzieren und eine einfachere Nachverfolgung der Regeln zu ermöglichen. Sie sollten vShield App-Instanzen auf allen ESX-Hosts innerhalb eines Clusters installieren, damit VMware vMotion™-Vorgänge ausgeführt werden können und virtuelle Maschinen geschützt bleiben, wenn sie zwischen ESX-Hosts migriert werden. Standardmäßig kann eine virtuelle vShield App-Appliance nicht mit vMotion verschoben werden. Die Flow Monitoring-Funktion zeigt zugelassene und blockierte Netzwerk-Flows auf der Anwendungsprotokollebene an. Sie können diese Informationen verwenden, um den Datenverkehr im Netzwerk zu überwachen und Fehler in den operativen Vorgängen zu beheben. HINWEIS Sie müssen eine Evaluierungslizenz oder eine Lizenz für die Vollversion erwerben, um vShield App nutzen zu können. vShield Endpoint vShield Endpoint lagert die Verarbeitung von Antivirus- und Anti-Malware-Agenten auf eine dedizierte sichere virtuelle Appliance aus, die von VMware-Partnern bereitgestellt wird. Da die sichere virtuelle Appliance (im Unterschied zu einer virtuellen Gastmaschine) nicht offline geschaltet wird, kann sie kontinuierlich Antivirus-Signaturen aktualisieren und dabei den virtuellen Maschinen auf dem Host unterbrechungsfreien Schutz bieten. Zudem werden neue virtuelle Maschinen (oder vorhandene virtuelle Offline-Maschinen) sofort durch die aktuellsten Antivirus-Signaturen geschützt, wenn sie wieder online geschaltet werden. vShield Endpoint wird als Hypervisor-Modul und virtuelle Sicherheits-Appliance von einem DrittanbieterVirenschutzanbieter (VMware-Partner) auf einem ESX-Host installiert. HINWEIS Sie müssen eine Evaluierungslizenz oder eine Lizenz für die Vollversion erwerben, um vShield Endpoint nutzen zu können. vShield Data Security vShield Data Security bietet Sichtbarkeit in vertrauliche Daten, die in den virtualisierten und Cloud-Umgebungen Ihres Unternehmens gespeichert sind. Auf Basis der von vShield Data Security gemeldeten Verstöße können Sie sicherzustellen, dass vertrauliche Daten angemessen geschützt und weltweit die jeweils geltenden Bestimmungen eingehalten werden. Migration von vShield-Komponenten Virtuelle vShield Manager- und vShield Edge-Appliances können basierend auf DRS- und HA-Richtlinien automatisch oder manuell migriert werden. vShield Manager muss immer ausgeführt werden, daher müssen Sie vShield Manager migrieren, wenn der aktuelle ESX-Host neu gestartet oder einer Wartung unterzogen werden muss. Ein vShield Edge-System muss immer mit der zugehörigen sicheren Portgruppe verschoben werden, um Sicherheitseinstellungen und -dienste aufrechtzuerhalten. Dienste für vShield App und Portgruppenisolierung können nicht auf einen anderen ESX-Host verschoben werden. Wenn der ESX-Host, auf dem sich diese Dienste befinden, einer manuellen Wartung unterzogen werden muss, müssen Sie das Kontrollkästchen [Move powered off and suspended virtual machines to other hosts in the cluster] deaktivieren, damit diese virtuellen Appliances nicht migriert werden. Diese Dienste werden neu gestartet, wenn der ESX-Host wieder online ist. VMware, Inc. 11 vShield-Administratorhandbuch Grundlegendes zu VMware Tools auf vShield-Komponenten Die virtuellen vShield-Appliances umfassen VMware Tools. Die VMware Tools-Version einer virtuellen vShield-Appliance darf weder aktualisiert noch deinstalliert werden. Erforderliche Ports für die vShield-Kommunikation Für vShield Manager müssen die folgenden Ports geöffnet werden: 12 n Zugriff auf ESX-Hosts: 902/TCP und 903/TCP n REST API: 80/TCP und 443/TCP n Grafische Benutzeroberfläche: 80/TCP bis 443/TCP und Initiierung von Verbindungen mit vSphere vCenter-SDK. n SSH-Zugriff auf die Befehlszeilenschnittstelle (standardmäßig nicht aktiviert): 22/TCP VMware, Inc. Grundlegende Informationen zur vShield Manager-Benutzeroberfläche 2 Die vShield Manager-Benutzeroberfläche bietet Konfigurations- und Datenanzeigeoptionen speziell zur vShield-Verwendung. Durch Verwendung des VMware Infrastructure-SDK zeigt vShield Manager Ihre vSphere Client-Bestandsliste an, damit Sie eine vollständige Sicht auf Ihre vCenter-Umgebung erhalten. HINWEIS Sie können vShield Manager als vSphere Client-Plug-In registrieren. Auf diese Weise können Sie vShield-Komponenten über vSphere Client konfigurieren. Weitere Informationen finden Sie unter „Registrieren von vShield Manager als vSphere Client-Plug-In“, auf Seite 18. n Anmelden bei der vShield Manager-Benutzeroberfläche auf Seite 13 Sie greifen über einen Webbrowser auf die vShield Manager-Verwaltungsoberfläche zu. n Grundlegendes zur vShield Manager-Benutzeroberfläche auf Seite 14 Die vShield Manager-Benutzeroberfläche ist in zwei Bereiche unterteilt: die Bestandsliste und das Konfigurationsfenster. Sie wählen eine Ansicht und eine Ressource in der Bestandsliste aus, um die verfügbaren Detailinformationen und Konfigurationsoptionen im Konfigurationsfenster zu öffnen. Anmelden bei der vShield Manager-Benutzeroberfläche Sie greifen über einen Webbrowser auf die vShield Manager-Verwaltungsoberfläche zu. Vorgehensweise 1 Öffnen Sie ein Webbrowser-Fenster und geben Sie die IP-Adresse an, die dem vShield Manager zugewiesen ist. Die vShield Manager-Benutzeroberfläche wird in einer SSH-Sitzung geöffnet. 2 Akzeptieren Sie das Sicherheitszertifikat. HINWEIS Informationen zur Verwendung eines SSL-Zertifikats für die Authentifizierung finden Sie unter „Hinzufügen eines SSL-Zertifikats zum Authentifizieren des vShield Manager-Webdiensts“, auf Seite 20. Der Anmeldebildschirm von vShield Manager wird angezeigt. 3 Melden Sie sich bei der vShield Manager-Benutzeroberfläche mit dem Benutzernamen admin und dem Kennwort default an. Sie sollten das Standardkennwort baldmöglichst ändern, um dessen unbefugtem Gebrauch vorzubeugen. Siehe „Bearbeiten eines Benutzerkontos“, auf Seite 25. 4 VMware, Inc. Klicken Sie auf [Log In] . 13 vShield-Administratorhandbuch Grundlegendes zur vShield Manager-Benutzeroberfläche Die vShield Manager-Benutzeroberfläche ist in zwei Bereiche unterteilt: die Bestandsliste und das Konfigurationsfenster. Sie wählen eine Ansicht und eine Ressource in der Bestandsliste aus, um die verfügbaren Detailinformationen und Konfigurationsoptionen im Konfigurationsfenster zu öffnen. Wenn Sie auf ein Bestandslistenobjekt klicken, werden im Konfigurationsfenster spezifische Registerkarten für das Objekt angezeigt. n vShield Manager-Bestandsliste auf Seite 14 Die Hierarchie der vShield Manager-Bestandsliste bildet die vSphere Client-Bestandslistenhierarchie ab. n vShield Manager-Konfigurationsfenster auf Seite 15 Das vShield Manager-Konfigurationsfenster zeigt die Einstellungen, die basierend auf der ausgewählten Bestandslistenressource und der Ausgabe der vShield-Operation konfiguriert werden können. Für jede Ressource werden mehrere Registerkarten angezeigt, wobei jede Registerkarte Informationen oder Konfigurationsformulare enthält, die der jeweiligen Ressource entsprechen. vShield Manager-Bestandsliste Die Hierarchie der vShield Manager-Bestandsliste bildet die vSphere Client-Bestandslistenhierarchie ab. Zu den angezeigten Ressourcen zählen Stammordner, Datencenter, Cluster, Portgruppen, ESX-Hosts und virtuelle Maschinen – einschließlich der installierten vShield App- und vShield Edge-Module. Als Ergebnis bietet vShield Manager in Kombination mit der vCenter Server-Bestandsliste eine vollständige Ansicht Ihrer virtuellen Bereitstellung. vShield Manager ist die einzige virtuelle Maschine, die nicht in der vShield ManagerBestandsliste angezeigt wird. vShield Manager-Einstellungen werden über die Ressource [Settings & Reports] oberhalb der Bestandsliste konfiguriert. Die Bestandsliste bietet mehrere Ansichten: „Hosts & Clusters“, „Networks“ und „Secured Port Groups“. Die Ansicht „Hosts & Clusters“ enthält die Datencenter, Cluster, Ressourcenpools und ESX-Hosts Ihrer Bestandsliste. Die Ansicht „Networks“ zeigt die VLAN-Netzwerke und Portgruppen in Ihrer Bestandsliste. In der Ansicht „Secured Port Groups“ werden die durch vShield Edge-Instanzen geschützten Portgruppen angezeigt. Die Ansichten „Hosts & Clusters“ und „Networks“ sind mit den gleichnamigen Ansichten im vSphere-Client konsistent. In den Bestandslisten von vShield Manager und vSphere Client werden für virtuelle Maschinen und vShieldKomponenten unterschiedliche Symbole verwendet. Zur Anzeige des Unterschieds zwischen vShield-Komponenten und virtuellen Maschinen sowie zwischen geschützten und nicht geschützten virtuellen Maschinen werden benutzerdefinierte Symbole verwendet. Tabelle 2-1. Symbole für virtuelle vShield-Maschinen in der vShield Manager-Bestandsliste Symbol Beschreibung Eine eingeschaltete vShield App-Instanz mit aktivem Schutzstatus. Eine ausgeschaltete vShield App-Instanz. Eine eingeschaltete virtuelle Maschine, die über vShield App geschützt wird. Eine ausgeschaltete virtuelle Maschine, die nicht über vShield App geschützt wird. 14 VMware, Inc. Kapitel 2 Grundlegende Informationen zur vShield Manager-Benutzeroberfläche n Aktualisieren der Bestandsliste auf Seite 15 Zum Aktualisieren der Ressourcenliste in der Bestandslistenansicht klicken Sie auf . Bei einer Aktualisierung werden aktuelle Ressourceninformationen von vCenter Server angefordert. Standardmäßig fordert vShield Manager alle fünf Minuten Ressourceninformationen von vCenter Server an. n Durchsuchen der Bestandsliste auf Seite 15 Zum Durchsuchen einer Bestandsliste nach einer spezifischen Ressource geben Sie eine Suchzeichenfolge in das Feld über der vShield Manager-Bestandsliste ein und klicken Sie auf . Aktualisieren der Bestandsliste Zum Aktualisieren der Ressourcenliste in der Bestandslistenansicht klicken Sie auf . Bei einer Aktualisierung werden aktuelle Ressourceninformationen von vCenter Server angefordert. Standardmäßig fordert vShield Manager alle fünf Minuten Ressourceninformationen von vCenter Server an. Durchsuchen der Bestandsliste Zum Durchsuchen einer Bestandsliste nach einer spezifischen Ressource geben Sie eine Suchzeichenfolge in das Feld über der vShield Manager-Bestandsliste ein und klicken Sie auf . vShield Manager-Konfigurationsfenster Das vShield Manager-Konfigurationsfenster zeigt die Einstellungen, die basierend auf der ausgewählten Bestandslistenressource und der Ausgabe der vShield-Operation konfiguriert werden können. Für jede Ressource werden mehrere Registerkarten angezeigt, wobei jede Registerkarte Informationen oder Konfigurationsformulare enthält, die der jeweiligen Ressource entsprechen. Da jede Ressource einem anderen Zweck dient, gelten einige Registerkarte nur für bestimmte Ressourcen. Darüber hinaus weisen einige Registerkarten eine zweite Optionenebene auf. VMware, Inc. 15 vShield-Administratorhandbuch 16 VMware, Inc. Einstellungen für das Managementsystem 3 vShield Manager muss mit vCenter Server und Diensten wie beispielsweise DNS und NTP kommunizieren können, um Details zur VMware Infrastructure-Bestandsliste bereitzustellen. Dieses Kapitel behandelt die folgenden Themen: n „Herstellen einer Verbindung zu vCenter Server“, auf Seite 17 n „Registrieren von vShield Manager als vSphere Client-Plug-In“, auf Seite 18 n „Festlegen von DNS-Diensten“, auf Seite 18 n „Festlegen von Datum und Uhrzeit für vShield Manager“, auf Seite 19 n „Herunterladen eines Protokolls für den technischen Support von einer Komponente“, auf Seite 19 n „Anzeigen des vShield Manager-Status“, auf Seite 19 n „Hinzufügen eines SSL-Zertifikats zum Authentifizieren des vShield Manager-Webdiensts“, auf Seite 20 Herstellen einer Verbindung zu vCenter Server Beim Herstellen einer Verbindung zu vCenter Server wird vShield Manager aktiviert, um Ihre VMware Infrastructure-Bestandsliste anzuzeigen. Vorgehensweise 1 Melden Sie sich beim vShield Manager an. Bei der ersten Anmeldung wird vShield Manager mit geöffneter Registerkarte [Configuration > vCenter] geöffnet. Wenn Sie die Registerkarte [vCenter] bereits zuvor konfiguriert haben, führen Sie die folgenden Schritte aus: a Klicken Sie in der vShield Manager-Bestandsliste auf [Settings & Reports] . b Klicken Sie auf die Registerkarte [Configuration] . Der Bildschirm [vCenter] wird angezeigt. 2 Geben Sie unterhalb von „vCenter Server Information“ im Feld [Server IP Address/Name] die IP-Adresse Ihrer vCenter Server-Instanz ein. 3 Geben Sie im Feld [Administrator User Name] Ihren Benutzernamen für die vSphere Client-Anmeldung ein. Dieses Benutzerkonto muss über Administratorzugriff verfügen. 4 Geben Sie das Kennwort für den Benutzernamen in das Feld [Password] ein. 5 Klicken Sie auf [Save] . VMware, Inc. 17 vShield-Administratorhandbuch vShield Manager stellt eine Verbindung mit vCenter Server her, meldet sich an und verwendet das VMware Infrastructure-SDK zum Auffüllen der vShield Manager-Bestandsliste. Die Bestandsliste wird im linken Bildschirmbereich angezeigt. Diese Ressourcenstruktur sollte mit Ihrer VMware Infrastructure-Bestandsliste übereinstimmen. vShield Manager erscheint nicht in der vShield Manager-Bestandsliste. Registrieren von vShield Manager als vSphere Client-Plug-In Die Option vSphere Plug-In ermöglicht es Ihnen, vShield Manager als vSphere Client-Plug-In zu registrieren. Nachdem das Plug-In registriert wurde, können Sie die vShield Manager-Benutzeroberfläche von vSphere Client aus öffnen. Vorgehensweise 1 Wenn Sie beim vSphere Client angemeldet sind, melden Sie sich ab. 2 Melden Sie sich beim vShield Manager an. 3 Klicken Sie im vShield Manager-Bestandslistenbereich auf [Settings & Reports] . 4 Klicken Sie auf die Registerkarte [Configuration] . Der Bildschirm [vCenter] wird angezeigt. 5 Klicken Sie unter [vSphere Plug-in] auf [Register] . Die Registrierung kann einige Minuten in Anspruch nehmen. 6 Melden Sie sich beim vSphere-Client an. 7 Wählen Sie einen ESX-Host aus. 8 Stellen Sie sicher, dass [vShield Install] als Registerkarte angezeigt wird. Weiter Sie können jetzt über vSphere Client vShield-Komponenten installieren und konfigurieren. Festlegen von DNS-Diensten Sie müssen beim vShield Manager-Setup mindestens einen DNS-Server angeben. Die angegebenen DNS-Server erscheinen in der vShield Manager-Benutzeroberfläche. In der vShield Manager-Benutzeroberfläche können Sie bis zu drei DNS-Server angeben, die vShield Manager für die Auflösung von IP-Adressen und Hostnamen verwenden kann. Vorgehensweise 1 Klicken Sie im vShield Manager-Bestandslistenbereich auf [Settings & Reports] . 2 Klicken Sie auf die Registerkarte [Configuration] . Der Bildschirm [vCenter] wird angezeigt. 3 Geben Sie unterhalb von [DNS Servers] im Feld [Primary DNS IP Address] eine IP-Adresse an, um den primären DNS-Server festzulegen. Dieser Server wird für alle Anforderungen zur Namensauflösung als erster kontaktiert. 18 4 (Optional) Geben Sie im Feld [Secondary DNS IP Address] eine IP-Adresse ein. 5 (Optional) Geben Sie im Feld [Tertiary DNS IP Address] eine IP-Adresse ein. 6 Klicken Sie auf [Save] . VMware, Inc. Kapitel 3 Einstellungen für das Managementsystem Festlegen von Datum und Uhrzeit für vShield Manager Sie können Datum, Uhrzeit und Zeitzone für vShield Manager festlegen, um Zeitstempel für Ereignisse und Daten zu erstellen. Darüber hinaus können Sie eine Verbindung mit einem NTP-Server angeben, um eine gemeinsame Netzwerkzeit festzulegen. Vorgehensweise 1 Klicken Sie im vShield Manager-Bestandslistenbereich auf [Settings & Reports] . 2 Klicken Sie auf die Registerkarte [Configuration] . 3 Klicken Sie auf [Date/Time] . 4 Geben Sie im Feld [Date and Clock] das Datum und die Uhrzeit im Format JJJJ-MM-TT HH:MM:SS an. 5 Geben Sie im Feld [NTP Server] die IP-Adresse Ihres NTP-Servers ein. Sie können den Hostnamen Ihres NTP-Servers angeben, wenn Sie DNS-Dienste eingerichtet haben. 6 Wählen Sie im Dropdown-Menü [Time Zone] die geeignete Zeitzone aus. 7 Klicken Sie auf [Save] . Herunterladen eines Protokolls für den technischen Support von einer Komponente Sie können das Systemprotokoll von einer vShield-Komponente auf Ihren PC herunterladen. Ein Systemprotokoll kann zur Behebung von Problemen bei der Ausführung verwendet werden. Vorgehensweise 1 Klicken Sie im vShield Manager-Bestandslistenbereich auf [Settings & Reports] . 2 Klicken Sie auf die Registerkarte [Configuration] . 3 Klicken Sie auf [Support] . 4 Klicken Sie unter [Tech Support Log Download] neben der gewünschten Komponente auf [Initiate] . Das Protokoll wird generiert und in vShield Manager heruntergeladen. Dieser Vorgang kann einige Sekunden in Anspruch nehmen. 5 Klicken Sie nach der Protokollerstellung auf den Link [Download] , um das Protokoll auf Ihren PC herunterzuladen. Das Protokoll wird komprimiert und weist die proprietäre Dateierweiterung .blsl auf. Weiter Sie können das Protokoll mit einem Dienstprogramm für die Dekomprimierung öffnen, indem Sie das Speicherverzeichnis für die Datei mit der Option [All Files] durchsuchen. Anzeigen des vShield Manager-Status vShield Manager zeigt die Nutzung der Systemressourcen an und enthält Details zur Softwareversion, den Lizenzstatus und die Seriennummer. Die Seriennummer muss zum Erhalt von Updates und Support beim technischen Support registriert werden. Vorgehensweise 1 Klicken Sie im vShield Manager-Bestandslistenbereich auf [Settings & Reports] . 2 Klicken Sie auf die Registerkarte [Configuration] . VMware, Inc. 19 vShield-Administratorhandbuch 3 Klicken Sie auf [Status] . Weiter Siehe „Anzeigen der aktuellen Systemsoftware“, auf Seite 27. Hinzufügen eines SSL-Zertifikats zum Authentifizieren des vShield Manager-Webdiensts Sie können ein SSL-Zertifikat generieren oder in vShield Manager importieren, um den vShield ManagerWebdienst zu authentifizieren und an den vShield Manager-Webserver gesendete Informationen zu verschlüsseln. Als empfohlene Vorgehensweise zur Gewährleistung der Sicherheit sollten Sie mit der Option zum Generieren eines Zertifikats einen privaten und einen öffentlichen Schlüssel generieren. Der private Schlüssel wird in vShield Manager gespeichert. Vorgehensweise 1 Klicken Sie im vShield Manager-Bestandslistenbereich auf [Settings & Reports] . 2 Klicken Sie auf die Registerkarte [Configuration] . 3 Klicken Sie auf [SSL Certificate] . 4 Füllen Sie unter [Generate Certificate Signing Request] die folgenden Felder des Formulars aus: 5 Option Aktion [Common Name] Geben Sie die IP-Adresse für den Standortnamen ein. Wenn die IP-Adresse der vShield Manager-Verwaltungsschnittstelle beispielsweise 192.168.1.10 lautet, geben Sie 192.168.1.10 ein. [Organization Unit] Geben Sie die Abteilung innerhalb des Unternehmens ein, die das Zertifikat anfordert. [Organization Name] Geben Sie den vollständigen eingetragenen Namen des Unternehmens ein. [City Name] Geben Sie den vollständigen Namen der Stadt ein, in der Ihr Unternehmen ansässig ist. [State Name] Geben Sie den vollständigen Namen des Bundeslands/Kantons ein, in dem Ihr Unternehmen ansässig ist. [Country Code] Geben Sie den zweistelligen Ländercode ein. Der Code für die Vereinigten Staaten lautet beispielsweise US. [Key Algorithm] Wählen Sie als Kryptografiealgorithmus entweder DSA oder RSA aus. [Key Size] Wählen Sie die Anzahl von Bits im ausgewählten Algorithmus. Klicken Sie auf [Generate] . Importieren eines SSL-Zertifikats Sie können ein bereits vorhandenes SSL-Zertifikat zur Verwendung durch vShield Manager importieren. Vorgehensweise 20 1 Klicken Sie im vShield Manager-Bestandslistenbereich auf [Settings & Reports] . 2 Klicken Sie auf die Registerkarte [Configuration] . 3 Klicken Sie auf [SSL Certificate] . 4 Klicken Sie unter Import Signed Certificate im Abschnitt Certificate File auf [Browse] , um nach der Datei zu suchen. 5 Wählen Sie in der Dropdown-Liste [Certificate Type] den Zertifikattyp aus. VMware, Inc. Kapitel 3 Einstellungen für das Managementsystem 6 Klicken Sie auf [Apply] . Das Zertifikat wird in vShield Manager gespeichert. VMware, Inc. 21 vShield-Administratorhandbuch 22 VMware, Inc. Benutzer-Management 4 Sicherheitsvorgänge werden häufig von mehreren Benutzern verwaltet. Das Management des gesamten Systems wird basierend auf logischen Kategorien an verschiedene Mitarbeiter delegiert. Zum Ausführen der Aufgaben sind jedoch nur diejenigen Benutzer berechtigt, die über die erforderlichen Rechte für bestimmte Ressourcen verfügen. Im Benutzerabschnitt können Sie die Aufgaben für das Ressourcen-Management an Benutzer delegieren, indem Sie die erforderlichen Rechte erteilen. Das Benutzer-Management über die vShield Manager-Benutzeroberfläche und das Benutzer-Management über die Befehlszeilenschnittstelle einer vShield-Komponente sind separat implementiert. Dieses Kapitel behandelt die folgenden Themen: n „Verwalten von Benutzerkonten“, auf Seite 23 n „Verwalten des Standardbenutzerkontos“, auf Seite 24 n „Fügen Sie ein Benutzerkonto hinzu“, auf Seite 24 n „Bearbeiten eines Benutzerkontos“, auf Seite 25 n „Ändern einer Benutzerrolle“, auf Seite 26 n „Deaktivieren oder Aktivieren eines Benutzerkontos“, auf Seite 26 n „Löschen eines Benutzerkontos“, auf Seite 26 Verwalten von Benutzerkonten Auf der vShield Manager-Benutzeroberfläche definiert die Rolle eines Benutzers, welche Aktionen der Benutzer für eine bestimmte Ressource ausführen kann. Die Rolle legt fest, welche Rechte der Benutzer an der Ressource hat, wodurch sichergestellt wird, dass ein Benutzer nur auf die Funktionen Zugriff hat, die zum Ausführen notwendiger Vorgänge erforderlich sind. So kann der Zugriff auf bestimmte Ressourcen auf Domänenebene oder systemweit gesteuert werden, wenn Ihre Rechte nicht eingeschränkt sind. Die folgenden Regeln werden erzwungen: n Ein Benutzer kann nur über ein Rolle verfügen. n Sie können einem Benutzer eine Rolle hinzufügen oder eine dem Benutzer zugewiesene Rolle entfernen. Sie können allerdings auch die einem Benutzer zugewiesene Rolle ändern. Tabelle 4-1. vShield Manager-Benutzerrollen Recht Berechtigungen Enterprise Administrator vShield-Vorgänge und -Sicherheit. vShield Administrator Nur vShield-Vorgänge: Zum Beispiel: Installieren von virtuellen Appliances, Konfigurieren von Portgruppen. VMware, Inc. 23 vShield-Administratorhandbuch Tabelle 4-1. vShield Manager-Benutzerrollen (Fortsetzung) Recht Berechtigungen Security Administrator Nur vShield-Sicherheit: Zum Beispiel: Definieren von Datensicherheitsrichtlinien, Erstellen von Portgruppen, Erstellen von Berichten für vShield-Module. Auditor Nur Lesen. Der Geltungsbereich einer Rolle legt fest, welche Ressourcen ein bestimmter Benutzer anzeigen kann. Für vShield-Benutzer stehen folgende Geltungsbereiche zur Verfügung. Tabelle 4-2. Geltungsbereich für vShield Manager-Benutzer Geltungsbereich Beschreibung Keine Beschränkung Zugriff auf das gesamte vShield-System Begrenzt den Zugriff auf die unten ausgewählten Portgruppen Zugriff auf ein angegebenes Datencenter oder eine angegebene Portgruppe Die Rollen „Enterprise Administrator“ und „vShield Administrator“ können nur vCenter-Benutzern zugewiesen werden und ihr Geltungsbereich ist global (keine Beschränkung). Verwalten des Standardbenutzerkontos Die Benutzeroberfläche von vShield Manager enthält ein lokales Benutzerkonto mit Zugriffsrechten auf alle Ressourcen. Die Rechte dieses Benutzers können nicht bearbeitet und der Benutzer kann nicht gelöscht werden. Der Standard-Benutzername lautet admin und das Standardkennwort ist default. Ändern Sie das Kennwort für dieses Konto, wenn Sie sich erstmalig bei vShield Manager anmelden. Siehe „Bearbeiten eines Benutzerkontos“, auf Seite 25. Fügen Sie ein Benutzerkonto hinzu Sie können entweder einen neuen lokalen vShield-Benutzer erstellen oder einem vCenter-Benutzer eine Rolle zuweisen. Erstellen eines neuen lokalen Benutzers 1 Klicken Sie im vShield Manager-Bestandslistenbereich auf [Settings & Reports] . 2 Klicken Sie auf die Registerkarte [Users] . 3 Klicken Sie auf [Add] . Das Fenster „Assign Role“ wird geöffnet. 4 Klicken Sie auf [Create a new user local to vShield] . 5 Geben Sie eine [Email] -Adresse ein. 6 Geben Sie eine [Login ID] ein. Dieser Name wird für die Anmeldung bei der vShield Manager-Benutzeroberfläche verwendet. Dieser Benutzername und das zugehörige Kennwort können nicht für den Zugriff auf die vShield App- oder die vShield Manager-Befehlszeilenschnittstelle verwendet werden. 24 7 Geben Sie zu Identifikationszwecken unter [Full Name] den vollständigen Namen des Benutzers ein. 8 Geben Sie in [Password] ein Kennwort für die Anmeldung ein. 9 Geben Sie das Kennwort im Feld [Retype Password] erneut ein. 10 Klicken Sie auf [Next] . VMware, Inc. Kapitel 4 Benutzer-Management 11 Wählen Sie die Rolle für den Benutzer aus und klicken Sie auf [Next] . Weitere Informationen zu den verfügbaren Rollen finden Sie unter „Verwalten von Benutzerkonten“, auf Seite 23. 12 Wählen Sie den Geltungsbereich für den Benutzer aus und klicken Sie auf [Finish] . Das Benutzerkonto wird in der Benutzertabelle angezeigt. Zuweisen einer Rolle zu einem vCenter-Benutzer Wenn Sie einem vCenter-Benutzer eine Rolle zuweisen, authentifiziert vCenter die Rolle mit Active Directory. 1 Klicken Sie im vShield Manager-Bestandslistenbereich auf [Settings & Reports] . 2 Klicken Sie auf die Registerkarte [Users] . 3 Klicken Sie auf [Add] . Das Fenster „Assign Role“ wird geöffnet. 4 Klicken Sie auf [Select vCenter user] . 5 Geben Sie den vCenter-Benutzernamen unter [User] ein. HINWEIS Falls der vCenter-Benutzer von einer Domäne stammt, müssen Sie einen voll qualifizierten Windows-Domänenpfad eingeben. Dieser Benutzername dient der Anmeldung bei der vShield ManagerBenutzerschnittstelle und kann nicht für den Zugriff auf die vShield App- oder die vShield ManagerBefehlszeilenschnittstelle verwendet werden. 6 Klicken Sie auf [Next] . 7 Wählen Sie die Rolle für den Benutzer aus und klicken Sie auf [Next] . Weitere Informationen zu den verfügbaren Rollen finden Sie unter „Verwalten von Benutzerkonten“, auf Seite 23. 8 Wählen Sie den Geltungsbereich für den Benutzer aus und klicken Sie auf [Finish] . Das Benutzerkonto wird in der Benutzertabelle angezeigt. Bearbeiten eines Benutzerkontos Sie können ein Benutzerkonto bearbeiten, um das Kennwort, die Rolle und den Gültigkeitsbereich zu ändern. Das admin-Konto kann nicht bearbeitet werden. Vorgehensweise 1 Klicken Sie im vShield Manager-Bestandslistenbereich auf [Settings & Reports] . 2 Klicken Sie auf die Registerkarte [Users] . 3 Wählen Sie den Benutzer aus, den Sie bearbeiten möchten. 4 Klicken Sie auf [Edit] . 5 Nehmen Sie die gewünschten Änderungen vor. Wenn Sie das Kennwort ändern, geben Sie das Kennwort zur Bestätigung erneut im Feld [Retype Password] ein. 6 VMware, Inc. Klicken Sie auf [Finish] , um Ihre Änderungen zu speichern. 25 vShield-Administratorhandbuch Ändern einer Benutzerrolle Sie können die Rollenzuweisung für alle Benutzer ändern mit Ausnahme des admin-Benutzers. Vorgehensweise 1 Klicken Sie im vShield Manager-Bestandslistenbereich auf [Settings & Reports] . 2 Klicken Sie auf die Registerkarte [Users] . 3 Wählen Sie den Benutzer aus, für den Sie die Rolle ändern möchten. 4 Klicken Sie auf [Change Role] . 5 Nehmen Sie die gewünschten Änderungen vor. 6 Klicken Sie auf [Finish] , um Ihre Änderungen zu speichern. Deaktivieren oder Aktivieren eines Benutzerkontos Sie können ein Benutzerkonto deaktivieren, um den entsprechenden Benutzer daran zu hindern, sich bei vShield Manager anzumelden. Sie können den Benutzer admin nicht deaktivieren. Vorgehensweise 1 Klicken Sie im vShield Manager-Bestandslistenbereich auf [Settings & Reports] . 2 Klicken Sie auf die Registerkarte [Users] . 3 Wählen Sie ein Benutzerkonto aus. 4 Führen Sie einen der folgenden Schritte aus: n Klicken Sie auf [Actions] > [Disable selected user(s)] , um ein Benutzerkonto zu deaktivieren. n Klicken Sie auf [Actions] > [Enable selected user(s)] , um ein Benutzerkonto zu aktivieren. Löschen eines Benutzerkontos Sie können jedes erstellte Benutzerkonto löschen. Das admin-Konto kann nicht gelöscht werden. Überwachungsdatensätze für gelöschte Benutzer werden in der Datenbank verwaltet und können in einem Überwachungsprotokollbericht referenziert werden. Vorgehensweise 1 Klicken Sie im vShield Manager-Bestandslistenbereich auf [Settings & Reports] . 2 Klicken Sie auf die Registerkarte [Users] . 3 Wählen Sie den Benutzer aus, den Sie löschen möchten. 4 Klicken Sie auf [Delete] . 5 Klicken Sie auf [OK] , um den Löschvorgang zu bestätigen. Wenn Sie ein vCenter-Benutzerkonto löschen, wird nur die Rollenzuweisung für vShield Manager gelöscht. Das Benutzerkonto auf vCenter wird nicht gelöscht. 26 VMware, Inc. Aktualisieren von Systemsoftware 5 Für die vShield-Software sind regelmäßige Updates erforderlich, um die System-Performance aufrechtzuerhalten. Mithilfe der Optionen auf der Registerkarte [Updates] können Sie System-Updates installieren und nachverfolgen. n Anzeigen der aktuellen Systemsoftware auf Seite 27 Sie können die aktuell installierten Versionen der vShield-Komponentensoftware anzeigen oder überprüfen, ob gerade ein Update ausgeführt wird. n Hochladen eines Updates auf Seite 27 vShield-Updates sind als Offline-Updates verfügbar. Wenn ein Update zur Verfügung gestellt wird, können Sie es auf Ihren PC herunterladen und das Update anschließend über die vShield ManagerBenutzeroberfläche hochladen. n Anzeigen des Update-Verlaufs auf Seite 28 [Update History] listet die Updates auf, die bereits installiert wurden, einschließlich des Installationsdatums und einer kurzen Beschreibung des jeweiligen Updates. Anzeigen der aktuellen Systemsoftware Sie können die aktuell installierten Versionen der vShield-Komponentensoftware anzeigen oder überprüfen, ob gerade ein Update ausgeführt wird. Vorgehensweise 1 Klicken Sie im vShield Manager-Bestandslistenbereich auf [Settings & Reports] . 2 Klicken Sie auf die Registerkarte [Updates] . 3 Klicken Sie auf [Update Status] . Hochladen eines Updates vShield-Updates sind als Offline-Updates verfügbar. Wenn ein Update zur Verfügung gestellt wird, können Sie es auf Ihren PC herunterladen und das Update anschließend über die vShield Manager-Benutzeroberfläche hochladen. Beim Hochladen des Updates werden zunächst vShield Manager und anschließend alle vShield Zones- bzw. vShield App-Instanzen aktualisiert. Wenn ein Neustart von vShield Manager oder einer vShield Zones- oder vShield App-Instanz erforderlich ist, werden Sie im Bildschirm [Update Status] zum Neustarten der Komponente aufgefordert. Wenn sowohl vShield Manager als auch alle vShield Zones- bzw. vShield App-Instanzen neu gestartet werden müssen, muss zunächst vShield Manager und anschließend jede vShield Zones- bzw. jede vShield App-Instanz neu gestartet werden. VMware, Inc. 27 vShield-Administratorhandbuch Vorgehensweise 1 Klicken Sie im vShield Manager-Bestandslistenbereich auf [Settings & Reports] . 2 Klicken Sie auf die Registerkarte [Updates] . 3 Klicken Sie auf [Upload Settings] . 4 Klicken Sie auf [Browse] , um nach dem Update zu suchen. 5 Wenn Sie die Datei ausgewählt haben, klicken Sie auf [Upload File] . 6 Klicken Sie auf [Update Status] und anschließend auf [Install] . 7 Klicken Sie auf [Confirm Install] , um die Installation des Updates zu bestätigen. Der angezeigte Bildschirm umfasst zwei Tabellen. Während der Installation wird in der oberen Tabelle die Beschreibung, die Startzeit sowie der Erfolgs- und der Prozessstatus des aktuellen Updates angezeigt. Die untere Tabelle zeigt den Update-Status der einzelnen vShield App-Instanzen. Wenn als Status der letzten vShield App-Instanz [Finished] angezeigt wird, wurden alle vShield App-Instanzen aktualisiert. 8 Klicken Sie nach dem Neustart von vShield Manager auf die Registerkarte [Update Status] . 9 Klicken Sie bei Aufforderung auf [Reboot Manager] . 10 Klicken Sie auf [Finish Install] , um das System-Update abzuschließen. 11 Klicken Sie auf [Confirm] . Anzeigen des Update-Verlaufs [Update History] listet die Updates auf, die bereits installiert wurden, einschließlich des Installationsdatums und einer kurzen Beschreibung des jeweiligen Updates. Vorgehensweise 28 1 Klicken Sie im vShield Manager-Bestandslistenbereich auf [Settings & Reports] . 2 Klicken Sie auf die Registerkarte [Updates] . 3 Klicken Sie auf [Update History] . VMware, Inc. Sichern von vShield Manager-Daten 6 Sie können Ihre vShield Manager-Daten – ggf. einschließlich von Systemkonfiguration, Ereignissen und Überwachungsprotokolltabellen – sichern und wiederherstellen. Konfigurationstabellen sind in jeder Sicherung enthalten. System- und Überwachungsprotokollereignisse können Sie jedoch ausschließen. Sicherungen werden an einem Remote-Speicherort abgelegt, der über vShield Manager zugänglich sein muss. Sicherungen können nach einem Zeitplan oder bei Bedarf ausgeführt werden. n Sichern von vShield Manager-Daten bei Bedarf auf Seite 29 Sie können vShield Manager-Daten jederzeit sichern, indem Sie eine On-Demand-Sicherung durchführen. n Planen einer Sicherung von vShield Manager-Daten auf Seite 30 Sie können zu jedem Zeitpunkt jeweils nur die Parameter für einen Sicherungstyp planen. Es ist nicht möglich, zwei Sicherungen für eine gleichzeitige Ausführung zu planen, bei denen einmal nur Konfigurationsdaten und einmal die vollständigen Daten gesichert werden. n Wiederherstellen einer Sicherung auf Seite 31 Zum Wiederherstellen einer verfügbaren Sicherung müssen die Felder [Host IP Address] , [User Name] , [Password] und [Backup Directory] auf dem Bildschirm [Backups] über Werte verfügen, die den Speicherort der wiederherzustellenden Sicherung angeben. Wenn Sie eine Sicherung wiederherstellen, wird die aktuelle Konfiguration überschrieben. Wenn die Sicherungsdatei Systemereignisse und Überwachungsprotokolldaten enthält, werden diese Daten ebenfalls wiederhergestellt. Sichern von vShield Manager-Daten bei Bedarf Sie können vShield Manager-Daten jederzeit sichern, indem Sie eine On-Demand-Sicherung durchführen. Vorgehensweise 1 Klicken Sie im vShield Manager-Bestandslistenbereich auf [Settings & Reports] . 2 Klicken Sie auf die Registerkarte [Configuration] . 3 Klicken Sie auf [Backups] . 4 (Optional) Aktivieren Sie das Kontrollkästchen [Exclude System Events] , wenn Sie die Systemereignistabellen nicht sichern möchten. 5 (Optional) Aktivieren Sie das Kontrollkästchen [Exclude Audit Logs] , wenn Sie die Überwachungsprotokolltabellen nicht sichern möchten. 6 Geben Sie in [Host IP Address] die Host-IP-Adresse des Systems ein, auf dem die Sicherung gespeichert wird. 7 (Optional) Geben Sie in [Host Name] den Hostnamen des Sicherungssystems ein. VMware, Inc. 29 vShield-Administratorhandbuch 8 Geben Sie in [User Name] den erforderlichen Benutzernamen zur Anmeldung beim Sicherungssystem ein. 9 Geben Sie in [Password] das dem Benutzernamen für das Sicherungssystem zugeordnete Kennwort ein. 10 Geben Sie im Feld [Backup Directory] den absoluten Pfad zu dem Verzeichnis ein, in dem die Sicherungen gespeichert werden sollen. 11 Geben Sie in [Filename Prefix] eine als Präfix für den Dateinamen zu verwendende Textzeichenfolge ein. Dieser Text wird dem Sicherungsdateinamen vorangestellt, um eine leichte Identifizierung auf dem Sicherungssystem zu ermöglichen. Wenn Sie beispielsweise ppdb als Präfix verwenden, lautet der Sicherungsname ppdbHH_MM_SS_TagTTMonJJJJ. 12 Geben Sie zum Sichern der Sicherungsdatei eine [Pass Phrase] ein. 13 Wählen Sie im Dropdown-Menü [Transfer Protocol] entweder das Protokoll [SFTP] oder das Protokoll [FTP] aus. 14 Klicken Sie auf [Backup] . Nach Abschluss der Sicherung wird diese in einer Tabelle unterhalb dieses Formulars angezeigt. 15 Klicken Sie auf [Save Settings] , um die Konfiguration zu speichern. Planen einer Sicherung von vShield Manager-Daten Sie können zu jedem Zeitpunkt jeweils nur die Parameter für einen Sicherungstyp planen. Es ist nicht möglich, zwei Sicherungen für eine gleichzeitige Ausführung zu planen, bei denen einmal nur Konfigurationsdaten und einmal die vollständigen Daten gesichert werden. Vorgehensweise 1 Klicken Sie im vShield Manager-Bestandslistenbereich auf [Settings & Reports] . 2 Klicken Sie auf die Registerkarte [Configuration] . 3 Klicken Sie auf [Backups] . 4 Wählen Sie im Dropdown-Menü [Scheduled Backups] die Option [On] . 5 Wählen Sie im Dropdown-Menü [Backup Frequency] die Option [Hourly] , [Daily] oder [Weekly] . Je nach ausgewählter Häufigkeit werden die Dropdown-Menüs [Day of Week] , [Hour of Day] und [Minute] deaktiviert. Wenn Sie beispielsweise [Daily] auswählen, wird das Dropdown-Menü [Day of Week] deaktiviert, da dieses Feld bei einer täglichen Sicherung nicht zum Tragen kommt. 30 6 (Optional) Aktivieren Sie das Kontrollkästchen [Exclude System Events] , wenn Sie die Systemereignistabellen nicht sichern möchten. 7 (Optional) Aktivieren Sie das Kontrollkästchen [Exclude Audit Log] , wenn Sie die Überwachungsprotokolltabellen nicht sichern möchten. 8 Geben Sie in [Host IP Address] die Host-IP-Adresse des Systems ein, auf dem die Sicherung gespeichert wird. 9 (Optional) Geben Sie in [Host Name] den Hostnamen des Sicherungssystems ein. 10 Geben Sie in [User Name] den erforderlichen Benutzernamen zur Anmeldung beim Sicherungssystem ein. 11 Geben Sie in [Password] das dem Benutzernamen für das Sicherungssystem zugeordnete Kennwort ein. 12 Geben Sie im Feld [Backup Directory] den absoluten Pfad zu dem Verzeichnis ein, in dem die Sicherungen gespeichert werden sollen. VMware, Inc. Kapitel 6 Sichern von vShield Manager-Daten 13 Geben Sie in [Filename Prefix] eine als Präfix für den Dateinamen zu verwendende Textzeichenfolge ein. Dieser Text wird jedem Sicherungsdateinamen vorangestellt, um eine leichte Identifizierung auf dem Sicherungssystem zu ermöglichen. Wenn Sie beispielsweise ppdb als Präfix verwenden, lautet der Sicherungsname ppdbHH_MM_SS_TagTTMonJJJJ. 14 Wählen Sie im Dropdown-Menü [Transfer Protocol] basierend auf der Unterstützung durch das Zielsystem entweder das Protokoll [SFTP] oder das Protokoll [FTP] aus. 15 Klicken Sie auf [Save Settings] . Wiederherstellen einer Sicherung Zum Wiederherstellen einer verfügbaren Sicherung müssen die Felder [Host IP Address] , [User Name] , [Password] und [Backup Directory] auf dem Bildschirm [Backups] über Werte verfügen, die den Speicherort der wiederherzustellenden Sicherung angeben. Wenn Sie eine Sicherung wiederherstellen, wird die aktuelle Konfiguration überschrieben. Wenn die Sicherungsdatei Systemereignisse und Überwachungsprotokolldaten enthält, werden diese Daten ebenfalls wiederhergestellt. WICHTIG Sichern Sie Ihre aktuellen Daten, bevor Sie eine Sicherungsdatei wiederherstellen. Vorgehensweise 1 Klicken Sie im vShield Manager-Bestandslistenbereich auf [Settings & Reports] . 2 Klicken Sie auf die Registerkarte [Configuration] . 3 Klicken Sie auf [Backups] . 4 Klicken Sie auf [View Backups] , um alle verfügbaren Sicherungen anzuzeigen, die auf dem Sicherungsserver gespeichert wurden. 5 Aktivieren Sie das Kontrollkästchen für die Sicherung, die Sie wiederherstellen möchten. 6 Klicken Sie auf [Restore] . 7 Klicken Sie zur Bestätigung auf [OK] . VMware, Inc. 31 vShield-Administratorhandbuch 32 VMware, Inc. Systemereignisse und Überwachungsprotokolle 7 Systemereignisse sind Ereignisse, die sich auf den Betrieb von vShield beziehen. Sie werden generiert, um Detailinformationen zu Ereignissen bereitzustellen, die während des Betriebs auftreten – beispielsweise ein Neustart von vShield App oder eine Kommunikationsunterbrechung zwischen vShield App und vShield Manager. Ereignisse können sich auf den allgemeinen Betrieb (Informational) oder auf einen kritischen Fehler (Critical) beziehen. Dieses Kapitel behandelt die folgenden Themen: n „Anzeigen des Systemereignisberichts“, auf Seite 33 n „Ereignisse für virtuelle vShield Manager-Appliance“, auf Seite 33 n „vShield App-Ereignisse“, auf Seite 34 n „Grundlegendes zum Syslog-Format“, auf Seite 35 n „Anzeigen des Überwachungsprotokolls“, auf Seite 35 Anzeigen des Systemereignisberichts vShield Manager fasst die Systemereignisse in einem Bericht zusammen, die nach vShield App und Schweregrad des Ereignisses gefiltert werden können. Vorgehensweise 1 Klicken Sie im vShield Manager-Bestandslistenbereich auf [Settings & Reports] . 2 Klicken Sie auf die Registerkarte [System Events] . 3 (Optional) Wählen Sie eine oder mehrere vShield App-Instanzen aus dem Feld [vShield] aus. Standardmäßig werden alle vShield App-Instanzen ausgewählt. 4 Wählen Sie im Dropdown-Menü [and Severity] einen Schweregrad aus, nach dem die Ergebnisse gefiltert werden sollen. Standardmäßig sind alle Schweregrade enthalten. Sie können einen oder mehrere Schweregrade gleichzeitig auswählen. 5 Klicken Sie auf [View Report] . 6 Klicken Sie in der Berichtsausgabe auf einen [Event Time] -Link, um Details zu einem bestimmten Ereignis anzuzeigen. Ereignisse für virtuelle vShield Manager-Appliance Die folgenden Ereignisse sind spezifisch für die virtuelle vShield Manager-Appliance. VMware, Inc. 33 vShield-Administratorhandbuch Tabelle 7-1. Ereignisse für virtuelle vShield Manager-Appliance Ausschalten Einschalten Schnittstelle nicht verfügbar Schnittstelle verfügbar Lokale CLI Führen Sie den Befehl show log follow aus. Führen Sie den Befehl show log follow aus. Führen Sie den Befehl show log follow aus. Führen Sie den Befehl show log follow aus. GUI – – – – Tabelle 7-2. Ereignisse für virtuelle vShield Manager-Appliance CPU Arbeitsspeicher Speicher Lokale CLI Führen Sie den Befehl show process monitor aus. Führen Sie den Befehl show system memory aus. Führen Sie den Befehl show filesystem aus. GUI Siehe „Anzeigen des vShield Manager-Status“, auf Seite 19. Siehe „Anzeigen des vShield Manager-Status“, auf Seite 19. Siehe „Anzeigen des vShield Manager-Status“, auf Seite 19. vShield App-Ereignisse Die folgenden Ereignisse sind spezifisch für die virtuellen vShield App-Appliances. Tabelle 7-3. vShield App-Ereignisse 34 Schnittstelle nicht verfügbar Schnittstelle verfügbar Führen Sie den Befehl show log follow aus. Führen Sie den Befehl show log follow aus. Führen Sie den Befehl show log follow aus. – Weitere Informationen hierzu finden Sie unter „Grundlegendes zum Syslog-Format“, auf Seite 35. e1000: mgmt: e1000_watchdog_task: NIC Link is Up/Down 100 Mbps Full Duplex. Für ein Skripting auf dem Syslog-Server suchen Sie nach NIC Link is. e1000: mgmt: e1000_watchdog_task: NIC Link is Up/Down 100 Mbps Full Duplex. Für ein Skripting auf dem Syslog-Server suchen Sie nach NIC Link is. Fehler vom Typ „Heartbeat failure“ im Systemereignisprotokoll. Weitere Informationen hierzu finden Sie unter „Anzeigen des Systemereignisberichts“, auf Seite 33. Weitere Informationen hierzu finden Sie unter „Anzeigen des aktuellen Systemstatus einer vShield App-Instanz“, auf Seite 54. Weitere Informationen hierzu finden Sie unter „Anzeigen des aktuellen Systemstatus einer vShield App-Instanz“, auf Seite 54. Weitere Informationen hierzu finden Sie unter „Anzeigen des aktuellen Systemstatus einer vShield App-Instanz“, auf Seite 54. Ausschalten Einschalten Lokale CLI Führen Sie den Befehl show log follow aus. Syslog GUI VMware, Inc. Kapitel 7 Systemereignisse und Überwachungsprotokolle Tabelle 7-4. vShield App-Ereignisse Zurücksetzung der Sitzung aufgrund von DoS, Inaktivität oder Daten-Timeouts CPU Arbeitsspeicher Speicher Lokale CLI Führen Sie den Befehl show process monitor aus. Führen Sie den Befehl show system memory aus. Führen Sie den Befehl show filesystem aus. Führen Sie den Befehl show log follow aus. Syslog – – – Weitere Informationen hierzu finden Sie unter „Grundlegendes zum Syslog-Format“, auf Seite 35. GUI Weitere Informationen hierzu finden Sie unter „Anzeigen des aktuellen Systemstatus einer vShield AppInstanz“, auf Seite 54. Weitere Informationen hierzu finden Sie unter „Anzeigen des aktuellen Systemstatus einer vShield AppInstanz“, auf Seite 54. Weitere Informationen hierzu finden Sie unter „Anzeigen des aktuellen Systemstatus einer vShield AppInstanz“, auf Seite 54. Prüfen Sie das Systemereignisprotokoll. Weitere Informationen hierzu finden Sie unter „Anzeigen des Systemereignisberichts“, auf Seite 33. Grundlegendes zum Syslog-Format Im Syslog-Protokoll aufgezeichnete Systemereignisse weisen das folgende Format auf. syslog header (timestamp + hostname + sysmgr/) Timestamp (from the service) Name/value pairs Name and value separated by delimiter '::' (double colons) Each name/value pair separated by delimiter ';;' (double semi-colons) Die Felder und Typen des Systemereignisses enthalten die folgenden Informationen. Event ID :: 32 bit unsigned integer Timestamp :: 32 bit unsigned integer Application Name :: string Application Submodule :: string Application Profile :: string Event Code :: integer (possible values: 10007 10016 10043 20019) Severity :: string (possible values: INFORMATION LOW MEDIUM HIGH CRITICAL) Message :: Anzeigen des Überwachungsprotokolls Auf der Registerkarte [Audit Logs] wird eine Ansicht der von allen vShield Manager-Benutzern durchgeführten Aktionen bereitgestellt. vShield Manager speichert Überwachungsprotokolldaten für ein Jahr, anschließend werden die Daten verworfen. Vorgehensweise 1 Klicken Sie im vShield Manager-Bestandslistenbereich auf [Settings & Reports] . 2 Klicken Sie auf die Registerkarte [Audit Logs] . VMware, Inc. 35 vShield-Administratorhandbuch 3 36 Schränken Sie die Ausgabe ein, indem Sie auf einen oder mehrere Spaltenfilter klicken. Option Aktion [User Name] Wählen Sie den Anmeldenamen eines Benutzers, der die Aktion ausgeführt hat. [Module] Wählen Sie die vShield-Ressource, für die die Aktion durchgeführt wurde. [Operation] Wählen Sie die Art der durchgeführten Aktion. [Status] Wählen Sie als Ergebnis einer Aktion entweder „Success“ oder „Failure“. [Operation Span] Wählen Sie die vShield-Komponente, auf der die Aktion durchgeführt wurde. [Local] bezieht sich auf vShield Manager. VMware, Inc. Deinstallieren von vShieldKomponenten 8 In diesem Kapitel werden die erforderlichen Schritte zur Deinstallation von vShield-Komponenten aus Ihrer vCenter-Bestandsliste beschrieben. HINWEIS In der vShield-Kurzanleitung wird die Installation von vShield-Komponenten beschrieben. Dieses Kapitel behandelt die folgenden Themen: n „Deinstallieren einer virtuellen vShield App-Appliance“, auf Seite 37 n „Deinstallieren von vShield Edge aus einer Portgruppe“, auf Seite 37 n „Deinstallieren eines vShield Endpoint-Moduls“, auf Seite 38 Deinstallieren einer virtuellen vShield App-Appliance Beim Deinstallieren von vShield App wird die virtuelle Appliance vom Netzwerk und aus vCenter Server entfernt. VORSICHT Bei der Deinstallation einer vShield App wird der ESX-Host in den Wartungsmodus versetzt. Nach Abschluss der Deinstallation wird der ESX-Host neu gestartet. Wenn auf dem ESX-Zielhost ausgeführte virtuelle Maschinen nicht auf einen anderen ESX-Host migriert werden können, müssen diese virtuellen Maschinen zum Fortsetzen der Deinstallation ausgeschaltet oder manuell migriert werden. Wenn vShield Manager auf demselben ESX-Host ausgeführt wird, muss vShield Manager vor der Deinstallation von vShield App migriert werden. Vorgehensweise 1 Melden Sie sich beim vSphere Client an. 2 Wählen Sie den ESX-Host in der Bestandslistenstruktur aus. 3 Klicken Sie auf die Registerkarte [vShield] . 4 Klicken Sie für den [vShield App] -Dienst auf [Uninstall] . Die Instanz wird deinstalliert. Deinstallieren von vShield Edge aus einer Portgruppe Sie können vShield Edge unter Verwendung des vSphere-Clients für eine sichere Portgruppe deinstallieren. Vorgehensweise 1 Melden Sie sich beim vSphere Client an. 2 Navigieren Sie zu [View] > [Inventory] > [Networking] . VMware, Inc. 37 vShield-Administratorhandbuch 3 Klicken Sie auf die Registerkarte [Edge] . 4 Klicken Sie auf [Uninstall] . Deinstallieren eines vShield Endpoint-Moduls Beim Deinstallieren eines vShield Endpoint-Moduls wird ein vShield Endpoint-Modul von einem ESX-Host entfernt. Sie entfernen vShield Endpoint, indem Sie die folgenden Aktionen der Reihe nach durchführen. Aufheben der Registrierung einer SVM für ein vShield Endpoint-Modul Bevor Sie das vShield Endpoint-Modul von vShield Manager deinstallieren, müssen Sie die Registrierung der SVM aus dem vShield Endpoint-Modul entfernen. Halten Sie sich dabei an die Anweisungen des Anbieters. Deinstallieren des vShield Endpoint-Moduls aus vSphere Client Beim Deinstallieren eines vShield Endpoint-Moduls wird das vShield Endpoint-Modul von einem ESX-Host entfernt, der ESX-Host in den Wartungsmodus versetzt und der ESX-Host neu gestartet. VORSICHT Migrieren Sie vShield Manager und andere virtuelle Maschinen auf einen anderen ESX-Host, um das Herunterfahren dieser virtuellen Maschinen während des Neustarts zu verhindern. Vorgehensweise 1 Melden Sie sich beim vSphere Client an. 2 Wählen Sie einen ESX-Host aus der Bestandslistenstruktur aus. 3 Klicken Sie auf die Registerkarte [vShield] . 4 Klicken Sie für den [vShield Endpoint] -Dienst auf [Uninstall] . Bei der Deinstallation wird die Portgruppe epsec-vmk-1 und der vSwitch epsec-vswitch-2 entfernt. 38 VMware, Inc. vShield Edge-Management 9 vShield Edge bietet Netzwerk-Edge-Sicherheits- und -Gateway-Dienste zur Isolierung der virtuellen Maschi® nen in einer Portgruppe, vDS-Portgruppe oder einem Cisco Nexus 1000V-Switch. vShield Edge verbindet isolierte Stub-Netzwerke mit freigegebenen (Uplink-)Netzwerken durch die Bereitstellung von gängigen Gateway-Diensten wie DHCP, VPN, NAT und Lastausgleich. Gängige Implementierungen von vShield Edge umfassen in DMZ-, VPN Extranets- und Multi-Tenant-Cloud-Umgebungen, in denen vShield Edge PerimeterSicherheit für virtuelle Datencenter (VDCs) bietet. Dieses Kapitel behandelt die folgenden Themen: n „Anzeigen des Status einer vShield Edge-Instanz“, auf Seite 39 n „Angeben eines Remote-Syslog-Servers“, auf Seite 40 n „Verwalten der vShield Edge-Firewall“, auf Seite 40 n „Verwalten von NAT-Regeln“, auf Seite 44 n „Verwalten des DHCP-Diensts“, auf Seite 45 n „Verwalten des VPN-Diensts“, auf Seite 47 n „Hinzufügen einer statischen Route“, auf Seite 49 n „Verwalten des Lastausgleichsdiensts“, auf Seite 50 n „Starten oder Anhalten von vShield Edge-Diensten“, auf Seite 50 n „Upgrade der vShield Edge-Software“, auf Seite 51 n „Erneutes Bereitstellen von vShield Edge“, auf Seite 51 Anzeigen des Status einer vShield Edge-Instanz Über die Option [Status] wird die Netzwerkkonfiguration und der Status von Diensten eines vShield EdgeModuls angezeigt. Die angezeigten Details umfassen Schnittstellenadressen und Netzwerk-ID. Die NetzwerkID kann zum Senden von REST API-Befehlen an ein vShield Edge-Modul verwendet werden. Vorgehensweise 1 Navigieren Sie in vSphere Client zu [Bestandsliste] > [Netzwerk] . 2 Wählen Sie eine interne Portgruppe aus, die von einer vShield Edge-Instanz geschützt ist. 3 Klicken Sie auf die Registerkarte [vShield Edge] . VMware, Inc. 39 vShield-Administratorhandbuch Angeben eines Remote-Syslog-Servers Sie können vShield Edge-Ereignisse (z.B. das Verletzen von Firewall-Regeln) an einen Syslog-Server senden. Vorgehensweise 1 Navigieren Sie in vSphere Client zu [Bestandsliste] > [Netzwerk] . 2 Wählen Sie eine interne Portgruppe aus, die von einer vShield Edge-Instanz geschützt ist. 3 Klicken Sie auf die Registerkarte [vShield Edge] . 4 Klicken Sie auf [Status] . 5 Erweitern Sie den Bereich „Remote Syslog Servers“. 6 Klicken Sie auf [Edit] . Das Dialogfeld „Edit Syslog Servers Configuration“ wird angezeigt. 7 Geben Sie die IP-Adresse des Remote-Syslog-Servers ein. 8 Klicken Sie auf [OK] , um die Konfiguration zu speichern. Verwalten der vShield Edge-Firewall vShield Edge bietet Firewall-Schutz für eingehende und ausgehende Sitzungen. Die standardmäßige Firewallrichtlinie blockiert den gesamten Datenverkehr. Zusätzlich zur standardmäßigen Firewallrichtlinie können Sie einen Satz von Regeln erstellen, um Datenverkehrssitzungen zwischen bestimmten Quellen und Zielen zuzulassen oder zu blockieren. Die standardmäßige Firewall-Richtlinie und der Satz von Firewall-Regeln werden für jeden vShield Edge-Agenten separat verwaltet. Bearbeiten der standardmäßigen Firewalleinstellungen Sie können die Standardeinstellungen für Firewallregeln bearbeiten. Die standardmäßigen Firewalleinstellungen gelten für Datenverkehr, der unter keine der Firewallregeln fällt. Vorgehensweise 1 Navigieren Sie in vSphere Client zu [Bestandsliste] > [Netzwerk] . 2 Wählen Sie eine interne Portgruppe aus, die von einer vShield Edge-Instanz geschützt ist. 3 Klicken Sie auf die Registerkarte [vShield Edge] . 4 Klicken Sie auf [Firewall] . 5 Klicken Sie im Bereich [Default Firewall Settings] auf [Configure Settings] . Das Dialogfeld „Edit Default Policy Configuration“ wird angezeigt. 40 6 Wählen Sie als [Default Traffic Policy] entweder [Block] oder [Allow] aus. Der Standardwert ist [Block] . 7 Wählen Sie als [Default Policy Logging] entweder [Enable] oder [Disable] aus. Falls die Protokollierung aktiviert ist, werden die Firewallregeln in die vShield Edge-Protokolle geschrieben. Falls ein RemoteSyslog-Server konfiguriert ist, werden die Protokolle auch auf dem Remote-Syslog-Server angezeigt. 8 Klicken Sie unter [ICMP Errors] entweder auf [Block] oder [Allow] . 9 Klicken Sie auf [OK] . VMware, Inc. Kapitel 9 vShield Edge-Management Erstellen einer IP- oder MAC-Adressgruppe Sie können eine IP- oder MAC-Adressgruppe erstellen, die aus einem Bereich von IP-/MAC-Adressen besteht. Sie können diese Gruppe anschließend als Quelle oder Ziel in einer Firewallregel verwenden. Vorgehensweise 1 Klicken Sie in vSphere Client auf eine Datencenterressource. 2 Klicken Sie auf die Registerkarte [vShield] . 3 Klicken Sie auf die Registerkarte [Grouping] . 4 Klicken Sie auf [Add] und wählen Sie [IP Addresses] oder [MAC Addresses] aus. Das Fenster „Add IP Addresses“ bzw. „Add MAC Addresses“ wird geöffnet. 5 Geben Sie einen Namen für die Adressgruppe ein. 6 Geben Sie eine Beschreibung für die Adressgruppe ein. 7 Geben Sie die IP- bzw. MAC-Adressen ein, die zur Gruppe hinzugefügt werden sollen. 8 Klicken Sie auf [OK.] Hinzufügen einer vShield Edge-Firewallregel Über vShield Edge-Firewall-Regeln wird Datenverkehr basierend auf den folgenden Kriterien zugelassen oder abgelehnt: Tabelle 9-1. vShield Edge - Kriterium für Firewallregeln Kriterien Beschreibung [Quelle] IP-Adresse des Ursprungs der Kommunikation. [Quellport] Port oder Portbereich des Ursprungs der Kommunikation. Trennen Sie beim Eingeben eines Portbereichs den unteren und oberen Bereichswert durch einen Bindestrich. Beispiel: 1000-1100. [Ziel] IP-Adresse des Ziels der Kommunikation. [Art des Datenverkehrs] Anwendung oder Protokoll, für die die Regel gilt. [Intf(Dir)] Schnittstelle und Richtung der Übertragung. [Aktion] Die bei der Übertragung zu erzwingende Aktion. Mögliche Optionen sind „Allow“ bzw. „Block“. Die Standardaktion für jede Art von Datenverkehr lautet „Allow“. [Protokoll] Gibt an, ob Details zum Datenverkehr protokolliert werden oder nicht. [Enable] Firewallregel ist aktiviert oder deaktiviert. Sie können für dynamische Dienste wie FTP und RPC, die zum Durchführen einer Übertragung mehrere Ports benötigen, einer Regel Ziel- und Quellportbereiche hinzufügen. Wenn Sie nicht alle Ports zulassen, die für eine Übertragung geöffnet werden müssen, wird die Übertragung blockiert. Wenn Sie eine Firewallregel hinzufügen, müssen Sie angeben, was mit dem Datenverkehr geschehen soll, wenn er über die interne und externe Schnittstelle geleitet wird. Wenn der Datenverkehr beispielsweise von Clients in einem internen Netzwerk zu einem HTTPS-Server im externen Netzwerk geleitet werden soll, müssen Sie zwei Regeln definieren. VMware, Inc. 41 vShield-Administratorhandbuch Tabelle 9-2. Firewallregeln für den Datenverkehr von einem internen Netzwerk zu einem HTTP-Server Quelle Quellport Ziel Art des Datenverkehrs Schnittstelle:Richtung 192.168.0.0/24 Alle 10.20.222.34 HTTP Int:Ein 192.168.0.0.24 Alle 10.20.222.34 HTTP Ext:Aus Vorgehensweise 1 Navigieren Sie in vSphere Client zu [Bestandsliste] > [Netzwerk] . 2 Wählen Sie eine interne Portgruppe aus, die von einer vShield Edge-Instanz geschützt ist. 3 Klicken Sie auf die Registerkarte [vShield Edge] . 4 Klicken Sie auf den Link [Firewall] . 5 Klicken Sie auf [Add] . 6 Wählen Sie unter [Rule applied to] die Schnittstelle aus, an der Sie die Firewallregel hinzufügen möchten. 7 Wählen Sie unter [Traffic Direction] die Datenverkehrsrichtung aus, auf die Sie die Firewallregel anwenden möchten. 8 Geben Sie unter [Source] die IP-Adresse (oder IP-Adressgruppe), den IP-Bereich oder das Subnetz als Quelle der Kommunikation an. Wenn Sie diese Option leer lassen, bedeutet dies, dass diese Regel für Datenverkehr von allen Quellen gilt. 9 Geben Sie unter [Source port] den Port oder Portbereich ein, aus dem die Kommunikation stammt. 10 Geben Sie unter [Destination] die IP-Adresse (oder IP-Adressgruppe), den IP-Bereich oder das Subnetz als Ziel der Kommunikation an. Wenn Sie diese Option leer lassen, bedeutet dies, dass diese Regel für Datenverkehr zu allen Zielen gilt. 11 Geben Sie an, ob der [Type of traffic] entweder [Known Application] oder [Protocol] ist. Wählen Sie die Anwendung oder das Protokoll aus. 12 Wählen Sie für den Datenverkehr unter [Action] entweder [Block] oder [Allow] aus. 13 Wählen Sie unter [Rule] aus, ob für die hinzuzufügende Regel [Enable] oder [Disable] gelten soll. 14 Wählen Sie unter [Logging] für den Datenverkehr, der durch diese Regel zugelassen oder blockiert wird, entweder [Log] oder [Do not log] aus. 15 Geben Sie unter [Notes] bei Bedarf Anmerkungen ein. 16 Klicken Sie auf [OK.] 17 Klicken Sie auf [Publish Changes] . Bearbeiten einer vShield Edge-Firewallregel Sie können jede beliebige benutzerdefinierte Firewallregel bearbeiten. Vorgehensweise 42 1 Navigieren Sie in vSphere Client zu [Bestandsliste] > [Netzwerk] . 2 Wählen Sie eine interne Portgruppe aus, die von einer vShield Edge-Instanz geschützt ist. 3 Klicken Sie auf die Registerkarte [vShield Edge] . 4 Klicken Sie auf den Link [Firewall] . 5 Wählen Sie die Regel, die Sie bearbeiten möchten. 6 Klicken Sie auf [Edit Rule] . VMware, Inc. Kapitel 9 vShield Edge-Management 7 Bearbeiten Sie die Optionen entsprechend. 8 Klicken Sie auf [OK] . 9 Klicken Sie auf [Publish Changes] . Ändern der Priorität einer vShield Edge-Firewallregel Sie können die Priorität benutzerdefinierter Firewallregeln ändern. Vorgehensweise 1 Navigieren Sie in vSphere Client zu [Bestandsliste] > [Netzwerk] . 2 Wählen Sie eine interne Portgruppe aus, die von einer vShield Edge-Instanz geschützt ist. 3 Klicken Sie auf die Registerkarte [vShield Edge] . 4 Klicken Sie auf den Link [Firewall] . 5 Wählen Sie die Regel aus, für die Sie die Priorität ändern möchten. 6 Klicken Sie auf [Move Up] oder [Move Down] . 7 Klicken Sie auf [Publish Changes] . Anzeigen von Regeln nach Typ Sie können Regeln filtern, damit nur eine Teilmenge der Regeln angezeigt wird. Alle Regeln werden standardmäßig angezeigt. Vorgehensweise 1 Navigieren Sie in vSphere Client zu [Bestandsliste] > [Netzwerk] . 2 Wählen Sie eine interne Portgruppe aus, die von einer vShield Edge-Instanz geschützt ist. 3 Klicken Sie auf die Registerkarte [vShield Edge] . 4 Klicken Sie auf den Link [Firewall] . 5 Klicken Sie auf [Show] und heben Sie die Auswahl der Optionen für Regeln auf, die nicht angezeigt werden sollen. Option Beschreibung All Rules Zeigt alle Regeln an Int Intf Rules Zeigt Regeln an, die für die interne vShield-Schnittstelle gelten. Ext Intf Rules Zeigt Regeln an, die für die externe vShield-Schnittstelle gelten. VPN Intf Rules Zeigt Regeln an, die für die VPN-Schnittstelle gelten. Inbound Rules Zeigt Regeln für den eingehenden Datenverkehr Ihres virtuellen Netzwerks an. Outbound Rules Zeigt Regeln für den ausgehenden Datenverkehr Ihres virtuellen Netzwerks an. Generated Rules Zeigt die von vShield Edge generierten Regeln an. Löschen einer vShield Edge-Firewallregel Sie können jede benutzerdefinierte Firewallregel löschen, die Sie hinzugefügt haben. Vorgehensweise 1 VMware, Inc. Navigieren Sie in vSphere Client zu [Bestandsliste] > [Netzwerk] . 43 vShield-Administratorhandbuch 2 Wählen Sie eine interne Portgruppe aus, die von einer vShield Edge-Instanz geschützt ist. 3 Klicken Sie auf die Registerkarte [vShield Edge] . 4 Klicken Sie auf den Link [Firewall] . 5 Wählen Sie die Regel, die Sie löschen möchten. 6 Klicken Sie auf [Delete Selected] . 7 Klicken Sie auf [Publish Changes] . Verwalten von NAT-Regeln vShield Edge bietet den Dienst „Network Address Translation“ (NAT), um einem Computer (oder einer Gruppe von Computern) innerhalb eines privaten Netzwerks eine öffentliche Adresse zuzuweisen. Dadurch wird die Anzahl öffentlicher IP-Adressen verringert, die eine Organisation oder ein Unternehmen verwenden muss. Dies hat wirtschaftliche Vorteile und dient der Sicherheit. Für den Zugriff auf Dienste, die auf virtuellen Maschinen mit privaten Adressen ausgeführt werden, müssen NAT-Regeln konfiguriert werden. Die Konfiguration des NAT-Diensts gliedert sich in SNAT- und DNAT-Regeln. Hinzufügen einer SNAT-Regel Sie erstellen eine SNAT-Regel zum Übersetzen einer privaten internen IP-Adresse in eine öffentliche IP-Adresse für ausgehenden Datenverkehr. Vorgehensweise 1 Navigieren Sie in vSphere Client zu [Inventory] > [Networking] . 2 Wählen Sie eine interne Portgruppe aus, für die eine vShield Edge-Instanz installiert ist. 3 Klicken Sie auf die Registerkarte [vShield Edge] . 4 Klicken Sie auf den Link [NAT] . 5 Klicken Sie unter SNAT auf [Add Rule] . Das Dialogfeld „Add SNat Rule“ wird geöffnet. 6 Geben Sie unter [Original (Internal) Source IP/Range] eine Adresse ein. Wenn Sie mehrere IP-Adressen eingeben möchten, trennen Sie diese durch Kommas. 7 Geben Sie unter [Translated (External) Source IP/Range] eine Adresse ein. Wenn Sie einen IP-Adressbereich eingeben möchten, trennen Sie die Adressen durch einen Bindestrich. 8 Wählen Sie [Log] oder [Do not log] aus. 9 Klicken Sie auf [OK] , um die Regel zu speichern. 10 Klicken Sie auf [Publish Changes] . Hinzufügen einer DNAT-Regel Beim Erstellen einer DNAT-Regel wird eine öffentliche IP-Adresse zu einer privaten internen IP-Adresse zugeordnet. Vorgehensweise 44 1 Navigieren Sie in vSphere Client zu [Bestandsliste] > [Netzwerk] . 2 Wählen Sie eine interne Portgruppe aus, für die eine vShield Edge-Instanz installiert ist. 3 Klicken Sie auf die Registerkarte [vShield Edge] . VMware, Inc. Kapitel 9 vShield Edge-Management 4 Klicken Sie auf den Link [NAT] . 5 Klicken Sie unter DNAT auf [Add Rule] . Das Dialogfeld „Add DNat Rule“ wird geöffnet. 6 Geben Sie die [Translated (Internal Destination) IP/Range] -Adresse ein. 7 Geben Sie den internen [Port/Range] ein. 8 Geben Sie [Original (External) Destination IP/Range] ein. 9 Wählen Sie das [Protocol] aus. 10 Geben Sie je nach ausgewähltem Protokoll eine der folgenden Optionen an. Bei folgendem Protokoll Angeben tcp or udp Port oder Portbereich icmp ICMP-Typ 11 Wählen Sie [Log] oder [Do not log] aus. 12 Klicken Sie auf [OK] , um die Regel zu speichern. Verwalten des DHCP-Diensts vShield Edge unterstützt IP-Adresspools und die 1:1-Zuordnung statischer IP-Adressen. Die Bindung statischer IP-Adressen basiert auf der von vCenter verwalteten Objekt- und Schnittstellen-ID des anfordernden Clients. Für den vShield Edge-DHCP-Dienst werden die folgenden Regeln befolgt: n Die interne vShield Edge-Schnittstelle wird für die DHCP-Suche überwacht. n Die IP-Adresse der internen vShield Edge-Schnittstelle wird als standardmäßige Gateway-Adresse für alle Clients verwendet, die Broadcast- und Subnetzmaskenwerte der internen Schnittstelle für das Containernetzwerk. Hinzufügen eines DHCP-IP-Pools Der DHCP-Dienst benötigt einen Pool von IP-Adressen, die den von einer vShield Edge geschützten virtuellen Maschinen zugewiesen werden. Vorgehensweise 1 Navigieren Sie in vSphere Client zu [Bestandsliste] > [Netzwerk] . 2 Wählen Sie eine interne Portgruppe aus, die von einer vShield Edge-Instanz geschützt ist. 3 Klicken Sie auf die Registerkarte [vShield Edge] . 4 Klicken Sie auf den Link [DHCP] . 5 Klicken Sie unter „DHCP Pools“ auf [Add Pool] . Das Fenster „Add DHCP Pool“ wird geöffnet. 6 Geben Sie die [Start IP] -Adresse ein. 7 Geben Sie die [End IP] -Adresse ein. 8 Geben Sie den [Domain Name] ein. VMware, Inc. 45 vShield-Administratorhandbuch 9 Geben Sie den [Primary Nameserver] und den [Secondary Nameserver] ein, die sich auf den DNSDienst beziehen. Sie müssen die IP-Adresse eines DNS-Servers für die Auflösung von Hostnamen in IPAdressen eingeben. 10 Geben Sie unter [Default Gateway] die interne IP-Adresse der vShield Edge ein. 11 Wählen Sie für [Lease Time] aus, ob Sie die Adresse für den standardmäßigen Zeitraum (1 Tag) für den Client leasen möchten, oder geben Sie für den Zeitraum einen Wert in Sekunden an. 12 Klicken Sie auf [OK] . Weiter Stellen Sie sicher, dass der DHCP-Dienst aktiviert wurde. Weitere Informationen finden Sie unter „Starten oder Anhalten von vShield Edge-Diensten“, auf Seite 50 Hinzufügen einer statischen DHCP-Bindung Sie können die statische Bindung aktivieren, um eine IP-Adresse an die MAC-Adresse einer virtuellen Maschine zu binden. Vorgehensweise 1 Navigieren Sie in vSphere Client zu [Bestandsliste] > [Netzwerk] . 2 Wählen Sie eine interne Portgruppe aus, die von einer vShield Edge-Instanz geschützt ist. 3 Klicken Sie auf die Registerkarte [vShield Edge] . 4 Klicken Sie auf den Link [DHCP] . 5 Klicken Sie unter „DHCP Bindings“ auf [Add Binding] . 6 Wählen Sie unter [VM Name] den Namen der VM aus, die Sie binden möchten. 7 Wählen Sie unter [Interface] die Schnittstelle aus, für die Sie die Bindung erstellen möchten. 8 Geben Sie unter [IP Address] die Adresse ein, an die Sie die MAC-Adresse der ausgewählten virtuellen Maschine binden möchten. 9 Geben Sie den [Domain Name] ein. 10 Geben Sie den [Primary Nameserver] und den [Secondary Nameserver] ein, die sich auf den DNSDienst beziehen. Sie müssen die IP-Adresse eines DNS-Servers für die Auflösung von Hostnamen in IPAdressen eingeben. 11 Geben Sie die [Default Gateway] -Adresse ein. 12 Wählen Sie für [Lease Time] aus, ob Sie die Adresse für den standardmäßigen Zeitraum (1 Tag) für den Client leasen möchten, oder geben Sie für den Zeitraum einen Wert in Sekunden an. 13 Klicken Sie auf [OK] . Weiter Stellen Sie sicher, dass der DHCP-Dienst aktiviert wurde. Weitere Informationen finden Sie unter „Starten oder Anhalten von vShield Edge-Diensten“, auf Seite 50 46 VMware, Inc. Kapitel 9 vShield Edge-Management Verwalten des VPN-Diensts vShield Edge-Module unterstützen Standort-zu-Standort-IPSec-VPNs zwischen einer vShield Edge-Instanz und Remote-Standorten. vShield Edge unterstützt die Zertifikatsauthentifizierung, den Pre-Shared Key-Modus, den IP-Unicast-Datenverkehr und kein dynamisches Routing-Protokoll zwischen vShield Edge und den Remote-VPN-Routern. Sie können hinter jedem Remote-VPN-Router mehrere Subnetze konfigurieren, um hinter einer vShield EdgeInstanz über IPSec-Tunnel eine Verbindung mit dem internen Netzwerk herzustellen. Diese Subnetze und das interne Netzwerk hinter einer vShield Edge-Instanz dürfen keine überlappenden Adressbereiche aufweisen. Sie können einen vShield Edge-Agenten hinter einem NAT-Gerät bereitstellen. In dieser Bereitstellung übersetzt das NAT-Gerät die VPN-Adresse einer vShield Edge-Instanz in eine aus dem Internet zugängliche öffentliche Adresse. Remote-VPN-Router verwenden diese öffentliche Adresse für den Zugriff auf die vShield Edge-Instanz. Remote-VPN-Router können sich ebenfalls hinter einem NAT-Gerät befinden. Zur Einrichtung des Tunnels müssen Sie sowohl die interne VPN-Adresse als auch die VPN-Gateway-ID angeben. Für die VPN-Adresse ist auf beiden Seiten eine statische 1:1-Netzwerkadressübersetzung erforderlich. Konfigurieren des VPN-Diensts für eine vShield Edge-Instanz Sie müssen eine externe IP-Adresse an der vShield Edge konfigurieren, um den VPN-Dienst anbieten zu können. Vorgehensweise 1 Navigieren Sie in vSphere Client zu [Bestandsliste] > [Netzwerk] . 2 Wählen Sie eine interne Portgruppe aus, die von einer vShield Edge-Instanz geschützt ist. 3 Klicken Sie auf die Registerkarte [vShield Edge] . 4 Klicken Sie auf den Link [VPN] . 5 Klicken Sie unter [Global Configuration] auf [Enable VPN] . Das Dialogfeld „Add VPN Configuration“ wird geöffnet. 6 Geben Sie die IP-Adresse der vShield Edge-Instanz in das Feld [Local Service IP Address] ein. 7 Geben Sie den vorinstallierten Schlüssel (Pre-Shared Key) in das Feld [PSK for Sites with any Peer IP] ein, wenn anonyme Sites eine Verbindung zum VPN-Dienst herstellen sollen. 8 Geben Sie einen Namen für die VPN-Verbindung in das Feld [VPN Gateway ID] ein. 9 Wählen Sie [Log] , um die VPN-Aktivitäten zu protokollieren. 10 Klicken Sie auf [OK] . Weiter Vervollständigen Sie das Authentifizierungszertifikat und laden Sie das signierte Zertifikat hoch. VMware, Inc. 47 vShield-Administratorhandbuch Konfigurieren des Authentifizierungszertifikats Um die Zertifikatsauthentifizierung für Ihren VPN-Dienst zu verwenden, können Sie eine Zertifikatssignierungs-Anforderung generieren, die Anforderung herunterladen, signieren lassen und das signierte Zerifikat anschließend hochladen. Generieren einer Zertifikatssignierungs-Anforderung (Certificate Signing Request, CSR) 1 Wählen Sie eine interne Portgruppe aus, die von einer vShield Edge-Instanz geschützt ist. 2 Klicken Sie auf die Registerkarte [vShield Edge] . 3 Klicken Sie auf den Link [VPN] . 4 Wählen Sie in der Option [Actions] unter [Global Configuration] [Generate CSR] . 5 Füllen Sie das Fomular „Generate Certificate Signing Request“ vollständig aus. 6 Klicken Sie auf [Generate] . Herunterladen einer generierten CSR 1 Wählen Sie in der Option [Actions] unter [Global Configuration] [Download Generated CSR] . 2 Klicken Sie auf [Copy CSR Text to Clipboard] , um das Zertifikat in die Zwischenablage zu kopieren. Sie müssen das Zertifikat an eine Zertifzierungsstelle (CA) senden, die das signierte Zertifikat an Sie zurücksendet. Hochladen eines CA-Zertifikats und eines signierten Zertifikats 1 Wählen Sie in der Option [Actions] unter [Global Configuration] [Upload Signed Certificate] . 2 Klicken Sie je nach Typ des hochzuladenden Zertifikats auf die entsprechende Registerkarte. 3 Fügen Sie den Zertifikatstext in das Feld [Certificate file text] ein. 4 Klicken Sie auf [Upload] . Das Zertifikat wird in der Liste „Uploaded Certificates“ angezeigt. 5 Klicken Sie auf [Save] . Hinzufügen einer VPN Peer-Site und eines Peer-Tunnels Eine End-to-End-VPN-Konfiguration benötigt mindestens eine Remote-Peer-Site, um über das Internet eine Verbindung zu vShield Edge herzustellen. Vorgehensweise 48 1 Navigieren Sie in vSphere Client zu [Bestandsliste] > [Netzwerk] . 2 Wählen Sie eine interne Portgruppe aus, die von einer vShield Edge-Instanz geschützt ist. 3 Klicken Sie auf die Registerkarte [vShield Edge] . 4 Klicken Sie auf den Link [VPN] . 5 Erweitern Sie [Peer Sites and Tunnels] . 6 Klicken Sie auf [Add Site] . 7 Geben Sie in [Peer Site name] einen Namen für den Standort ein. VMware, Inc. Kapitel 9 vShield Edge-Management 8 Geben Sie die [Peer Id] ein, um die Peer-Site eindeutig zu identifizieren. Bei Peers mit Zertifikatsauthentifizierung muss diese ID der allgemeine Name (common name) im PeerZertifikat sein. Bei PSK-Peers kann diese ID eine beliebige Zeichenfolge sein. VMware empfiehlt, dass Sie die öffentliche IP-Adresse des VPN oder ein FQDN für den VPN-Dienst als Peer-ID verwenden. 9 Geben Sie unter [Peer subnets] die IP-Adresse des Peer-Subnetzes ein. 10 Geben Sie unter [Local subnets] die Subnetzadresse von vShield Edge ein. 11 Geben Sie unter [MTU] den Schwellenwert für „Maximum Transmission Unit“ ein. Wenn Sie den Wert für MTU nicht angeben, wird der MTU-Wert der externen Schnittstelle von vShield Edge verwendet. 12 Wählen Sie unter [Encryption algorithm] den Verschlüsselungsalgorithmus aus. 13 Wählen Sie unter [Authentication Method] eine der folgenden Authentifizierungsmethoden aus: Option Beschreibung PSK (Pre Shared Key) Gibt an, dass der von vShield Edge und der Peer-Site gemeinsam genutzte geheime Schlüssel für die Authentifizierung verwendet wird. Der geheime Schlüssel kann eine Zeichenfolge mit einer Maximallänge von 128 Byte sein. Certificate Gibt an, dass das auf globaler Ebene definierte Zertifikat für die Authentifizierung verwendet wird. 14 Wählen Sie unter [Diffie-Hellman (DH) Group] das kryptographische Schema aus, das es der Peer-Site und vShield Edge ermöglicht, über einen ungesicherten Kommunikationskanal ein Shared Secret einzurichten. 15 Wählen Sie, ob der Schwellenwert für [Perfect Forward Secrecy (PFS)] aktiviert oder deaktiviert werden soll. Bei IPsec-Aushandlungen stellt Perfect Forward Secrecy (PFS) sicher, dass kein neuer kryptographischer Schlüssel eine Beziehung zu einem vorherigen Schlüssel hat. 16 Klicken Sie auf [OK] . vShield Edge erstellt einen Tunnel vom lokalen Subnetz zum Peer-Subnetz. Weiter Nachdem Sie eine VPN-Peer-Site identifiziert haben, müssen Sie Firewallregeln definieren, um festzulegen, wie der Datenverkehr zwischen dem lokalen Subnetz und dem Peer-Subnetz fließen soll. Hinzufügen einer statischen Route Sie können für Ihre nachfolgenden Datenpakete eine statische Route definieren. Vorgehensweise 1 Navigieren Sie in vSphere Client zu [Bestandsliste] > [Netzwerk] . 2 Wählen Sie eine interne Portgruppe aus, die von einer vShield Edge-Instanz geschützt ist. 3 Klicken Sie auf die Registerkarte [vShield Edge] . 4 Klicken Sie auf den Link [Static Routing] . 5 Klicken Sie auf [Add Route] . 6 Geben Sie die [Network] -IP-Adresse ein. 7 Geben Sie die IP-Adresse für [Next Hop] ein. 8 Wählen Sie unter [Interface] die Option [Internal] oder [External] aus. 9 Wählen Sie für [MTU] die Option [Use default value] aus oder geben Sie den maximalen Übertragungswert für die Datenpakete an. VMware, Inc. 49 vShield-Administratorhandbuch 10 Klicken Sie auf [Publish Changes] . Verwalten des Lastausgleichsdiensts vShield Edge bietet Lastausgleich für HTTP-Datenverkehr. Lastausgleich (bis Layer 7) ermöglicht die automatische Skalierung von Webanwendungen. Sie ordnen eine externe (oder öffentliche) IP-Adresse einem Satz interner Server für den Lastausgleich zu. Der Lastausgleichsdienst akzeptiert HTTP-Anforderungen über die externe IP-Adresse und entscheidet, welcher interne Server verwendet werden soll. Als Überwachungsport für den Lastausgleichsdienst wird standardmäßig Port 80 verwendet. Konfigurieren des Lastausgleichsdiensts Der Lastausgleichsdienst benötigt mindestens zwei Server zum Verteilen des HTTP-Datenverkehrs. Sie können für den Lastausgleichsdienst zwei oder mehr virtuelle Maschinen hinter einer vShield Edge angeben. Vorgehensweise 1 Navigieren Sie in vSphere Client zu [Bestandsliste] > [Netzwerk] . 2 Wählen Sie eine interne Portgruppe aus, die von einer vShield Edge-Instanz geschützt ist. 3 Klicken Sie auf die Registerkarte [vShield Edge] . 4 Klicken Sie auf den Link [Load Balancer] . 5 Klicken Sie auf [Add Configuration] . 6 Geben Sie die [External IP Addresses] ein. 7 Wählen Sie den Lastausgleichsalgorithmus aus. 8 (Optional) Aktivieren Sie das Kontrollkästchen „Logging“, um für jede Anforderung ein Syslog-Ereignis an die externe IP-Adresse zu senden. 9 Klicken Sie auf [Add] . 10 Geben Sie die IP-Adresse des ersten Webservers ein. 11 Klicken Sie auf [Add] . Sie können über dieselbe Vorgehensweise weitere Webserver hinzufügen. 12 Klicken Sie auf [Commit] . 13 Wenn der Lastausgleichsdienst nicht aktiviert ist, aktivieren Sie ihn. Siehe „Starten oder Anhalten von vShield Edge-Diensten“, auf Seite 50. Starten oder Anhalten von vShield Edge-Diensten Sie können den VPN-, DHCP- und Lastausgleichsdienst einer vShield Edge-Instanz über vSphere Client starten und anhalten. Sämtliche Dienste sind standardmäßig angehalten oder weisen den Status „Not Configured“ auf. Sobald Sie einen Dienst konfiguriert haben, wird er von vShield Edge gestartet. HINWEIS Konfigurieren Sie einen Dienst, bevor Sie ihn starten. Die standardmäßige Firewallrichtlinie blockiert den gesamten Datenverkehr. Nachdem Sie einen VPN-, DHCP- oder Lastausgleichsdienst konfiguriert haben, müssen Sie die entsprechenden Firewallregeln für diesen Datenverkehr hinzufügen, damit der Datenpfad für diese Dienste funktionieren kann. 50 VMware, Inc. Kapitel 9 vShield Edge-Management Vorgehensweise 1 Navigieren Sie in vSphere Client zu [Bestandsliste] > [Netzwerk] . 2 Wählen Sie eine interne Portgruppe aus, die von einer vShield Edge-Instanz geschützt ist. 3 Klicken Sie auf die Registerkarte [vShield Edge] . 4 Klicken Sie auf den Link [Status] . 5 Wählen Sie unter Edge Services einen Dienst aus und klicken Sie auf [Start] , um den Dienst zu starten. Wählen Sie einen Dienst aus und klicken Sie auf [Stop] , um einen ausgeführten Dienst anzuhalten. 6 Klicken Sie auf [Refresh Status] , um den Status eines Diensts auf vShield Edge zu aktualisieren. 7 Falls ein Dienst gestartet wurde, aber nicht antwortet, oder wenn der Dienst nicht mit den Angaben von vShield Manager synchron ist, klicken Sie auf [Force Sync] , um eine Synchronisierungsanforderung von vShield Manager an vShield Edge zu senden. Upgrade der vShield Edge-Software Die vShield Edge-Software wird für jede vShield Edge-Instanz einzeln aktualisiert. vShield Edge-Upgrades müssen getrennt von vShield Manager-basierten Upgrades ausgeführt werden. Vorgehensweise 1 Navigieren Sie in vSphere Client zu [Bestandsliste] > [Netzwerk] . 2 Wählen Sie eine interne Portgruppe aus, die von einer vShield Edge-Instanz geschützt ist. 3 Klicken Sie auf die Registerkarte [vShield Edge] . 4 Klicken Sie auf den Link [Status] . 5 Klicken Sie rechts neben der Überschrift [Configuration] auf den Link [Upgrade to] , um die UpgradeDatei zu installieren. Dieser Link wird nur dann angezeigt, wenn ein Upgrade zur Verfügung steht. Erneutes Bereitstellen von vShield Edge Falls vShield Edge nicht in Ihrer vCenter-Bestandsliste gefunden wird, müssen Sie vShield Edge neu bereitstellen. Vorgehensweise 1 Navigieren Sie in vSphere Client zu [Bestandsliste] > [Netzwerk] . 2 Wählen Sie eine interne Portgruppe aus, die von einer vShield Edge-Instanz geschützt ist. 3 Klicken Sie auf die Registerkarte [vShield Edge] . 4 Klicken Sie auf den Link [Status] . 5 Klicken Sie auf [Re-deploy] . VMware, Inc. 51 vShield-Administratorhandbuch 52 VMware, Inc. vShield App-Management 10 vShield App ist eine Hypervisor-basierte Firewall, die Anwendungen im virtuellen Datencenter vor netzwerkbasierten Angriffen schützt. Organisationen erhalten Sichtbarkeit und Kontrolle über die Netzwerkkommunikation zwischen virtuellen Maschinen. Sie können Zugriffssteuerungsrichtlinien anhand logischer Konstrukte, wie z. B. VMware vCenter™-Container und vShield-Sicherheitsgruppen, und nicht nur anhand physischer Konstrukte, wie z. B. IP-Adressen, erstellen. Außerdem bietet die flexible IP-Adressierung die Möglichkeit, dieselbe IP-Adresse in mehreren Tenant-Zonen zu verwenden, was die Bereitstellung vereinfacht. Sie sollten vShield App auf jedem ESX-Host innerhalb eines Clusters installieren, damit VMware vMotionVorgänge funktionieren und virtuelle Maschinen geschützt bleiben, wenn sie zwischen ESX-Hosts migriert werden. Standardmäßig kann eine virtuelle vShield App-Appliance nicht mit vMotion verschoben werden. Die Flow Monitoring-Funktion zeigt Netzwerkaktivitäten zwischen virtuellen Maschinen auf der Anwendungsprotokollebene an. Sie können anhand dieser Informationen den Netzwerkdatenverkehr überwachen, Firewallrichtlinien definieren bzw. verfeinern und Botnets erkennen. Dieses Kapitel behandelt die folgenden Themen: n „Senden von vShield App-Systemereignissen an einen Syslog-Server“, auf Seite 53 n „Anzeigen des aktuellen Systemstatus einer vShield App-Instanz“, auf Seite 54 Senden von vShield App-Systemereignissen an einen Syslog-Server Sie können vShield App-Systemereignisse an einen Syslog-Server senden. Vorgehensweise 1 Navigieren Sie im vSphere-Client zu [Bestandsliste] > [Hosts und Cluster] . 2 Wählen Sie einen Host aus der Ressourcenstruktur aus. 3 Klicken Sie auf die Registerkarte [vShield] . 4 Erweitern Sie vShield App SVM. 5 Geben Sie im Bereich „Syslog Servers“ die IP-Adresse des Syslog-Servers ein. 6 Wählen Sie im Dropdown-Menü [Log Level] die Ereignisstufe aus, ab der vShield App-Ereignisse an den Syslog-Server gesendet werden sollen. Wenn Sie z.B. [Emergency] auswählen, werden lediglich Notfallereignisse an den Syslog-Server gesendet. Bei Auswahl von [Critical] werden kritische Ereignisse sowie Warn- und Notfallereignisse an den Syslog-Server gesendet. vShield App-Ereignisse werden an bis zu drei Syslog-Instanzen gesendet. 7 VMware, Inc. Klicken Sie auf [Save] , um die neuen Einstellungen zu speichern. 53 vShield-Administratorhandbuch Anzeigen des aktuellen Systemstatus einer vShield App-Instanz Über die Option [System Status] können Sie den Integritätsstatus einer vShield App-Instanz anzeigen und beeinflussen. Die angezeigten Details umfassen Systemstatistiken, den Status von Schnittstellen, die Softwareversion sowie Umgebungsvariablen. Vorgehensweise 1 Navigieren Sie in vSphere Client zu [Bestandsliste] > [Hosts und Cluster] . 2 Wählen Sie aus der Ressourcenstruktur einen Host aus. 3 Klicken Sie auf die Registerkarte [vShield] . 4 Erweitern Sie vShield App SVM. Im Bereich „Resource Utilization“ werden die Systemdetails für die vShield App angezeigt. Erzwingen der Synchronisierung einer vShield App-Instanz mit vShield Manager Über die Option [Force Sync] wird die erneute Synchronisierung einer vShield App-Instanz mit vShield Manager erzwungen. Dies kann nach einem Software-Upgrade erforderlich sein. Vorgehensweise 1 Navigieren Sie in vSphere Client zu [Bestandsliste] > [Hosts und Cluster] . 2 Wählen Sie aus der Ressourcenstruktur einen Host aus. 3 Klicken Sie auf die Registerkarte [vShield] . 4 Erweitern Sie vShield App SVM. 5 Klicken Sie auf [Force Sync] . Neustarten einer vShield App-Instanz Sie können eine vShield App-Instanz neu starten, um ein Problem bei der Ausführung zu beheben. Vorgehensweise 1 Navigieren Sie in vSphere Client zu [Bestandsliste] > [Hosts und Cluster] . 2 Wählen Sie aus der Ressourcenstruktur einen Host aus. 3 Klicken Sie auf die Registerkarte [vShield] . 4 Erweitern Sie vShield App SVM. 5 Klicken Sie auf [Restart] . Anzeigen von Datenverkehrstatistiken nach vShield App-Instanz Sie können die Datenverkehrstatistiken für die einzelnen vShield-Instanzen anzeigen. Vorgehensweise 1 Navigieren Sie in vSphere Client zu [Bestandsliste] > [Hosts und Cluster] . 2 Wählen Sie aus der Ressourcenstruktur einen Host aus. 3 Klicken Sie auf die Registerkarte [vShield] . 4 Erweitern Sie vShield App SVM. Im Bereich „Management Port Interface“ wird die Datenverkehrsstatistik für die vShield App angezeigt. 54 VMware, Inc. vShield App Flow Monitoring 11 Flow Monitoring ist ein Tool zur Datenverkehrsanalyse, mit dem Sie detaillierte Informationen zum Datenverkehr in Ihrem virtuellen Netzwerk anzeigen können, der eine vShield App-Instanz durchläuft. Die Flow Monitoring-Ausgabe zeigt, welche Maschinen Daten über welche Anwendung austauschen. Diese Daten umfassen die Anzahl von Sitzungen und Paketen sowie die Bytes, die pro Sitzung übertragen werden. Die Sitzungsdetails umfassen die Quellen, Ziele, Sitzungsrichtungen und Anwendungen sowie die verwendeten Ports. Anhand der Sitzungsdetails können App Firewall-Regeln zum Zulassen oder Ablehnen von Datenverkehr erstellt werden. Sie können Flow Monitoring als forensisches Tool zum Ermitteln von nicht autorisierten Diensten sowie zum Untersuchen ausgehender Sitzungen nutzen. Dieses Kapitel behandelt die folgenden Themen: n „Grundlegendes zur Flow Monitoring-Anzeige“, auf Seite 55 n „Ändern des Datumsbereichs der Flow Monitoring-Diagramme“, auf Seite 56 n „Anzeigen einer bestimmten Anwendung in den Flow Monitoring-Diagrammen“, auf Seite 56 n „Anzeigen des Flow Monitoring-Berichts“, auf Seite 57 n „Löschen aller aufgezeichneten Flow-Daten“, auf Seite 58 Grundlegendes zur Flow Monitoring-Anzeige Auf der Registerkarte [Flow Monitoring] werden die von einer vShield App-Instanz zurückgegebenen Durchsatzstatistiken angezeigt. Flow Monitoring zeigt die Datenverkehrsstatistiken in drei Diagrammen an: Sitzungen/Std. Gesamtzahl an Sitzungen pro Stunde Server-KB/Std. Anzahl von ausgehenden KB pro Stunde Client/Std. Anzahl von eingehenden KB pro Stunde Flow Monitoring organisiert die Statistiken nach den bei der Client-Server-Kommunikation verwendeten Anwendungsprotokollen. Dabei wird jedes Anwendungsprotokoll im Diagramm durch eine andere Farbe dargestellt. So können Sie die Nutzung Ihrer Serverressourcen nach Anwendung nachverfolgen. Die Datenverkehrsstatistiken zeigen alle untersuchten Sitzungen innerhalb des angegebenen Zeitraums an. Standardmäßig werden die Daten der letzten sieben Tage angezeigt. VMware, Inc. 55 vShield-Administratorhandbuch Ändern des Datumsbereichs der Flow Monitoring-Diagramme Sie können den Datumsbereich der Flow Monitoring-Diagramme ändern, um eine Verlaufsansicht der Datenverkehrsdaten anzuzeigen. Vorgehensweise 1 Wählen Sie im vSphere-Client ein Datencenter, eine virtuelle Maschine, eine Portgruppe oder einen Netzwerkadapter aus. Option Aktion Auswählen eines Datencenters oder einer virtuellen Maschine Wechseln Sie zu [Inventory] > [Hosts and Clusters] Auswählen einer Portgruppe oder eines Netzwerkadapters Navigieren Sie zu [Inventory] > [Networking] 2 Klicken Sie auf die Registerkarte [vShield] . 3 Klicken Sie auf [Flow Monitoring] . Die Diagramme werden aktualisiert und zeigen die aktuellen Informationen für die letzten sieben Tage an. Dieser Vorgang kann einige Sekunden in Anspruch nehmen. 4 Geben Sie neben [Time period] ein neues Startdatum in das linke Textfeld ein. Dieses Datum ist das Anfangsdatum des Zeitraums für die Abfrage. 5 Geben Sie in das rechte Textfeld ein neues Enddatum ein. Dieses Datum ist das Enddatum des Zeitraums für die Abfrage. 6 Klicken Sie auf [Update] . Anzeigen einer bestimmten Anwendung in den Flow MonitoringDiagrammen Sie können eine bestimmte Anwendung in den Diagrammen auswählen, indem Sie auf das Dropdown-Menü [Application] klicken. Vorgehensweise 1 Wählen Sie im vSphere-Client ein Datencenter, eine virtuelle Maschine, eine Portgruppe oder einen Netzwerkadapter aus. Option Aktion Auswählen eines Datencenters oder einer virtuellen Maschine Wechseln Sie zu [Inventory] > [Hosts and Clusters] Auswählen einer Portgruppe oder eines Netzwerkadapters Navigieren Sie zu [Inventory] > [Networking] 2 Klicken Sie auf die Registerkarte [vShield] . 3 Klicken Sie auf [Flow Monitoring] . 4 Wählen Sie im Dropdown-Menü [Application] die Anwendung aus, die angezeigt werden soll. Die Flow Monitoring-Diagramme werden aktualisiert und zeigen die Daten für die ausgewählte Anwendung an. 56 VMware, Inc. Kapitel 11 vShield App Flow Monitoring Anzeigen des Flow Monitoring-Berichts Sie können den Bericht zum Flow Monitoring generieren. Er enthält Informationen zu den zulässigen und den blockierten Paketen, die von Ihren vShield App-Instanzen gemeldet wurden. Vorgehensweise 1 Wählen Sie im vSphere-Client ein Datencenter, eine virtuelle Maschine, eine Portgruppe oder einen Netzwerkadapter aus. Option Aktion Auswählen eines Datencenters oder einer virtuellen Maschine Wechseln Sie zu [Inventory] > [Hosts and Clusters] Auswählen einer Portgruppe oder eines Netzwerkadapters Navigieren Sie zu [Inventory] > [Networking] 2 Klicken Sie auf die Registerkarte [vShield] . 3 Klicken Sie auf [Flow Monitoring] . Die Diagramme werden aktualisiert und zeigen die aktuellen Informationen für die letzten sieben Tage an. Dieser Vorgang kann einige Sekunden in Anspruch nehmen. 4 Klicken Sie auf [Show Report] . 5 Führen Sie einen Drilldown für den Bericht durch. 6 Klicken Sie für eine virtuelle Maschine oder einen Netzwerkadapter auf [Show Latest] , um die Berichtsstatistik zu aktualisieren. Anzeigen von Daten im Flow Monitoring-Bericht Der Flow Monitoring-Bericht enthält die Datenverkehrsstatistiken im Tabellenformat. Sie können in diesem Bericht basierend auf der folgenden Hierarchie einen Drilldown für die Datenverkehrsstatistiken durchführen: 1 Wählen Sie die Firewall-Aktion: [Allowed] oder [Blocked] . 2 Wählen Sie ein L4- oder L2-/L3-Protokoll. n L4: [TCP] , [UDP] oder [Dynamic TCP] n L2/L3: [ICMP] , [OTHER-IPV4, ETH_GENERIC, ARP, or RARP.] 3 Wenn ein L2-/L3-Protokoll ausgewählt wurde, muss ein L2-/L3-Protokoll oder -Nachrichtentyp ausgewählt werden. 4 Wählen Sie die Richtung des Datenverkehrs: [Incoming] oder [Outgoing] . 5 Wählen Sie den Porttyp: [Categorized] (standardisierte Ports) oder [Uncategorized] (nicht standardisierte Ports). 6 Wählen Sie eine Anwendung, einen Port oder eine Portgruppe aus. 7 Auswählen eines Betriebssystems. 8 Wählen Sie eine Ziel-IP-Adresse. Für ein TCP- oder UDP-Protokoll können Sie eine Regel für App Firewall auf der Ebene der IP-Zieladresse erstellen. VMware, Inc. 57 vShield-Administratorhandbuch Hinzufügen einer App Firewall-Regel über den Flow Monitoring-Bericht Indem Sie einen Drilldown für die Datenverkehrsdaten durchführen, können Sie die Nutzung Ihrer Ressourcen auswerten und Sitzungsinformationen an die App Firewall senden, um eine neue Layer 4-Regel zum Zulassen oder Ablehnen von Datenverkehr zu erstellen. Das Erstellen der App Firewall-Regel aus Flow Monitoring-Daten steht auf Datencenterebene nur für TCP- und UDP-Protokolle zur Verfügung. Vorgehensweise 1 Melden Sie sich bei der vShield Manager-Benutzeroberfläche an.. 2 Wählen Sie im Bestandslistenbereich eine Datencenterressource aus. 3 Klicken Sie auf [Flow Monitoring] . Die Diagramme werden aktualisiert und zeigen die aktuellen Informationen für die letzten sieben Tage an. Dieser Vorgang kann einige Sekunden in Anspruch nehmen. 4 Klicken Sie auf [Show Report] . 5 Erweitern Sie die Liste der Firewall-Aktionen. 6 Erweitern Sie die Transportprotokollliste. 7 Erweitern Sie die Liste der Datenverkehrsrichtungen. 8 Erweitern Sie die Liste der Porttypen. 9 Erweitern Sie die Liste der Anwendungen oder Portgruppen. 10 Erweitern Sie die Liste der Quell- bzw. Ziel-IP-Adressen. Dies ist die IP-Adresse einer virtuellen Maschine in Ihrem Netzwerk. 11 Klicken Sie für eine Ziel-IP-Adresse in der Spalte [Firewall] auf [Add Rule] , um eine App FirewallRegel zu erstellen. Ein Popup-Fenster wird geöffnet. Klicken Sie auf [Ok] , um fortzufahren. Das Fenster Add wird geöffnet. HINWEIS Die Option [Add Rule] steht nur für TCP- und UDP-Protokolle zur Verfügung. 12 Füllen Sie das Fomular vollständig aus, um die Firewallregel zu konfigurieren. Weitere Informationen finden Sie unter „Arbeiten mit Anwendungs-Firewallregeln“, auf Seite 66 13 Klicken Sie auf OK. Löschen aller aufgezeichneten Flow-Daten Auf Datencenterebene können die Daten für alle aufgezeichneten Datenverkehrssitzungen innerhalb des Datencenter gelöscht werden. Bei diesem Vorgang werden die Daten aus den Diagrammen, aus dem Bericht und aus der Datenbank gelöscht. Diese Option wird normalerweise nur verwendet, wenn Sie Ihre vShield AppBereitstellung aus einer Testumgebung in eine Produktionsumgebung verschieben. Verwenden Sie diese Funktion nicht, wenn ein Verlauf der Datenverkehrssitzungen beibehalten werden muss. Vorgehensweise 58 1 Wählen Sie in der Bestandsliste eine Datencenterressource aus. 2 Klicken Sie auf die Registerkarte [Flow Monitoring] . 3 Klicken Sie auf [Delete All Flows] . VMware, Inc. Kapitel 11 vShield App Flow Monitoring 4 Klicken Sie im Popup-Fenster auf [Ok] , um den Löschvorgang zu bestätigen. VORSICHT Nachdem Sie auf [Delete All Flows] geklickt haben, können die Datenverkehrsdaten nicht wiederhergestellt werden. VMware, Inc. 59 vShield-Administratorhandbuch 60 VMware, Inc. vShield App Firewall-Management 12 vShield App bietet Firewall-Schutz, indem Zugriffsrichtlinien erzwungen werden. Die Registerkarte App Firewall enthält die Zugriffssteuerungsliste für die vShield App Firewall. Dieses Kapitel behandelt die folgenden Themen: n „Verwenden der App Firewall“, auf Seite 61 n „Arbeiten mit Anwendungen“, auf Seite 63 n „Gruppieren von Objekten“, auf Seite 65 n „Arbeiten mit Anwendungs-Firewallregeln“, auf Seite 66 n „Verwenden von SpoofGuard“, auf Seite 67 Verwenden der App Firewall Der App Firewall-Dienst stellt eine zentrale, hierarchische Firewall für ESX-Hosts dar. Die App Firewall ermöglicht das Erstellen von Regeln, die den Zugriff auf virtuelle Maschinen sowie den Zugriff durch virtuelle Maschinen zulassen oder unterbinden. Jede installierte vShield App Instanz erzwingt die App Firewall-Regeln. Sie können App Firewall-Regeln auf Datencenter-, Cluster- und Portgruppenebene verwalten, um für mehrere vShield App-Instanzen unter diesen Containern einen einheitlichen Regelsatz bereitzustellen. Während sich die Zugehörigkeit zu diesen Containern dynamisch ändern kann, behält die App Firewall den Status vorhandener Sitzungen bei, ohne dass eine Neukonfiguration von Firewall-Regeln erforderlich ist. Auf diese Weise ist die App Firewall durchgängig und effektiv für alle ESX-Hosts unter den verwalteten Containern aktiviert. Namespaces in einer Multi-Tenant-Umgebung In einem Multi-Tenant-Modus können Sie mit vShield App eine unabhängige IP-Adresse zu bestimmten Portgruppen zuweisen. Standardmäßig verwenden alle Portgruppen in einem Datencenter dieselbe IP-Adresse. Sie können einen unabhängigen Namespace zu einer Portgruppe zuweisen. Dann gelten die Firewallregeln auf Datencenterebene nicht mehr für diese Portgruppe. Sie können die Namespace-Funktion in Verbindung mit den Sicherheitsgruppen verwenden, um Firewallregeln nach Tenant zu trennen. So weisen Sie einer Portgruppe eine unabhängige IP-Adresse zu 1 Navigieren Sie in vSphere Client zu [Bestandsliste] > [Netzwerk] . 2 Wählen Sie in der Ressourcenstruktur eine Portgruppe aus. 3 Klicken Sie auf die Registerkarte [vShield] . 4 Klicken Sie auf [Namespace] . VMware, Inc. 61 vShield-Administratorhandbuch 5 Klicken Sie auf [Change to Independent namespace] . 6 Klicken Sie auf [Reload] , um die aktualisierten Informationen anzuzeigen. Grundlegendes zu Anwendungen Mit vShield App können Sie Anwendungen erstellen und anschließend Firewallregeln für diese Anwendungen definieren. Alle benutzerdefinierten Anwendung-Port-Paarzuordnungen, die Sie möglicherweise auf einer vorherigen Ebene festgelegt haben, werden als Standardanwendungen angezeigt. Sie können eine Anwendung auf Datencenter- oder Portgruppenebene erstellen. Wenn Sie eine Anwendung für eine Portgruppe mit einem unabhängigen Namespace erstellen, ist der Geltungsbereich der Anwendung auf diese Portgruppe begrenzt. Entwerfen von Sicherheitsgruppen Beim Erstellen von App Firewall-Regeln können Sie Regeln basierend auf dem Datenverkehr zu oder von einem bestimmten Container definieren, die für alle Ressourcen in diesem Container gelten. Sie können beispielsweise eine Regel festlegen, die jeglichen Datenverkehr innerhalb eines Clusters unterbindet, der ein bestimmtes Ziel außerhalb des Clusters hat. Sie können eine Regel erstellen, um keinen eingehenden Datenverkehr zuzulassen, der über keine VLAN-ID verfügt. Wenn Sie einen Container als Quelle oder Ziel angeben, werden alle IP-Adressen innerhalb dieses Containers in der Regel berücksichtigt. Eine Sicherheitsgruppe ist eine vertrauenswürdige Zone, die Sie zum Zweck des App Firewall-Schutzes erstellen und der Sie Ressourcen zuweisen. Sicherheitsgruppen sind Container, wie eine vApp oder ein Cluster. Sicherheitsgruppen ermöglichen das Erstellen eines Containers, indem Ressourcen wie virtuelle Maschinen und Netzwerkadapter nach Wunsch zugewiesen werden. Nach der Erstellung einer Sicherheitsgruppe fügen Sie die Gruppe dem Quell- oder Zielfeld einer App Firewall-Regel als Container hinzu. Weitere Informationen finden Sie unter „Gruppieren von Objekten“, auf Seite 65. Grundlegendes zu systemdefinierten Regeln in App Firewall Standardmäßig erzwingt die App Firewall einen Regelsatz, der die Durchleitung von Datenverkehr durch alle vShield App-Instanzen zulässt. Diese Regeln sind im L3- und L2-Abschnitt [System Defined] der App Firewall-Tabelle enthalten. Die Standardregeln können nicht gelöscht oder ergänzt werden. Sie können jedoch das Element [Action] einer Regel von [Allow] in [Deny] ändern. Grundlegendes zu Layer 3- und Layer 2-Regeln Die Registerkarte [App Firewall] bietet mehrere Sätze konfigurierbarer Regeln: Layer 3-Regeln (L3-Regeln) und Layer 2-Regeln (L2-Regeln). „Layers“ entsprechen Schichten im OSI-Referenzmodell (Open Systems Interconnection). Layer 3- und Layer 2-Regeln überwachen den Datenverkehr von ICMP-, ARP- und anderen Layer 3- und Layer 2-Protokollen. Sie können Layer 3- und Layer 2-Regeln nur auf Datencenterebene konfigurieren. Standardmäßig darf der gesamte L3- und L2-Datenverkehr durchgeleitet werden. Hierarchie von App Firewall-Regeln Jede vShield App-Instanz erzwingt App Firewall-Regeln in absteigender Reihenfolge. Eine vShield App-Instanz vergleicht jede Datenverkehrssitzung zunächst mit der obersten Regel in der App Firewall-Tabelle und anschließend mit den nachfolgenden Regeln in der Tabelle. Die erste Regel in der Tabelle, die den Datenverkehrsparametern entspricht, wird erzwungen. Die Regeln werden in der folgenden Hierarchie erzwungen: 1 62 [High Precedence] VMware, Inc. Kapitel 12 vShield App Firewall-Management 2 [Network] 3 [Low Precedence] 4 [ System Defined ] Die App Firewall bietet Konfigurationen für die Containerebene und benutzerdefinierte vorrangige Prioritäten: n Vorrang der Containerebene bezieht sich auf das Anerkennen, dass die Datencenterebene eine höhere Priorität als die Clusterebene hat. Wenn eine Regel auf Datencenterebene konfiguriert wird, gilt die Regel für alle zu dieser Ebene gehörigen Cluster und vShield-Agenten. Eine Regel auf Clusterebene gilt nur für die vShield App-Instanz innerhalb des Clusters. n Benutzerdefinierte vorrangige Priorität bezieht sich auf die Option des Zuweisens eines hohen oder niedrigen Vorrangs zu Regeln auf Datencenterebene. Regeln mit hohem Vorrang funktionieren, wie zuvor im Abschnitt zum Vorrang der Containerebene beschrieben. Regeln mit niedrigem Vorrang umfassen die Standardregeln und die Konfiguration von Regeln mit niedrigem Vorrang für das Datencenter. Dank dieser Flexibilität ist das Erkennen mehrerer Schichten geltender Vorränge möglich. Auf Clusterebene konfigurieren Sie Regeln, die für alle vShield App-Instanzen innerhalb des Clusters gelten. Da Regeln mit hohem Vorrang für das Datencenter über den Regeln auf Clusterebene angesiedelt sind, vergewissern Sie sich, dass kein Konflikt mit den Regeln mit hohem Vorrang für das Datencenter vorliegt. Planen der Erzwingung von App Firewall-Regeln Mithilfe der App Firewall können Sie basierend auf der geltenden Netzwerkrichtlinie Zulassungs- und Ablehnungsregeln konfigurieren. In den folgenden Beispielen werden zwei gängige Firewall-Richtlinien beschrieben: Gesamten Datenverkehr standardmäßig zulassen Sie lassen standardmäßig den gesamten Datenverkehr zu und fügen Ablehnungsregeln basierend auf Flow Monitoring-Daten oder einer manuellen App Firewall-Regelkonfiguration hinzu. Wenn in diesem Szenario eine Sitzung keiner der Ablehnungsregeln entspricht, lässt die vShield App-Instanz die Durchleitung des Datenverkehrs zu. Gesamten Datenverkehr standardmäßig nicht zulassen Sie können den [Action] -Status der Standardregeln von [Allow] in [Deny] ändern und explizit für bestimmte Systeme und Anwendungen Zulassungsregeln hinzufügen. Wenn in diesem Szenario eine Sitzung keiner der Zulassungsregeln entspricht, unterbindet die vShield App-Instanz die Sitzung, bevor sie ihr Ziel erreicht. Wenn Sie die Standardregeln so ändern, dass der gesamte Datenverkehr unterbunden wird, lässt die vShield App-Instanz weder ein- noch ausgehenden Datenverkehr zu. Arbeiten mit Anwendungen Sie können eine Anwendung erstellen und dann die Regeln für diese Anwendung definieren. Erstellen einer Anwendung Alle benutzerdefinierten Anwendung-Port-Paarzuordnungen, die Sie möglicherweise auf einer vorherigen Ebene festgelegt haben, werden als Standardanwendungen angezeigt. Vorgehensweise 1 Navigieren Sie in vSphere Client zu [Bestandsliste] > [Hosts und Cluster] . 2 Wählen Sie in der Bestandsliste eine Datencenterressource aus. VMware, Inc. 63 vShield-Administratorhandbuch 3 Klicken Sie auf die Registerkarte [Applications] . 4 Klicken Sie auf [Add] . Das Fenster „Add Application“ wird geöffnet. 5 Geben Sie unter [Name] einen Namen zur Identifikation der Anwendung ein. 6 (Optional) Geben Sie unter [Description] eine Beschreibung der Anwendung ein. 7 (Optional) Wählen Sie unter [Protocol] ein Protokoll aus, dem Sie einen nicht standardmäßigen Port hinzufügen möchten. 8 Geben Sie unter „ [Ports] =“ die Portnummer(n) ein. 9 Klicken Sie auf [Save] . Die benutzerdefinierte Anwendung wird in der Tabelle „Applications“ angezeigt. Bearbeiten einer Anwendung Sie können nur benutzerdefinierte Anwendungen bearbeiten. Vorgehensweise 1 Navigieren Sie in vSphere Client zu [Bestandsliste] > [Hosts und Cluster] . 2 Wählen Sie in der Bestandsliste eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Applications] . 4 Wählen Sie eine benutzerdefinierte Anwendung aus und klicken Sie auf [Edit] . Das Fenster „Edit Application“ wird geöffnet. 5 Nehmen Sie die entsprechenden Änderungen vor. 6 Klicken Sie auf [OK] . Löschen einer Anwendung Sie können nur benutzerdefinierte Anwendungen löschen. Vorgehensweise 1 Navigieren Sie in vSphere Client zu [Bestandsliste] > [Hosts und Cluster] . 2 Wählen Sie in der Bestandsliste eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [Applications] . 4 Wählen Sie eine benutzerdefinierte Anwendung aus und klicken Sie auf [Delete] Das Dialogfeld „Delete Application“ wird geöffnet. 5 Klicken Sie auf [Yes] . Die Anwendung wird gelöscht. 64 VMware, Inc. Kapitel 12 vShield App Firewall-Management Gruppieren von Objekten Mit der Gruppierungsfunktion können Sie benutzerdefinierte Container erstellen, denen Sie zum Schutz durch die App Firewall Ressourcen wie virtuelle Maschinen und Netzwerkadapter hinzufügen können. Nach dem Definieren einer Gruppe können Sie diese zum Schutz als Quelle oder Ziel zu einer Firewallregel hinzufügen. Erstellen einer IP- oder MAC-Adressgruppe Sie können eine IP- oder MAC-Adressgruppe erstellen, die aus einem Bereich von IP-/MAC-Adressen besteht. Sie können diese Gruppe anschließend als Quelle oder Ziel in einer Firewallregel verwenden. Vorgehensweise 1 Klicken Sie in vSphere Client auf eine Datencenterressource. 2 Klicken Sie auf die Registerkarte [vShield] . 3 Klicken Sie auf die Registerkarte [Grouping] . 4 Klicken Sie auf [Add] und wählen Sie [IP Addresses] oder [MAC Addresses] aus. Das Fenster „Add IP Addresses“ bzw. „Add MAC Addresses“ wird geöffnet. 5 Geben Sie einen Namen für die Adressgruppe ein. 6 Geben Sie eine Beschreibung für die Adressgruppe ein. 7 Geben Sie die IP- bzw. MAC-Adressen ein, die zur Gruppe hinzugefügt werden sollen. 8 Klicken Sie auf [OK.] Erstellen einer Sicherheitsgruppe In vSphere Client können Sie eine Sicherheitsgruppe auf der Portgruppenebene hinzufügen. Vorgehensweise 1 Klicken Sie in vSphere Client auf eine Datencenterressource. 2 Klicken Sie auf die Registerkarte [vShield] . 3 Klicken Sie auf die Registerkarte [Grouping] . 4 Klicken Sie auf [Add] und wählen Sie [Security Group] . Das Fenster „Add Security Group“ wird mit dem ausgewählten Datencenter geöffnet, das als [Scope] (Geltungsbereich) angezeigt wird. 5 Geben Sie einen Namen und eine Beschreibung für die Sicherheitsgruppe ein. 6 Klicken Sie auf [Next] . 7 Klicken Sie in das Feld neben der Schaltfläche „Add“ und wählen Sie die Ressource aus, die Sie in die Sicherheitsgruppe aufnehmen möchten. 8 Klicken Sie auf [Add] . Die ausgewählte Ressource wird in der Liste unterhalb der Schaltfläche „Add“ angezeigt. Sie können der Sicherheitsgruppe mehrere Ressourcen hinzufügen. Wenn Sie einer Sicherheitsgruppe eine Ressource hinzufügen, werden automatisch auch alle zugewiesenen Ressourcen hinzugefügt. Wenn Sie beispielsweise eine virtuelle Maschine auswählen, wird die zugewiesene vNIC automatisch zur Sicherheitsgruppe hinzugefügt. 9 VMware, Inc. Klicken Sie auf [Finish.] 65 vShield-Administratorhandbuch Arbeiten mit Anwendungs-Firewallregeln Sie können L3- und L2-Firewallregeln mit hohem und niedrigem Vorrang hinzufügen. Hinzufügen einer Anwendungs-Firewallregel Sie können eine Anwendungs-Firewallregel auf verschiedenen Containerebenen hinzufügen. Vorgehensweise 1 Wechseln Sie im vSphere-Client zu [Bestandsliste] > [Hosts und Cluster] und wählen Sie ein Datencenter aus oder wechseln Sie zu [Bestandsliste] > [Netzwerk] und wählen Sie eine Portgruppe aus. 2 Klicken Sie auf die Registerkarte [vShield App] . 3 Klicken Sie auf [App Firewall] . 4 Klicken Sie im Bereich für High Precedence, Network oder Low Precedence auf [Add Rule] . Das Fenster „Add Rule“ wird geöffnet. HINWEIS Nachdem Sie in einem dieser Bereiche eine Regel erstellt haben, müssen Sie über der Spalte „Source“ auf die Schaltfläche Add klicken, um zusätzliche Regeln hinzuzufügen. 5 Füllen Sie das Fomular vollständig aus, um die Firewallregel zu konfigurieren. Option Beschreibung Quelle Container oder IP-Adresse des Ursprungs der Kommunikation. Source boundary Richtung im Verhältnis zur Quelle, aus der die Kommunikation stammt. Ziel Container oder IP-Adresse des Ziels der Kommunikation. Destination boundary Richtung im Verhältnis zum Ziel der Kommunikation. Protokoll Protokoll für die Regel. Protokollierung Legt fest, ob alle Sitzungen protokolliert werden sollen, die unter diese Regel fallen. Aktiviert Legt fest, ob die Regel, die Sie erstellen, aktiviert werden soll. Anmerkungen Anmerkungen zur Regel. 6 Klicken Sie auf [OK] . 7 Wählen Sie die neue Regel aus und klicken Sie auf [Move Up] oder [Move Down] , um die Priorität für die Regel zu erhöhen bzw. zu verringern. 8 Klicken Sie auf [Publish Changes] , um die neue Regel in allen vShield App-Instanzen zu veröffentlichen. Löschen einer Anwendungs-Firewallregel Sie können App Firewall-Regeln, die Sie erstellt haben, löschen. Regeln im Abschnitt „System Defined“ der Tabelle können nicht gelöscht werden. Vorgehensweise 66 1 Navigieren Sie im vSphere-Client zu [Bestandsliste] > [Hosts und Cluster] . 2 Je nachdem, auf welcher Ebene Sie eine Regel löschen möchten, wählen Sie ein Datencenter oder eine Portgruppe aus der Ressourcenstruktur aus. 3 Klicken Sie auf die Registerkarte [vShield App] . 4 Klicken Sie auf [App Firewall] . VMware, Inc. Kapitel 12 vShield App Firewall-Management 5 Klicken Sie auf eine Regel in der entsprechenden Tabelle. 6 Klicken Sie auf [Delete Selected] . Sie können auf [Delete All] klicken, um alle Firewallregeln zu löschen. Wiederherstellen einer vorherigen Application Firewall-Konfiguration vShield Manager speichert die App Firewall-Einstellungen bei jedem Veröffentlichen einer neuen Regel. Beim Klicken auf [Publish Changes] speichert vShield Manager die vorherige Konfiguration mit einem Zeitstempel, bevor die neue Regel hinzugefügt wird. Diese Konfigurationen stehen in der Dropdown-Liste [History] zur Verfügung. Vorgehensweise 1 Navigieren Sie in vSphere Client zu [Bestandsliste] > [Hosts und Cluster] . 2 Wählen Sie in der Bestandsliste eine Datencenter- oder Clusterressource aus. 3 Klicken Sie auf die Registerkarte [App Firewall] . 4 Klicken Sie auf [History] > [Load] . Im Dialogfeld „Firewall Configuration History“ werden die vorherigen Konfigurationen nach Zeitstempel aufgelistet, wobei die neueste Konfiguration oben aufgeführt wird. 5 Wählen Sie die Konfiguration aus, die Sie wiederherstellen möchten. 6 Klicken Sie auf [OK] . 7 Klicken Sie im Dialogfeld „Load Configuration“ auf [OK] . 8 Klicken Sie auf [Publish Changes] . Die ausgewählte Konfiguration wird geladen. Verwenden von SpoofGuard Nach der Synchronisierung mit vCenter Server erfasst vShield Manager auf allen virtuellen Maschinen die IPAdressen aller virtuellen vCenter-Gastmaschinen aus den VMware Tools. Bis vShield 4.1 vertraute vShield den IP-Adressen, die von den VMware Tools auf einer virtuellen Maschine bereitgestellt wurden. Doch wenn die Sicherheit einer virtuellen Maschine gefährdet ist, kann die IP-Adresse manipuliert worden sein, und Übertragungen mit böswilligen Absichten können Firewall-Richtlinien umgehen. SpoofGuard ermöglicht die Autorisierung der von den VMware Tools gemeldeten IP-Adressen und bei Bedarf deren Änderung, um Manipulationen (Spoofing) zu verhindern. SpoofGuard vertraut standardmäßig den MAC-Adressen virtueller Maschinen, die aus VMX-Dateien und dem vSphere SDK erfasst werden. SpoofGuard wird getrennt von den App Firewall-Regeln ausgeführt und kann zum Blockieren von Datenverkehr verwendet werden, der als manipuliert erkannt wurde. VMware, Inc. 67 vShield-Administratorhandbuch Falls aktiviert, können Sie mit SpoofGuard die von Ihren virtuellen Maschinen gemeldeten IP-Adressen in einem der folgenden Modi überwachen und verwalten. Automatically Trust IP Assignments on Their First Use Dieser Modus erlaubt dem gesamten Datenverkehr von Ihren virtuellen Maschinen die Durchleitung, wobei eine Zuweisungstabelle zwischen MAC- und IP-Adressen erstellt wird. Sie können diese Tabelle überprüfen und IP-Adressenänderungen vornehmen. Manually Inspect and Approve All IP Assignments Before Use In diesem Modus wird der gesamte Datenverkehr so lange blockiert, bis Sie die jeweilige MAC-zu-IP-Adressenzuweisung genehmigen. HINWEIS SpoofGuard lässt standardmäßig DHCP-Anforderungen unabhängig vom aktivierten Modus zu. Im manuellen Prüfmodus wird der Datenverkehr allerdings erst durchgeleitet, nachdem die von DHCP zugewiesene IP-Adresse genehmigt wurde. SpoofGuard-Bildschirmoptionen Die SpoofGuard-Schnittstelle enthält die folgenden Optionen: Auf dem SpoofGuard-Bildschirm werden die folgenden Optionen angezeigt. Tabelle 12-1. SpoofGuard-Bildschirmoptionen Option Beschreibung Aktive IP-Zuweisungen Liste aller validierten IP-Adressen Inaktive IP-Zuweisungen Liste mit IP-Adressen, bei denen die aktuelle IP-Adresse nicht der veröffentlichten IP-Adresse entspricht. Active Since Last Published Liste mit IP-Adressen, die seit der letzten Aktualisierung der Richtlinie validiert wurden. Unpublished IP assignment changes Liste virtueller Maschinen, deren IP-Adressenzuweisung Sie bearbeitet, aber noch nicht veröffentlicht haben. IP-Zuweisungen, die von mir überprüft und genehmigt werden müssen IP-Adressenänderung, die genehmigt werden muss, bevor Datenverkehr zu oder von diesen virtuellen Maschinen übertragen werden kann. Duplicate IP assignments IP-Adressen, die im ausgewählten Datencenter Duplikate einer vorhandenen zugewiesenen IP-Adresse sind Aktivieren von SpoofGuard Sobald es aktiviert ist, können Sie SpoofGuard zum Verwalten von IP-Adresszuweisungen für Ihre komplette vCenter-Bestandsliste verwenden. WICHTIG Sie müssen für alle vShield App-Instanzen ein Upgrade auf vShield App 1.0.0 Update 1 oder höher durchführen, bevor Sie SpoofGuard aktivieren. Vorgehensweise 68 1 Navigieren Sie auf der vShield Manager-Benutzeroberfläche zur Ansicht [Settings and Reports] . 2 Klicken Sie auf die Registerkarte [SpoofGuard] . 3 Klicken Sie rechts neben der Überschrift Global Status auf [Edit] . 4 Klicken Sie für [IP Assignment Tracking] auf [Enable] . VMware, Inc. Kapitel 12 vShield App Firewall-Management 5 6 Wählen Sie für [Operation Mode] eine der folgenden Optionen aus: Option Beschreibung Automatically Trust IP Assignments on Their First Use Wählen Sie diese Option, um allen IP-Zuweisungen bei der einleitenden Registrierung bei vShield Manager zu vertrauen. Manually Inspect and Approve All IP Assignments Before Use Wählen Sie diese Option, um eine manuelle Genehmigung aller IP-Adressen anzufordern. Sämtlicher Datenverkehr von und an nicht genehmigte IP-Adressen wird blockiert. Klicken Sie auf [OK] . Genehmigen von IP-Adressen Wenn Sie SpoofGuard auf das Anfordern einer manuellen Genehmigung aller IP-Adressenzuweisungen festlegen, müssen Sie IP-Adressenzuweisungen genehmigen, damit die Durchleitung von Datenverkehr von diesen virtuellen Maschinen zugelassen wird. Vorgehensweise 1 Navigieren Sie im vSphere-Client zur Ansicht [Hosts und Cluster] . 2 Wählen Sie in der Ressourcenstruktur eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [vShield] . 4 Klicken Sie auf die Registerkarte [SpoofGuard] . 5 Klicken Sie auf den Link [Require Approval] oder [Duplicate IP assignments] . 6 Führen Sie eine der folgenden Aufgaben aus: n Aktivieren Sie in der rechten Kontrollkästchenspalte das obere Kontrollkästchen, um alle Zuweisungen auf dem Bildschirm auszuwählen. n Aktivieren Sie das Kontrollkästchen jeder einzelnen Zuweisung, die Sie genehmigen möchten. 7 Klicken Sie auf [Approve Selected] . 8 Klicken Sie auf [Publish Now] . Bearbeiten einer IP-Adresse Sie können die einer MAC-Adresse zugewiesene IP-Adresse bearbeiten, um diese zu korrigieren. HINWEIS SpoofGuard lässt eine eindeutige IP-Adresse von mehreren virtuellen Maschinen zu. Sie können eine IP-Adresse jedoch nur einmal zuweisen. Eine genehmigte IP-Adresse ist im gesamten vShield-System eindeutig. Duplizierte genehmigte IP-Adressen sind nicht zulässig. Vorgehensweise 1 Navigieren Sie im vSphere-Client zur Ansicht [Hosts und Cluster] . 2 Wählen Sie in der Ressourcenstruktur eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [vShield] . 4 Klicken Sie auf die Registerkarte [SpoofGuard] . 5 Klicken Sie auf einen der Links für Optionen. 6 Klicken Sie in der Spalte Approved IP auf [Edit] . 7 Geben Sie in das Popup-Fenster [Approved IP Address] eine IP-Adresse ein. 8 Klicken Sie auf [Apply] . VMware, Inc. 69 vShield-Administratorhandbuch 9 Klicken Sie auf [Publish Now] . Löschen einer IP-Adresse Sie können eine MAC-zu-IP-Adressenzuweisung aus der SpoofGuard-Tabelle löschen, um eine nicht mehr aktive virtuelle Maschine aus der Tabelle zu entfernen. Gelöschte Instanzen können in der SpoofGuard-Tabelle basierend auf dem nachverfolgten Datenverkehr und dem aktuellen Aktivierungsstatus von SpoofGuard erneut angezeigt werden. Vorgehensweise 70 1 Navigieren Sie in vSphere Client zu [Bestandsliste] > [Hosts und Cluster] 2 Wählen Sie in der Ressourcenstruktur eine Datencenterressource aus. 3 Klicken Sie auf die Registerkarte [vShield] . 4 Klicken Sie auf die Registerkarte [SpoofGuard] . 5 Klicken Sie auf einen der Links für Optionen. 6 Klicken Sie in der Spalte Approved IP auf [Delete] . 7 Klicken Sie auf [Publish Now] . VMware, Inc. vShield Endpoint-Ereignisse und Alarme 13 vShield Endpoint lagert die Verarbeitung von Antivirus- und Anti-Malware-Agenten auf eine dedizierte sichere virtuelle Appliance aus, die von VMware-Partnern bereitgestellt wird. Da die sichere virtuelle Appliance (im Unterschied zu einer virtuellen Gastmaschine) nicht offline geschaltet wird, kann sie kontinuierlich Antivirus-Signaturen aktualisieren und dabei den virtuellen Maschinen auf dem Host unterbrechungsfreien Schutz bieten. Zudem werden neue virtuelle Maschinen (oder vorhandene virtuelle Offline-Maschinen) sofort durch die aktuellsten Antivirus-Signaturen geschützt, wenn sie wieder online geschaltet werden. Der vShield Endpoint-Integritätsstatus wird mithilfe von Alarmen überwacht, die in der vCenter Server-Konsole mit roten Symbolen angezeigt werden. Zusätzlich können weitere Statusinformationen anhand der Ereignisprotokolle gesammelt werden. WICHTIG vCenter Server muss für die vShield Endpoint-Sicherheit ordnungsgemäß konfiguriert werden: n Nicht alle Gastbetriebssysteme werden von vShield Endpoint unterstützt. Virtuelle Maschinen mit nicht unterstützten Gastbetriebssystemen werden nicht von der Sicherheitslösung geschützt. Informationen zu unterstützten Betriebssystemen finden Sie im Abschnitt „Installieren von vShield Endpoint“ in der vShieldKurzanleitung. n Alle Hosts in einem Ressourcenpool, die geschützte virtuelle Maschinen enthalten, müssen für vShield Endpoint vorbereitet sein, damit virtuelle Maschinen weiterhin geschützt bleiben, wenn Sie mit vMotion von einem auf einen anderen ESX-Host innerhalb des Ressourcenpools migriert werden. Dieses Kapitel behandelt die folgenden Themen: n „Anzeigen des vShield Endpoint-Status“, auf Seite 71 n „vShield Endpoint-Alarme“, auf Seite 72 n „vShield Endpoint-Ereignisse“, auf Seite 72 n „Überwachungsmeldungen für vShield Endpoint“, auf Seite 73 Anzeigen des vShield Endpoint-Status Die Überwachung einer vShield Endpoint-Instanz umfasst die Überprüfung von Statusinformationen von den vShield Endpoint-Komponenten: Sichere virtuelle Maschine (SVM), vShield Endpoint-Modul auf dem ESXHost und Thin-Agent auf der geschützten virtuellen Maschine. Vorgehensweise 1 Navigieren Sie im vSphere-Client zu [Bestandsliste] > [Hosts und Cluster] . 2 Wählen Sie in der Ressourcenstruktur eine Datencenter-, Cluster- oder ESX-Hostressource aus. 3 Klicken Sie auf die Registerkarte [vShield] . VMware, Inc. 71 vShield-Administratorhandbuch 4 Klicken Sie auf [Endpoint Status] . vShield Endpoint-Alarme Alarme machen den vCenter Server-Administrator auf vShield Endpoint-Ereignisse aufmerksam, die ein Eingreifen erfordern. Alarme werden automatisch beendet, wenn der Alarmstatus nicht länger vorliegt. vCenter Server-Alarme können ohne ein benutzerdefiniertes vSphere-Plug-In angezeigt werden. Weitere Informationen zu Ereignissen und Alarmen finden Sie im vCenter Server-Administratorhandbuch. Bei der Registrierung als vCenter Server-Erweiterung definiert vShield Manager die Regeln zum Erstellen und Entfernen von Alarmen basierend auf Ereignissen von den drei vShield Endpoint-Komponenten: SVM, vShield Endpoint-Modul und Thin-Agent. Regeln können angepasst werden. Anweisungen zum Erstellen neuer benutzerdefinierter Regeln für Alarme finden Sie in der vCenter Server-Dokumentation. In einigen Fällen gibt es mehrere mögliche Ursachen für einen Alarm. In den folgenden Tabellen werden die möglichen Ursachen und die zugehörigen Aktionen aufgeführt, die zur Problembeseitigung ergriffen werden können. Hostalarme Hostalarme werden durch Ereignisse generiert, die den Integritätsstatus des vShield Endpoint-Moduls betreffen. Tabelle 13-1. Fehler (Kennzeichnung in Rot) Mögliche Ursache Aktion Das vShield Endpoint-Modul wurde auf dem Host installiert, meldet aber keinen Status mehr an vShield Manager. 1 Stellen Sie sicher, dass vShield Endpoint ausgeführt wird, indem Sie sich beim Host anmelden und den Befehl /etc/init.d/vShield-Endpoint-Mux start eingeben. 2 Stellen Sie sicher, dass das Netzwerk ordnungsgemäß konfiguriert ist, damit vShield Endpoint eine Verbindung zu vShield Manager herstellen kann. Starten Sie vShield Manager neu. 3 SVM-Alarme SVM-Alarme werden durch Ereignisse generiert, die den Systemzustand der SVM betreffen. Tabelle 13-2. Rote SVM-Alarme Problem Aktion Die Protokollversion stimmt nicht mit der des vShield Endpoint-Moduls überein Stellen Sie sicher, dass das vShield Endpoint-Modul und die SVM über ein kompatibles Protokoll verfügen. vShield Endpoint konnte keine Verbindung zu der SVM herstellen Stellen Sie sicher, dass die SVM eingeschaltet ist und dass das Netzwerk ordnungsgemäß konfiguriert ist. Die SVM meldet ihren Status auch dann nicht, wenn Gäste verbunden sind. Interner Fehler. Kontaktieren Sie den für Sie zuständigen Vertreter des technischen Supports von VMware. vShield Endpoint-Ereignisse Ereignisse dienen der Aufzeichnung und Überwachung von Bedingungen im vShield Endpoint-basierten Sicherheitssystem. Ereignisse können ohne ein benutzerdefiniertes vSphere-Plug-In angezeigt werden. Weitere Informationen zu Ereignissen und Alarmen finden Sie im vCenter Server-Administratorhandbuch. Ereignisse bilden die Grundlage zum Generieren von Alarmen. Nach der Registrierung als vCenter ServerErweiterung definiert vShield Manager die Regeln zum Erstellen und Entfernen von Alarmen. 72 VMware, Inc. Kapitel 13 vShield Endpoint-Ereignisse und -Alarme Die für ein Ereignis berichteten Basisargumente sind die Uhrzeit des Auftretens und die Ereignis-ID von vShield Manager. Die folgende Tabelle enthält die vShield Endpoint-Ereignisse, die von der SVM und vShield Manager (VSM) gemeldet wurden. In der Spalte „Ereigniskategorie“ werden Ereignisse, die zu Fehleralarmen führen, in Rot dargestellt. Tabelle 13-3. vShield Endpoint-Ereignisse Beschreibung Schweregrad VC-Argumente vShield Endpoint-Lösung Name der Lösung aktiviert. Unterstützende Version Versionsnummer des VFile-Protokolls. Info Zeitstempel ESX-Modul aktiviert. Info Zeitstempel ESX-Modul deinstalliert. Info Zeitstempel vShield Manager hat die Verbindung zum ESX-Modul verloren. Info Zeitstempel vShield Endpoint-Lösung Name der Lösung wurde von einer nicht kompatiblen Version des ESX-Moduls kontaktiert. Fehler Zeitstempel, Version der Lösung, ESX-Modulversion Eine Verbindung zwischen dem ESX-Modul und Name der Lösung ist fehlgeschlagen. Fehler Zeitstempel, ESX-Modulversion, Version der Lösung vShield Endpoint konnte keine Verbindung zu der SVM herstellen. Fehler Zeitstempel Die Verbindung von vShield Endpoint mit der SVM wurde getrennt. Fehler Zeitstempel Überwachungsmeldungen für vShield Endpoint Überwachungsmeldungen umfassen schwerwiegende Fehler und andere wichtige Überwachungsinformationen. Überwachungsmeldungen werden in der Datei vmware.log protokolliert. Die folgenden Bedingungen werden als AUDIT-Meldungen protokolliert: n Erfolgreiche Thin-Agent-Initialisierung (und Versionsnummer) n Fehler bei der Thin-Agent-Initialisierung n Erste Einrichtung einer Kommunikation mit SVM n Fehler beim Einrichten der Kommunikation mit SVM (bei erstem Fehler) Generierte Protokollmeldungen weisen die folgenden Unterzeichenfolgen im Anfangsabschnitt jeder Protokollmeldung auf: vf-AUDIT, vf-ERROR, vf-WARN, vf-INFO, vf-DEBUG. VMware, Inc. 73 vShield-Administratorhandbuch 74 VMware, Inc. vShield Data Security Management 14 vShield Data Security bietet Sichtbarkeit in vertrauliche Daten, die in den virtualisierten und Cloud-Umgebungen Ihres Unternehmens gespeichert sind. Auf Basis der von vShield Data Security gemeldeten Verstöße können Sie sicherzustellen, dass vertrauliche Daten angemessen geschützt und weltweit die jeweils geltenden Bestimmungen eingehalten werden. Wenn Sie anfangen, vShield Data Security zu verwenden, erstellen Sie eine Richtlinie mit geltenden Datensicherheitsbestimmungen für Ihre Organisation. Darin können Sie außerdem festlegen, welche Dateien und welche Bereiche Ihrer Umgebung geprüft werden sollen. Wenn Sie eine Data Security-Prüfung starten, analysiert vShield die Daten auf den virtuellen Maschinen in Ihrer vSphere-Bestandsliste und meldet die Anzahl der erkannten Verstöße und die Dateien, die gegen Ihre Richtlinie verstoßen haben. Nachdem Sie die Ergebnisse der Prüfung analysiert haben, können Sie Ihre Richtlinie bei Bedarf bearbeiten. Wenn Sie eine Richtlinie bearbeiten, müssen Sie sie aktivieren, indem Sie die Änderungen veröffentlichen. Sie können alle Datensicherheitsaufgaben unter Verwendung von REST-APIs durchführen. Weitere Informationen finden Sie im vShield API-Programmierhandbuch. Dieses Kapitel behandelt die folgenden Themen: n „vShield Data Security-Benutzerrollen“, auf Seite 76 n „Definieren einer Datensicherheitsrichtlinie“, auf Seite 76 n „Bearbeiten einer Datensicherheitsrichtlinie“, auf Seite 78 n „Ausführen einer Datensicherheitsprüfung“, auf Seite 79 n „Analysieren von Ergebnissen“, auf Seite 79 n „Erstellen von regulären Ausdrücken“, auf Seite 81 n „Verfügbare Bestimmungen“, auf Seite 81 n „Verfügbare Content Blades“, auf Seite 98 n „Unterstützte Dateiformate“, auf Seite 120 VMware, Inc. 75 vShield-Administratorhandbuch vShield Data Security-Benutzerrollen Die Rolle eines Benutzers legt die Aktionen fest, die der Benutzer durchführen kann. Rolle Zulässige Aktionen Security Administrator Erstellen und Veröffentlichen von Richtlinien und Anzeigen von Berichten zu Verstößen. Kann eine Datensicherheitsprüfung weder starten noch anhalten. vShield Administrator Starten und Anhalten von Datensicherheitsprüfungen. Auditor Anzeigen von konfigurierten Richtlinien und Berichten zu Verstößen. Definieren einer Datensicherheitsrichtlinie Um vertrauliche Daten in Ihrer Umgebung erkennen zu können, müssen Sie eine Datensicherheitsrichtlinie erstellen. Das Erstellen von Richtlinien ist Sicherheitsadministratoren vorbehalten. Zum Definieren einer Richtlinie müssen Sie Folgendes angeben: 1 Bestimmungen Eine Bestimmung ist ein Datensicherheitsgesetz zum Schutz von PCI (Payment Card Industry), PHI (Protected Health Information) und PII (Personally Identifiable Information). Sie können die Bestimmungen auswählen, die Ihr Unternehmen erfüllen muss. Wenn Sie eine Prüfung ausführen, identifiziert vShield Data Security die Daten, die gegen die Bestimmungen der Richtlinie verstoßen und die für Ihr Unternehmen vertraulich sind. 2 Ausschlussbereiche Standardmäßig unterliegen alle virtuellen Maschinen in Ihrem Datencenter der Erkennung vertraulicher Daten. Sie können bestimmte Bereiche in Ihrer Umgebung von der Datensicherheitsprüfung ausschließen, wenn es sich um Testumgebungen handelt oder wenn Sie vertrauliche Daten in diesen Bereichen beibehalten möchten. 3 Dateifilter Sie können Filter erstellen, um die zu prüfende Datenmenge einzuschränken und um Dateitypen auszuschließen, die wahrscheinlich keine vertraulichen Daten von der Prüfung enthalten. Auswählen von Bestimmungen Sobald Sie die Bestimmungen ausgewählt haben, mit denen Ihre Unternehmensdaten übereinstimmen sollen, kann vShield Dateien identifizieren, die Informationen enthalten, die gegen diese Bestimmungen verstoßen. Voraussetzungen Stellen Sie sicher, dass Ihnen die Rolle des Sicherheitsadministrators zugewiesen wurde. Vorgehensweise 1 Navigieren Sie in vSphere Client zu [Bestandsliste] > [Hosts und Cluster] . 2 Wählen Sie ein Datencenter aus. HINWEIS Selbst wenn Sie ein Datencenter auswählen, gilt die Richtlinie, die Sie konfigurieren, für die gesamte vSphere-Bestandsliste. 76 3 Klicken Sie auf die Registerkarte [vShield App] und klicken Sie dann auf [Data Security] . 4 Klicken Sie auf die Registerkarte [Policy] und erweitern Sie [Regulations and standards to detect] . 5 Klicken Sie auf [Edit] und klicken Sie dann auf [All] , um alle verfügbaren Bestimmungen anzuzeigen. VMware, Inc. Kapitel 14 vShield Data Security Management 6 Wählen Sie die Bestimmungen aus, die auf Übereinstimmung geprüft werden sollen. 7 Klicken Sie auf [Next] . 8 Für bestimmte Bestimmungen sind zusätzliche Informationen für vShield Data Security erforderlich, damit vertrauliche Daten erkannt werden. Wenn Sie eine Bestimmung ausgewählt haben, die die Group Insurance Numbers, Patient Identification Numbers, Medical Record Numbers, Health Plan Beneficiary Numbers, US Bank Account Numbers, Custom Accounts oder Student Identification Numbers überwacht, geben Sie zum Identifizieren dieser Daten ein Muster für den regulären Ausdruck an. HINWEIS Überprüfen Sie die Genauigkeit des regulären Ausdrucks. Die Angabe falscher regulärer Ausdrücke kann den Erkennungsvorgang verlangsamen. 9 Klicken Sie auf [Finish.] 10 Wenn Sie eine vorhandene Richtlinie aktualisieren, klicken Sie auf [Publish Changes] , damit sie wirksam wird. Festlegen von Bereichen, die von der Richtlinienprüfung ausgeschlossen werden sollen Standardmäßig prüft vShield Data Security die gesamte vSphere-Infrastruktur. Sie können bestimmte Bereiche von der Prüfung ausschließen. Voraussetzungen Stellen Sie sicher, dass Ihnen die Rolle des Sicherheitsadministrators zugewiesen wurde. Vorgehensweise 1 Erweitern Sie auf der Registerkarte „Policy“ im Bereich „Data Security“ die Option [Set Excluded Area] . 2 Klicken Sie auf [Edit] . 3 Klicken Sie in das Feld neben der Schaltfläche „Add“ und wählen Sie das Datencenter, den Cluster oder den Ressourcenpool aus, den Sie von der Prüfung ausschließen möchten. 4 Klicken Sie auf [Add] . 5 Klicken Sie auf [Save] . 6 Wenn Sie eine vorhandene Richtlinie aktualisieren, klicken Sie auf [Publish Changes] , damit sie wirksam wird. Angeben von Dateifiltern Sie können die Anzahl der Dateien, die Sie überwachen möchten, auf Basis der Größe, des Datums der letzten Änderung oder der Dateierweiterungen einschränken. Voraussetzungen Stellen Sie sicher, dass Ihnen die Rolle des Sicherheitsadministrators zugewiesen wurde. Vorgehensweise 1 Erweitern Sie auf der Registerkarte [Policy] des Bereichs „Data Security“ die Option [Files to scan] . 2 Klicken Sie auf [Change] . VMware, Inc. 77 vShield-Administratorhandbuch 3 Sie können entweder alle Dateien auf den virtuellen Maschinen Ihrer Bestandsliste überwachen oder die Einschränkungen auswählen, die Sie anwenden möchten. Option Beschreibung Alle Dateien auf den virtuellen Gastmaschinen überwachen vShield Data Security prüft alle Dateien. Nur die Dateien überwachen, die die folgenden Bedingungen erfüllen Wählen Sie bei Bedarf die folgenden Optionen aus. n [Size] gibt an, dass vShield Data Security nur die Dateien überprüfen soll, die kleiner sind als die angegebene Größe. n [Last Modified Date] gibt an, dass vShield Data Security nur die Dateien überprüfen soll, die innerhalb des angegebenen Zeitraums geändert wurden. n [Types:] Wählen Sie [Only files with the following extensions] , um die zu prüfenden Dateitypen einzugeben. Wählen Sie [All files, except those with extensions] , um die Dateitypen einzugeben, die von der Prüfung ausgeschlossen werden sollen. Weitere Informationen zu Dateiformaten, die vShield Data Security erkennen kann, finden Sie unter „Unterstützte Dateiformate“, auf Seite 120. 4 Klicken Sie auf [Save] . 5 Wenn Sie eine vorhandene Richtlinie aktualisieren, klicken Sie auf [Publish Changes] , damit sie wirksam wird. Bearbeiten einer Datensicherheitsrichtlinie Nachdem Sie eine Datensicherheitsrichtlinie definiert haben, können Sie sie bearbeiten, indem Sie die ausgewählten Bestimmungen, die von der Prüfung ausgeschlossenen Bereiche oder die Dateifilter ändern. Damit die bearbeitete Richtlinie wirksam wird, müssen Sie sie veröffentlichen. Voraussetzungen Stellen Sie sicher, dass Ihnen die Rolle des Sicherheitsadministrators zugewiesen wurde. Vorgehensweise 1 Navigieren Sie im vSphere-Client zu [Bestandsliste] > [Hosts und Cluster] . 2 Wählen Sie ein Datencenter aus. HINWEIS Selbst wenn Sie ein Datencenter auswählen, gilt die bearbeitete Richtlinie für die gesamte vSphere-Bestandsliste. 3 Klicken Sie auf die Registerkarte [vShield App] und klicken Sie dann auf [Data Security] . 4 Klicken Sie auf die Registerkarte [Policy] und erweitern Sie die Bereiche, die Sie bearbeiten möchten. 5 Nehmen Sie die entsprechenden Änderungen vor. 6 Klicken Sie auf [Save] . 7 Wenn Sie eine vorhandene Richtlinie aktualisieren, klicken Sie auf [Publish Changes] , damit sie wirksam wird. HINWEIS Wenn Sie während einer laufenden Prüfung eine Richtlinie veröffentlichen, wird die Prüfung neu gestartet. Durch diese erneute Prüfung wird sichergestellt, dass alle virtuellen Maschinen mit der bearbeiteten Richtlinie übereinstimmen. 78 VMware, Inc. Kapitel 14 vShield Data Security Management Ausführen einer Datensicherheitsprüfung Beim Ausführen einer Datensicherheitsprüfung werden Daten in Ihrer virtuellen Umgebung identifiziert, die gegen Ihre Richtlinie verstoßen. Voraussetzungen Sie müssen vShield-Administrator sein, um eine Datensicherheitsprüfung starten, anhalten oder beenden zu können. Vorgehensweise 1 Navigieren Sie in vSphere Client zu [Bestandsliste] > [Hosts und Cluster] . 2 Klicken Sie auf die Registerkarte [vShield App] und klicken Sie dann auf [Data Security] . 3 Klicken Sie auf [Start] . HINWEIS Falls ein Host, eine sichere virtuelle Maschine oder eine virtuelle Maschine nicht eingeschaltet ist, wird die virtuelle Maschine nicht geprüft. Wenn eine Prüfung ausgeführt wird, lauten die verfügbaren Optionen [Pause] und [Stop] . Alle virtuellen Maschinen Ihres Datencenters werden während einer Prüfung einmal geprüft. Wenn bei Ausführung einer Prüfung damit begonnen wird, eine Richtlinie zu bearbeiten und zu veröffentlichen, wird die Prüfung neu gestartet. Durch diese erneute Prüfung wird sichergestellt, dass alle virtuellen Maschinen mit der bearbeiteten Richtlinie übereinstimmen. Eine erneute Prüfung wird durch das Veröffentlichen einer bearbeiteten Richtlinie, nicht durch Daten-Updates auf Ihren virtuellen Maschinen, ausgelöst. Wenn während einer laufenden Prüfung neue virtuelle Maschinen zu Ihrer Bestandsliste hinzugefügt werden, werden diese Maschinen ebenfalls geprüft. Wenn eine virtuelle Maschine während einer laufenden Datensicherheitsprüfung in einen von der Prüfung ausgeschlossenen Cluster oder Ressourcenpool verschoben wird, werden die Dateien dieser virtuellen Maschine nicht geprüft. Für den Fall, dass eine virtuelle Maschine via vMotion auf einen anderen Host verschoben wird, wird die Prüfung auf dem zweiten Host fortgesetzt (Dateien, die geprüft wurden, während sich die virtuelle Maschine auf dem ersten Host befand, werden nicht erneut geprüft). Wenn die Data Security-Engine damit beginnt, eine virtuelle Maschine zu prüfen, wird die Startzeit der Prüfung aufgezeichnet. Am Ende der Prüfung wird die Endzeit aufgezeichnet. Sie können die Start- und Endzeit für einen Cluster, einen Host oder eine virtuelle Maschine auf der Registerkarte [Tasks and Events] anzeigen. vShield Data Security prüft immer nur eine virtuelle Maschine auf einem Host, damit sich dies so wenig wie möglich auf die Leistung auswirkt. Es wird empfohlen, dass Sie die Prüfung nicht während der normalen Geschäftszeiten ausführen, um Leistungseinbußen zu vermeiden. Analysieren von Ergebnissen Nach dem Start einer Datensicherheitsprüfung zeigt vShield zwei Berichte an: die Bestimmungen, gegen die Dateien Ihrer Bestandsliste verstoßen haben, und die Dateien selbst. Anzeigen des Berichts zur Anzahl der Verstöße Wenn Sie eine Sicherheitsprüfung starten, zeigt vShield die Bestimmungen an, gegen die die Daten Ihrer virtuellen Umgebung verstoßen haben. Voraussetzungen Stellen Sie sicher, dass Ihnen die Rolle des Sicherheitsadministrators oder Auditors zugewiesen wurde. VMware, Inc. 79 vShield-Administratorhandbuch Vorgehensweise 1 Navigieren Sie im vSphere-Client zu [Inventory] > [Hosts and Clusters] . 2 Wählen Sie das Datencenter, den Cluster, den Ressourcenpool oder die virtuelle Maschine aus, um den jeweils passenden Bericht anzuzeigen. 3 Klicken Sie auf [Data Security] . 4 Klicken Sie auf die Registerkarte [Reports] im Bereich „Data Security“. Die Liste zu den Verstößen enthält die Bestimmungen Ihrer Richtlinie, gegen die verstoßen wurde, und gibt die Häufigkeit der Verstöße an. Anzeigen des Berichts zu Dateien, die gegen Regeln verstoßen haben Wenn Sie eine Datensicherheitsprüfung starten, zeigt vShield die Dateien an, die von Ihrer Richtlinie als vertraulich erachtete Daten enthalten. Voraussetzungen Stellen Sie sicher, dass Ihnen die Rolle des Sicherheitsadministrators oder Auditors zugewiesen wurde. Vorgehensweise 1 Navigieren Sie im vSphere-Client zu [Bestandsliste] > [Hosts und Cluster] . 2 Wählen Sie das Datencenter, den Cluster, den Ressourcenpool oder die virtuelle Maschine aus, um den jeweils passenden Bericht anzuzeigen. 3 Klicken Sie auf [Data Security] . 4 Klicken Sie auf die Registerkarte [Reports] im Bereich „Data Security“. 5 Wählen Sie von [View Report] aus [Violating files] . Der Bericht „Violating files“ listet das Datencenter, den Cluster und die virtuelle Maschine auf, die die Dateien enthalten, die gegen die Richtlinie verstoßen haben, und die Bestimmungen, gegen die verstoßen wurde, sowie das Datum und die Uhrzeit, zu dem bzw. der der Verstoß erkannt wurde. Wenn Sie eine solche Datei korrigieren, indem Sie die vertraulichen Informationen aus der Datei löschen, die Datei löschen bzw. verschlüsseln oder die Richtlinie bearbeiten, wird diese dennoch so lange im Abschnitt „Violating files“ angezeigt, bis die nächste Prüfung abgeschlossen ist. Herunterladen des Berichts zu Dateien, die gegen Regeln verstoßen haben Der Bericht zur Sicherheitsprüfung kann in eine CSV-Datei exportiert werden. Voraussetzungen Stellen Sie sicher, dass Ihnen die Rolle des Sicherheitsadministrators oder Auditors zugewiesen wurde. Vorgehensweise 80 1 Zeigen Sie den Bericht zu Dateien an, die gegen Regeln verstoßen haben. Gehen Sie dabei wie folgt vor (siehe Beschreibung in „Anzeigen des Berichts zu Dateien, die gegen Regeln verstoßen haben“, auf Seite 80): 2 Klicken Sie auf [Download Complete Report] . 3 Wählen Sie unter [Save in] das Verzeichnis aus, in dem Sie die Datei speichern möchten. 4 Geben Sie unter [File name] den Dateinamen an. 5 Klicken Sie auf [Save] . VMware, Inc. Kapitel 14 vShield Data Security Management Erstellen von regulären Ausdrücken Ein regulärer Ausdruck ist ein Muster, das eine bestimmte Textzeichenfolge beschreibt, die auch als String bezeichnet wird. Sie verwenden reguläre Ausdrücke zum Suchen nach bestimmten Zeichenfolgen oder Zeichenfolgenklassen in einem Text. Die Verwendung eines regulären Ausdrucks ähnelt einer Suche mit Platzhalterzeichen, aber reguläre Ausdrücke sind leistungsstärker. Reguläre Ausdrücke können sehr einfach, aber auch sehr komplex sein. Ein Beispiel für einen einfachen regulären Ausdruck ist cat. Mit diesem Ausdruck wird in einem Text die erste Instanz der Zeichenfolge „cat“ gefunden. Wenn Sie sicherstellen möchten, dass nur das Wort cat gefunden wird und nicht andere Zeichenfolgen wie cats oder hepcat, können Sie einen etwas komplexeren Ausdruck verwenden: \cat\b. In diesem Ausdruck werden Sonderzeichen verwendet, die sicherstellen, dass nur dann eine Übereinstimmung gefunden wird, wenn das Wort cat nicht Teil einer längeren Zeichenfolge ist, sondern alleine steht. Um beispielsweise eine ähnliche Suche wie bei der Platzhaltersuche c+t durchzuführen, verwenden Sie diesen regulären Ausdruck: \bc\w+t\b. Dies bedeutet, dass ein Wortbegrenzer (\b) gefolgt von einem c, gefolgt von einem oder mehreren Zeichen, die keine Whitespace- oder Interpunktionszeichen sein dürfen (\w+), gefolgt von einem t, gefolgt von einem Wortbegrenzer (\b), gefunden wird. Dieser Ausdruck findet cot, cat, croat, aber nicht crate. Ausdrücke können sehr komplex werden. Mit den folgenden Ausdrücken wird eine gültige E-Mail-Adresse gesucht. \b[A-Za-z0-9._%-]+@[A-Za-z0-9.-]+\.[A-Za-z]{2,4}\b Weitere Informationen zum Erstellen regulärer Ausdrücke finden Sie unter http://userguide.icu-project.org/strings/regexp. Verfügbare Bestimmungen Nachfolgend finden Sie Beschreibungen für jede in vShield Data Security verfügbare Bestimmung. Arizona SB-1338 Arizona SB-1338 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten. Arizona SB-1338 wurde am 26. April 2006 unterzeichnet und trat am 31. Dezember 2006 in Kraft. Dem Gesetz unterliegen alle natürlichen und juristischen Personen, die in Arizona Geschäfte tätigen und unverschlüsselte computerisierte Daten, einschließlich persönlicher Daten, besitzen bzw. diese lizenzieren. Anhand der Richtlinie wird nach mindestens einer Übereinstimmung bei den persönlichen Daten gesucht. Dazu gehören: n Kreditkartennummer n Daten des Kreditkartenmagnetstreifens n US-Führerscheinnummer n US-Sozialversicherungsnummer VMware, Inc. 81 vShield-Administratorhandbuch ABA Routing-Nummern Eine Routing Transit Number (RTN) oder ABA-Nummer ist ein in den USA verwendeter neunstelliger Bankcode, der z. B. auf Schecks aufgedruckt ist und das Finanzinstitut angibt, von dem er ausgegeben wurde. Dieser Code wird auch vom Automated Clearing House zum Verarbeiten von Direktüberweisungen und anderen automatisierten Transfers verwendet. Dieses System ist nach der American Bankers Association benannt, die dieses Verfahren 1910 entwickelte. Zurzeit sind ungefähr 24.000 aktive Routing- und Transit-Nummern in Gebrauch. Jedes Finanzinstitut hat eine solche Nummer; sie ist eine 9-stellige Nummer in MICR-Schrift am unteren Rand von Schecks, die das Finanzinstitut eindeutig identifiziert, und unterliegt dem Routing Number Administrative Board, das von der ABA gesponsert wird. Die primären Gründe zur Verwendung von Routing-Nummern sind folgende: n Zum Identifizieren der Bank, die zum Auszahlen bzw. Vergeben von Krediten verantwortlich ist oder berechtigt ist, Zahlungen bzw. Kredite für finanzielle Transaktionen zu erhalten. n Zum Bereitstellen einer Referenz auf eine designierte Stelle der Bank, an die die Transaktion zugestellt bzw. an der sie vorgelegt werden kann. Weitere Informationen finden Sie unter „Content Blade für ABA Routing-Nummern“, auf Seite 98. Australische Bankkontonummern Eine australische Bankkontonummer identifiziert zusammen mit einer BSB-Nummer (Bank State BranchNummer) das Bankkonto einer Person oder Organisation. Australische Geschäfts- und Firmennummern Die australischen Geschäftsnummern (ABN, Australian Business Number) und die australischen Firmennummern (ACN, Australian Company Number) dienen der eindeutigen Identifizierung der Unternehmen innerhalb des Landes. Die ABN ist eine eindeutige, 11-stellige Identifikationsnummer, die Unternehmen im Umgang mit anderen Unternehmen verwenden. Die letzten 9 Stellen der ABN eines Unternehmens sind häufig mit dessen ACN identisch. Die ABN zeigt an, dass eine Person, ein Konzern oder ein Unternehmen im Australian Business Register (ABR) registriert ist. Eine australische Firmennummer (ACN, Australian Company Number) ist eine eindeutige 9-stellige Identifikationsnummer, die von der Australian Securities and Investments Commission (ASIC) für jedes Unternehmen ausgestellt wird, das im Rahmen des Commonwealth Corporations Act 2001 registriert ist. Die Nummer wird in der Regel in drei Gruppen mit jeweils drei Ziffern angegeben. Die Unternehmen sind verpflichtet, ihre ACN an folgenden Stellen anzugeben: n auf dem Firmensiegel (sofern vorhanden) n auf jedem öffentlichen Dokument, das vom Unternehmen oder in seinem Auftrag ausgestellt, unterzeichnet oder veröffentlicht wird n auf jedem diskontfähigen Wertpapier, das vom Unternehmen oder in seinem Auftrag ausgestellt, unterzeichnet oder veröffentlicht wird n auf allen Unterlagen, die bei der ASIC (Australian Securities and Investments Commission) eingereicht werden müssen Diese Regelung verwendet die Content Blades mit dem Titel „Australia Business Number“ oder „Australia Company Number“. Weitere Informationen finden Sie unter . 82 VMware, Inc. Kapitel 14 vShield Data Security Management Australische Medicare-Kartennummern Alle australischen Bürger sowie Personen mit ständigem Wohnsitz in Australien und ihre Familien haben Anspruch auf eine Medicare-Karte, mit Ausnahme der Einwohner von Norfolk Island. Auf der Karte sind eine Person sowie die von ihr ausgewählten Mitglieder ihrer Familie (maximal fünf Namen) aufgeführt, die ebenfalls ihren ständigen Wohnsitz in Australien haben und auf die die Medicare-Definition eines Familienangehörigen zutrifft. Die Medicare-Nummer muss angegeben werden, um Medicare-Rabatte nutzen zu können oder im staatlichen Krankenhaussystem kostenfrei behandelt zu werden. Medicare wird von Medicare Australia (bis 2005 Health Insurance Commission) verwaltet, das auch für die Ausgabe von Medicare-Karten und -Nummern zuständig ist. Nahezu alle berechtigten Personen verfügen über eine Karte: Im Juni 2002 wurden 20,4 Millionen Inhaber von Medicare-Karten gezählt, während die Einwohnerzahl zur selben Zeit weniger als 20 Millionen betrug. (Zu den Karteninhabern gehören auch Australier, die sich im Ausland aufhalten und noch eine Karte besitzen.) Die Medicare-Karte wird ausschließlich für Zwecke des Gesundheitswesens verwendet. Ihre Daten können nicht in einer Datenbank verfolgt werden. Sie enthält einen Namen und eine Nummer, jedoch kein sichtbares Foto (mit Ausnahme der tasmanischen Smartcard-Version, die über einen eingebetteten Chip mit dem elektronischen Bild des Karteninhabers verfügt). Vorrangig dient die Medicare-Karte dem Nachweis der Medicare-Berechtigung, wenn eine von Medicare subventionierte Behandlung durch einen Arzt oder ein Krankenhaus in Anspruch genommen wird. Rein rechtlich gesehen müsste die Karte nicht ausgestellt werden, da die Medicare-Nummer allein ausreicht. In der Praxis jedoch haben die meisten Medicare-Anbieter Richtlinien, die verlangen, dass die Karte präsentiert wird, um Missbrauch zu verhindern. Australische Steuernummern Eine Steuernummer (TFN, Tax File Number) wird einer Person durch den Commissioner of Taxation ausgestellt. Sie wird verwendet, um die Identität des Klienten zu überprüfen und das Einkommensniveau festzustellen. Diese Richtlinie verwendet das Content Blade mit dem Namen „Australia Tax File Number“. Die Beschreibung des Content Blades enthält Informationen darüber, welcher Inhalt erkannt wird. California AB-1298 California AB-1298 ist ein Datenschutzgesetz des kalifornischen Staates zum Schutz persönlicher Daten. California AB-1298 wurde am 14. Oktober 2007 unterzeichnet und trat am 1. Januar 2008 in Kraft. Dem Gesetz unterliegen alle natürlichen und juristischen Personen sowie Behörden, die in Kalifornien Geschäfte tätigen und unverschlüsselte computerisierte Daten, einschließlich persönlicher Daten, besitzen bzw. diese lizenzieren. Dieses Gesetz ist ein Zusatz zu California SB-1386, das medizinische Daten und Gesundheitsdaten in die Definition persönlicher Informationen aufnimmt. Anhand der Bestimmung wird nach mindestens einer Übereinstimmung bei den persönlichen Daten gesucht, wie in den folgenden Content Blades definiert: n Aufnahme- und Entlassungsdatum n Kreditkartennummern n Daten des Kreditkartenmagnetstreifens n Gruppenversicherungsnummern n Nummern für Anspruchsberechtigte von Krankenkassenleistungen n Wörterbücher für die Gesundheitsvorsorge VMware, Inc. 83 vShield-Administratorhandbuch n Krankengeschichte n Patienten-IDs n US-Führerscheinnummern n US National Provider Identifiers (NPI) n US-Sozialversicherungsnummern California SB-1386 California SB-1386 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten. California SB-1386 wurde am 25. September 2002 unterzeichnet und trat am 1. Juli 2003 in Kraft. Dem Gesetz unterliegen alle natürlichen und juristischen Personen sowie Behörden, die in Kalifornien Geschäfte tätigen und unverschlüsselte computerisierte Daten, einschließlich persönlicher Daten, besitzen bzw. diese lizenzieren. Dieses Gesetz wurde geändert und auf medizinische Informationen und Gesundheitsdaten ausgeweitet. Es wird jetzt unter der Bezeichnung California AB-1298 geführt und steht im SDK als erweiterte Regelung bereit. Wenn California AB-1298 aktiviert ist, müssen Sie diese Bestimmung nicht zusätzlich verwenden, da dieselben Informationen im Rahmen von AB-1298 erkannt werden. Anhand der Bestimmung wird nach mindestens einer Übereinstimmung bei den persönlichen Daten gesucht. Dazu gehören: n Kreditkartennummer n Daten des Kreditkartenmagnetstreifens n US-Führerscheinnummer n US-Sozialversicherungsnummer Kanadische Sozialversicherungsnummern Die Social Insurance Number (SIN) ist eine in Kanada ausgestellte Nummer, auf die verschiedene staatliche Programme zurückgreifen. Die SIN wurde 1964 als benutzerdefinierte Kontonummer zur Administration des Canada Pension Plan und von Kanadas verschiedenen Arbeitsversicherungsprogrammen eingeführt. 1967 begann Revenue Canada (heute die Canada Revenue Agency), die SIN für Steuererklärungen zu verwenden. Kanadische Führerscheinnummern In Kanada werden Führerscheine von der Regierung der Provinz ausgestellt, in der der Fahrer seinen Wohnsitz hat. Daher unterscheiden sich die Vorschriften für Führerscheine der Provinzen in einzelnen Punkten, obwohl sie insgesamt sehr ähnlich sind. In allen Provinzen gelten Vorschriften, nach denen Nichtansässige eine von anderen Provinzen ausgestellte Fahrerlaubnis oder einen internationalen Führerschein verwenden dürfen. Anhand der Bestimmung wird nach mindestens einer Übereinstimmung mit einem der folgenden Content Blades gesucht: n Führerschein von Alberta n Führerschein von British Columbia n Führerschein von Manitoba n Führerschein von New Brunswick n Führerschein von Neufundland und Labrador n Führerschein von Nova Scotia Regeln für Lizenzmuster: 5 Buchstaben gefolgt von 9 Ziffern 84 VMware, Inc. Kapitel 14 vShield Data Security Management n Führerschein von Ontario n Führerschein von Prince Edward Island n Führerschein von Quebec n Führerschein von Saskatchewan Colorado HB-1119 Colorado HB-1119 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten. Colorado HB-1119 wurde am 24. April 2006 unterzeichnet und trat am 1. September 2006 in Kraft. Dem Gesetz unterliegen alle natürlichen und juristischen Personen, die in Colorado Geschäfte tätigen und unverschlüsselte computerisierte Daten, einschließlich persönlicher Daten, besitzen bzw. diese lizenzieren. Anhand der Bestimmung wird nach mindestens einer Übereinstimmung bei den persönlichen Daten gesucht. Dazu gehören: n Kreditkartennummer n Daten des Kreditkartenmagnetstreifens n US-Führerscheinnummer n US-Sozialversicherungsnummer Connecticut SB-650 Connecticut SB-650 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten. Connecticut SB-650 wurde am 8. Juni 2005 unterzeichnet und trat am 1. Januar 2006 in Kraft. Dem Gesetz unterliegen alle natürlichen und juristischen Personen sowie Behörden, die in Connecticut Geschäfte tätigen und unverschlüsselte computerisierte Daten, einschließlich persönlicher Daten, besitzen bzw. diese lizenzieren. Anhand der Bestimmung wird nach mindestens einer Übereinstimmung bei den persönlichen Daten gesucht, wie in den folgenden Content Blades definiert: n Aufnahme- und Entlassungsdatum n Geburts- und Sterbeurkunden n Kreditkartennummern n Daten des Kreditkartenmagnetstreifens n Gruppenversicherungsnummern n Nummern für Anspruchsberechtigte von Krankenkassenleistungen n Wörterbücher für die Gesundheitsvorsorge n Krankengeschichte n Patienten-IDs n US-Führerscheinnummern n US National Provider Identifiers (NPI) n US-Sozialversicherungsnummern Kreditkartennummern VMware, Inc. 85 vShield-Administratorhandbuch Benutzerdefinierte Kontonummern Wenn Sie die spezifischen Kontonummern einer Organisation schützen müssen, passen Sie das Content Blade an, das für die benutzerdefinierten Kontonummern zuständig ist, indem Sie das Muster der Nummern über einen regulären Ausdruck angeben. EU-Debitkartennummern Die Richtlinie sucht nach Debitkartennummern, die von den großen Debitkartenunternehmen in der Europäischen Union wie Maestro, Visa und Laser ausgestellt wurden. FERPA (Family Educational Rights and Privacy Act) FERPA schützt Daten von Schülern bzw. Studenten in Bildungseinrichtungen, die durch das US Department of Education gefördert werden. Es verlangt, dass sich die Bildungseinrichtung die schriftliche Genehmigung eines Elternteils oder des Schülers bzw. Stundenden einholt, bevor Informationen aus den Schulakten des Schülers bzw. des Studenten freigegeben werden. Unter bestimmten Umständen können Informationen wie Name, Adresse, Telefonnummer, Ehrungen und Auszeichnungen sowie das Datum der Teilnahme auch ohne Genehmigung freigegeben oder veröffentlicht werden. Für Informationen, die eine Person mit Noten oder disziplinarischen Maßnahmen in Verbindung bringen können, wird immer eine Erlaubnis benötigt. Die Richtlinie muss mit beiden folgenden Content Blades übereinstimmen, damit ein Dokument einen Verstoß auslöst: n Studentenidentifikationsnummern n Studentendaten Florida HB-481 Florida HB-481 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten. Florida HB-481 wurde am 14. Juni 2005 unterzeichnet und trat am 1. Juli 2005 in Kraft. Dem Gesetz unterliegen alle natürlichen Personen, Unternehmen, Interessenverbände, Joint Ventures, Partnerschaften, Syndikate, Großunternehmen sowie alle anderen Gruppen oder Kombinationen davon, die in Florida Geschäfte tätigen und unverschlüsselte computerisierte Daten, einschließlich persönlicher Daten, besitzen bzw. diese lizenzieren. Anhand der Richtlinie wird nach mindestens einer Übereinstimmung bei den persönlichen Daten gesucht. Dazu gehören: n Kreditkartennummer n Daten des Kreditkartenmagnetstreifens n US-Führerscheinnummer n US-Sozialversicherungsnummer Französische IBAN-Nummern Bei einer französischen IBAN (International Bank Account Number) handelt es sich um eine internationale Norm zum Identifizieren von französischen Bankkonten über nationale Grenzen hinweg, die ursprünglich vom European Committee for Banking Standards eingeführt wurde. Die offizielle IBAN-Registrierung (ISO 13616:2003) wird von der Society for Worldwide Interbank Financial Telecommunication (SWIFT) ausgestellt. Die Richtlinie greift auf das Content Blade für französische IBAN-Nummern zurück, um nach einer Übereinstimmung zu suchen. 86 VMware, Inc. Kapitel 14 vShield Data Security Management Richtlinie für französische Personalausweisnummern Diese Richtlinie identifiziert Dokumente und Übertragungen, die Personalausweisnummern enthalten (auch als INSEE-Nummern und Sozialversicherungsnummern bezeichnet), die Personen vom Institut National de la Statistique et des Etudes Economiques (INSEE) in Frankreich bei der Geburt ausgestellt werden. Die Richtlinie greift auf das Content Blade für französische Personalausweisnummern zurück, um nach einer Übereinstimmung zu suchen. Georgia SB-230-Richtlinie Georgia SB-230 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten. Georgia SB-230 wurde am 5. Mai 2005 unterzeichnet und trat am 5. Mai 2005 in Kraft. Dem Gesetz unterliegen alle natürlichen und juristischen Personen, die zum Erheben von Gebühren und Abgaben Informationen über Personen sammeln, zusammenstellen, auswerten, zusammentragen, berichten, übertragen, transferieren oder kommunizieren mit dem Hauptzweck, persönliche Daten an nicht angegliederte Dritte zur Verfügung zu stellen, die computerisierte Daten, einschließlich persönlicher Daten, verwalten. Anhand der Richtlinie wird nach mindestens einer Übereinstimmung bei den persönlichen Daten gesucht. Dazu gehören: n Kreditkartennummer n Daten des Kreditkartenmagnetstreifens n US-Führerscheinnummer n US-Sozialversicherungsnummer Richtlinie für deutsche BIC-Nummern Ein Bank Identifier Code (BIC) bzw. eine Bankleitzahl dient der eindeutigen Identifizierung einer bestimmten Bank und wird in Deutschland und weltweit für den Austausch von Geld und Nachrichten zwischen Banken verwendet. Die Richtlinie erkennt Dokumente und Übertragungen, die BIC-Codes (auch bekannt als SWIFTCodes) enthalten, die von der Society for Worldwide Interbank Financial Telecommunication (SWIFT) ausgegeben werden. Die Richtlinie greift auf das Content Blade für deutsche BIC-Nummern zurück, um nach einer Übereinstimmung zu suchen. Richtlinie für deutsche Führerscheinnummern Eine deutsche Führerscheinnummer ist eine Identifikationsnummer auf einem deutschen Führerschein und identifiziert den Führerscheininhaber im Zusammenhang mit dem Führen von Kraftfahrzeugen oder möglichen Verkehrsdelikten. Die Richtlinie greift auf das Content Blade für deutsche Führerscheinnummern zurück, um nach einer Übereinstimmung zu suchen. Richtlinie für deutsche IBAN-Nummern Bei der IBAN (International Bank Account Number) handelt es sich um eine internationale Norm zum Identifizieren von Bankkonten über nationale Grenzen hinweg, die ursprünglich vom European Committee for Banking Standards eingeführt wurde. Die offizielle IBAN-Registrierung (ISO 13616:2003) wird von der Society for Worldwide Interbank Financial Telecommunication (SWIFT) ausgestellt. Die Richtlinie greift auf das Content Blade für deutsche IBAN-Nummern zurück, um nach einer Übereinstimmung zu suchen. VMware, Inc. 87 vShield-Administratorhandbuch Richtlinie für deutsche Personalausweisnummern Die Richtlinie erkennt Dokumente und Übertragungen, die persönliche Identifikationsnummern oder das Wort „Personalausweis“ enthalten und für Personen in Deutschland ausgestellt wurden. Die Richtlinie greift auf das Content Blade für deutsche Personalausweisnummern zurück, um nach einer Übereinstimmung zu suchen. Richtlinie für deutsche Umsatzsteuernummern Ansässiges Unternehmen oder juristische Person für die Zwecke der Mehrwertsteuererhebung (bzw. der Erhebung von Steuern auf Waren und Dienstleistungen). Die Richtlinie greift auf das Content Blade für deutsche Umsatzsteuernummern zurück, um nach einer Übereinstimmung zu suchen. Hawaii SB-2290-Richtlinie Hawaii SB-2290 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten. Hawaii SB-2290 wurde am 25. Mai 2006 unterzeichnet und trat am 1. Januar 2007 in Kraft. Das Gesetz gilt für alle Einzelunternehmen, Personengesellschaften, Unternehmen, Verbände bzw. anderen juristischen Personen, ungeachtet der Organisationsform, ob sie gewinnorientiert organisiert sind oder nicht, einschließlich Finanzinstituten, die gemäß der Gesetze des Bundesstaats Hawaii, eines anderen Bundesstaats, der Vereinigten Staaten oder eines anderen Lands organisiert sind, kraft eines Charters handeln oder im Besitz einer Lizenz oder eines Autorisierungszertifikats sind, oder der Muttergesellschaft oder Tochtergesellschaft eines Finanzinstituts, sowie jeder juristischen Person, deren Geschäft das Vernichten von Aufzeichnungen ist, oder jeder Behörde, die persönliche Informationen zu bestimmten behördlichen Zwecken sammelt. Anhand der Richtlinie wird nach mindestens einer Übereinstimmung bei den persönlichen Daten gesucht. Dazu gehören: n Kreditkartennummer n Daten des Kreditkartenmagnetstreifens n US-Führerscheinnummer n US-Sozialversicherungsnummer HIPPA-Richtlinie (Healthcare Insurance Portability and Accountability Act) Der Health Insurance Portability and Accountability Act (HIPAA) wurde vom Kongress der Vereinigten Staaten von Amerika erlassen. HIPAA enthält eine Datenschutzrichtlinie, die die Verwendung und Veröffentlichung von geschützten Gesundheitsinformationen (PHI, Protected Health Information) regelt, eine Sicherheitsrichtlinie, die Sicherheitsvorkehrungen für elektronisch geschützte Gesundheitsinformationen (ePHI, Electronic Protected Health Information) festlegt, und eine Durchsetzungsrichtlinie, die Prozeduren für Ermittlungen bei Verstößen sowie Strafen für bestätigte Verstöße definiert. Unter PHI versteht man persönliche Gesundheitsinformationen, die in irgendeiner Form oder mit irgendeinem Medium (elektronisch, mündlich oder auf Papier) durch eine abgedeckte juristische Person oder deren Geschäftspartner übermittelt werden (mit Ausnahme bestimmter Schulungs- und Beschäftigungsunterlagen). Persönliche Informationen ermöglichen Rückschlüsse auf die Identität der betroffenen Person durch den Ermittler. 88 VMware, Inc. Kapitel 14 vShield Data Security Management Diese Richtlinie soll elektronisch geschützte Gesundheitsinformationen (ePHI) erkennen, die außer gesundheitsbezogener Terminologie eine persönliche Gesundheitsnummer enthalten. Es können Übereinstimmungen zurückgegeben werden, die falsch negativ sind, da Kombinationen von persönlichen Informationen, z. B. Name und Adresse, von dieser Richtlinie nicht als ePHI ausgelegt werden. Interne Untersuchungen haben ergeben, dass die meisten Datenübertragungen im Gesundheitswesen neben gesundheitsbezogenen Terminologien auch eine persönliche Gesundheitsnummer enthalten. Idaho SB-1374-Richtlinie Idaho SB-1374 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten. Idaho SB-1374 wurde am 30. März 2006 unterzeichnet und trat am 1. Juli 2006 in Kraft. Dem Gesetz unterliegen alle Behörden, natürlichen und juristischen Personen, die in Idaho Geschäfte tätigen und unverschlüsselte computerisierte Daten, einschließlich persönlicher Daten von Bürgern von Idaho, besitzen bzw. diese lizenzieren. Anhand der Richtlinie wird nach mindestens einer Übereinstimmung bei den persönlichen Daten gesucht. Dazu gehören: n Kreditkartennummer n Daten des Kreditkartenmagnetstreifens n US-Führerscheinnummer n US-Sozialversicherungsnummer Illinois SB-1633 Illinois SB-1633 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten. Illinois SB-1633 wurde am 16. Juni 2005 unterzeichnet und trat am 27. Juni 2006 in Kraft. Das Gesetz gilt für alle Datensammler. Dazu gehören, jedoch nicht ausschließlich, Behörden, öffentliche und private Universitäten, Privatunternehmen und Aktiengesellschaften, Finanzinstitute, Einzelhändler und andere juristische Personen, die nicht öffentliche, persönliche Daten zu jedwedem Zweck verarbeiten, erfassen, verbreiten oder auf andere Art damit handeln bzw. die persönliche Daten zu Bürgern von Illinois besitzen bzw. diese lizenzieren. Anhand der Richtlinie wird nach mindestens einer Übereinstimmung bei den persönlichen Daten gesucht. Dazu gehören: n Kreditkartennummer n Daten des Kreditkartenmagnetstreifens n US-Führerscheinnummer n US-Sozialversicherungsnummer Indiana HB-1101-Richtlinie Indiana HB-1101 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten. Indiana HB-1101 wurde am 26. April 2005 unterzeichnet und trat am 1. Juli 2006 in Kraft. Dem Gesetz unterliegen alle natürlichen Personen, Unternehmen, Business Trusts, Vermögensverwalter, treuhänderisch tätige Einrichtungen, Interessenverbände, Nonprofit-Unternehmen oder -Organisationen, Kooperativen und alle anderen juristischen Personen, die unverschlüsselte computerisierte Daten, einschließlich persönlicher Daten, besitzen bzw. diese lizenzieren. Anhand der Richtlinie wird nach mindestens einer Übereinstimmung bei den persönlichen Daten gesucht. Dazu gehören: n Kreditkartennummer n Daten des Kreditkartenmagnetstreifens VMware, Inc. 89 vShield-Administratorhandbuch n US-Führerscheinnummer n US-Sozialversicherungsnummer Richtlinie für italienische Führerscheinnummern Eine italienische Führerscheinnummer ist eine Identifikationsnummer auf einem italienischen Führerschein und identifiziert den Führerscheininhaber im Zusammenhang mit dem Führen von Kraftfahrzeugen oder möglichen Verkehrsdelikten. Die Richtlinie greift auf das Content Blade für italienische Führerscheinnummern zurück, um nach einer Übereinstimmung zu suchen. Richtlinie für italienische IBAN-Nummern. Bei der IBAN (International Bank Account Number) handelt es sich um eine internationale Norm zum Identifizieren von Bankkonten über nationale Grenzen hinweg, die ursprünglich vom European Committee for Banking Standards eingeführt wurde. Die offizielle IBAN-Registrierung (ISO 13616:2003) wurde von der Society for Worldwide Interbank Financial Telecommunication (SWIFT) ausgestellt. Die Richtlinie greift auf das Content Blade für italienische IBAN-Nummern zurück, um nach einer Übereinstimmung zu suchen. Richtlinie für italienische Personalausweisnummern Die Richtlinie erkennt Dokumente und Übertragungen, die persönliche Identifikationsnummern oder das Wort „Codice Fiscale“ enthalten und an Personen in Italien ausgestellt wurden. Die Richtlinie greift auf das Content Blade für italienische Personalausweisnummern zurück, um nach einer Übereinstimmung zu suchen. Kansas SB-196-Richtlinie Kansas SB-196 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten. Kansas SB-196 wurde am 19. April 2006 unterzeichnet und trat am 1. Januar 2007 in Kraft. Dem Gesetz unterliegen alle natürlichen Personen, Personengesellschaften, Unternehmen, Trusts, Vermögensverwalter, Kooperativen, Interessenverbände, staatliche Behörden und alle anderen juristischen Personen, die in Kansas Geschäfte tätigen und unverschlüsselte computerisierte Daten, einschließlich persönlicher Daten, besitzen bzw. diese lizenzieren. Anhand der Richtlinie wird nach mindestens einer Übereinstimmung bei den persönlichen Daten gesucht. Dazu gehören: 90 n Kreditkartennummer n Daten des Kreditkartenmagnetstreifens n US-Führerscheinnummer n US-Sozialversicherungsnummer VMware, Inc. Kapitel 14 vShield Data Security Management Louisiana SB-205-Richtlinie Louisiana SB-205 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten. Louisiana SB-205 wurde am 12. Juli 2005 unterzeichnet und trat am 1. Januar 2006 in Kraft. Dem Gesetz unterliegen alle natürlichen Personen, Unternehmen, Personengesellschaften, Einzelunternehmen, Aktiengesellschaften, Joint Ventures und alle anderen juristischen Personen, die in Louisiana Geschäfte tätigen und unverschlüsselte computerisierte Daten, einschließlich persönlicher Daten, besitzen bzw. diese lizenzieren. Anhand der Richtlinie wird nach mindestens einer Übereinstimmung bei den persönlichen Daten gesucht. Dazu gehören: n Kreditkartennummer n Daten des Kreditkartenmagnetstreifens n US-Führerscheinnummer n US-Sozialversicherungsnummer Maine LD-1671-Richtlinie Maine LD-1671 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten. Maine LD-1671 wurde am 10. Juni 2005 unterzeichnet und trat am 31. Januar 2006 in Kraft. Das Gesetz gilt für alle natürlichen Personen, treuhänderisch tätige Einrichtungen, Unternehmen, Gesellschaften mit beschränkter Haftung, Trusts, Vermögensverwalter, Kooperativen, Verbände oder anderen juristischen Personen, einschließlich staatlicher Behörden, der University of Maine, des Maine Community Colleges, der Maine Maritime Academy und privater Colleges und Universitäten, sowie für juristische Personen, die geschäftlich ganz oder teilweise Informationen über Personen erfassen, zusammenstellen, auswerten, zusammentragen, berichten, übertragen, transferieren oder kommunizieren mit dem Hauptzweck, persönliche Daten an nicht angegliederte Dritte zur Verfügung zu stellen, die computerisierte Daten, einschließlich persönlicher Daten, verwalten. Anhand der Richtlinie wird nach mindestens einer Übereinstimmung bei den persönlichen Daten gesucht. Dazu gehören: n Kreditkartennummer n Daten des Kreditkartenmagnetstreifens n US-Führerscheinnummer n US-Sozialversicherungsnummer Massachusetts CMR-201 Massachusetts CMR-201 ist eine Datenschutzbestimmung dieses Staates zum Schutz persönlicher Daten. Massachusetts CMR-201 wurde am 19. September 2008 unterzeichnet und trat am 1. Mai 2009 in Kraft. Der Bestimmung unterliegen alle Unternehmen und andere juristische Personen, die persönliche Daten über einen Bürger des Commonwealth of Massachusetts besitzen, lizenzieren, erfassen, speichern oder verwalten. Anhand der Richtlinie wird nach mindestens einer Übereinstimmung bei den persönlichen Daten gesucht. Dazu gehören: n ABA Routing-Nummern n Kreditkartennummer n Daten des Kreditkartenmagnetstreifens n US-Bankkontonummern n US-Führerscheinnummer VMware, Inc. 91 vShield-Administratorhandbuch n US-Sozialversicherungsnummer Minnesota HF-2121 Minnesota HF-2121 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten. Minnesota HF-2121 wurde am 2. Juni 2005 unterzeichnet und trat am 1. Januar 2006 in Kraft. Dem Gesetz unterliegen alle Personen bzw. Unternehmen, die in Minnesota Geschäfte tätigen und Daten, einschließlich persönlicher Daten, besitzen bzw. diese lizenzieren. Anhand der Richtlinie wird nach mindestens einer Übereinstimmung bei den persönlichen Daten gesucht. Dazu gehören: n Kreditkartennummer n Daten des Kreditkartenmagnetstreifens n US-Führerscheinnummer n US-Sozialversicherungsnummer Montana HB-732 Montana HB-732 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten. Montana HB-732 wurde am 28. April 2005 unterzeichnet und trat am 1. März 2006 in Kraft. Dem Gesetz unterliegen alle Personen bzw. Unternehmen, die in Montana Geschäfte tätigen und computerisierte Daten, einschließlich persönlicher Daten, besitzen bzw. diese lizenzieren. Anhand der Richtlinie wird nach mindestens einer Übereinstimmung bei den persönlichen Daten gesucht. Dazu gehören: n Kreditkartennummer n Daten des Kreditkartenmagnetstreifens n US-Führerscheinnummer n US-Sozialversicherungsnummer Niederländische Führerscheinnummern Eine niederländische Führerscheinnummer ist eine Identifikationsnummer auf einem niederländischen Führerschein und identifiziert den Führerscheininhaber im Zusammenhang mit dem Führen von Kraftfahrzeugen oder möglichen Verkehrsdelikten. Die Richtlinie greift auf das Content Blade für niederländische Führerscheinnummern zurück, um nach einer Übereinstimmung zu suchen. Nevada SB-347 Nevada SB-347 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten. Nevada SB-347 wurde am 17. Juni 2005 unterzeichnet und trat am 1. Oktober 2005 in Kraft. Dem Gesetz unterliegen alle Behörden, Universitäten, Unternehmen, Finanzinstitute und Einzelhändler sowie alle anderen Arten von geschäftlichen Unternehmen bzw. Verbänden, die unverschlüsselte computerisierte Daten, einschließlich persönlicher Daten, besitzen bzw. diese lizenzieren. Anhand der Richtlinie wird nach mindestens einer Übereinstimmung bei den persönlichen Daten gesucht. Dazu gehören: 92 n Kreditkartennummer n Daten des Kreditkartenmagnetstreifens n US-Führerscheinnummer VMware, Inc. Kapitel 14 vShield Data Security Management n US-Sozialversicherungsnummer New Hampshire HB-1660 New Hampshire HB-1660 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten. New Hampshire HB-1660 wurde am 2. Juni 2006 unterzeichnet und trat am 1. Januar 2007 in Kraft. Dem Gesetz unterliegen alle Personen, Unternehmen, Trusts, Personengesellschaften, eingetragene und nicht eingetragene Vereine, Gesellschaften mit beschränkter Haftung bzw. andere juristische Personen, Behörden, Gremien, Gerichte, Gerichte, Abteilungen, Dezernate, Kommissionen, Institutionen, Ämter und andere staatliche Stellen sowie alle politischen Gliederungen des Bundesstaats, die in New Hampshire Geschäfte tätigen und computerisierte Daten, einschließlich persönlicher Daten, besitzen bzw. diese lizenzieren. Anhand der Richtlinie wird nach mindestens einer Übereinstimmung bei den persönlichen Daten gesucht. Dazu gehören: n Kreditkartennummer n Daten des Kreditkartenmagnetstreifens n US-Führerscheinnummer n US-Sozialversicherungsnummer New Jersey A-4001 New Jersey A-4001 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten. New Jersey A-4001 wurde am 22. September 2005 unterzeichnet und trat am 1. Januar 2006 in Kraft. Das Gesetz gilt für New Jersey sowie für jedes County, jede Stadt, jeden Bezirk, jede Behörde, jede staatliche Agentur und jede andere politische Gliederung bzw. öffentliche Körperschaft in New Jersey, für alle Einzelunternehmen, Personengesellschaften, Unternehmen, Verbände bzw. andere juristische Personen, ungeachtet der Organisationsform, ob sie gewinnorientiert organisiert sind oder nicht, einschließlich Finanzinstituten, die gemäß der Gesetze des Bundesstaats New Jersey, eines anderen Bundesstaats, der Vereinigten Staaten oder eines anderen Lands organisiert sind, kraft eines Charters handeln oder im Besitz einer Lizenz oder eines Autorisierungszertifikats sind, oder die Muttergesellschaft oder die Tochtergesellschaft eines Finanzinstituts, das in New Jersey tätig ist, die Computerdaten zusammenstellen oder verwalten, die persönliche Informationen enthalten. Anhand der Richtlinie wird nach mindestens einer Übereinstimmung bei den persönlichen Daten gesucht. Dazu gehören: n Kreditkartennummer n Daten des Kreditkartenmagnetstreifens n US-Führerscheinnummer n US-Sozialversicherungsnummer New York AB-4254 New York AB-4254 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten. New York AB-4254 wurde am 10. August 2005 unterzeichnet und trat am 8. Dezember 2005 in Kraft. Dem Gesetz unterliegen alle Personen bzw. Unternehmen, die in New York Geschäfte tätigen und unverschlüsselte computerisierte Daten, einschließlich persönlicher Daten, besitzen bzw. diese lizenzieren. Anhand der Richtlinie wird nach mindestens einer Übereinstimmung bei den persönlichen Daten gesucht. Dazu gehören: n Kreditkartennummer n Daten des Kreditkartenmagnetstreifens VMware, Inc. 93 vShield-Administratorhandbuch n US-Führerscheinnummer n US-Sozialversicherungsnummer Neuseeländische Steuernummern Die Richtlinie erkennt Dokumente und Übertragungen, die neuseeländische Steuernummern enthalten, die vom Inland Revenue Department (IRD) an jeden Steuerzahler und jede Organisation ausgegeben werden. Die Nummer muss bei den Steuerbehörden (Inland Revenue), Arbeitgebern, Banken oder anderen Finanzinstituten, KiwiSaver Scheme-Anbietern, StudyLink und Steuerberatern angegeben werden. Die Richtlinie greift auf das Content Blade für neuseeländische Steuernummern zurück, um nach einer Übereinstimmung zu suchen. Nummern des neuseeländischen Gesundheitsministeriums Die Richtlinie erkennt Dokumente und Übertragungen, die Nummern des New Zealand Health Practitioner Index (HPI) oder National Health Index (NHI) enthalten. Das neuseeländische Ministerium für Gesundheit (Manatu Hauora in Maori) leitet das neuseeländische Gesundheitssystem und ist der wichtigste Berater der Regierung in allen gesundheitlichen Belangen. Das Ministerium verwendet zwei Systeme, um die Korrektheit der Daten unter Beibehaltung der Privatsphäre des Einzelnen sicherstellen zu können: das NHI-Nummernsystem für die Registrierung von Patienten und das HPISystem für die Registrierung von Ärzten. Diese Richtlinie erkennt die 6-stellige alphanumerische HPI-CPN (New Zealand Health Practitioner Index Common Person Number), über die ein Arzt oder eine medizinische Fachkraft eindeutig identifiziert werden kann. Darüber hinaus erkennt diese Richtlinie die 7-stelligen NHINummern zur eindeutigen Identifizierung eines Patienten innerhalb des neuseeländischen Gesundheitssystems. Die Richtlinie greift auf einen der folgenden Content Blades zurück, um nach einer Übereinstimmung zu suchen: n Neuseeländische HPI-Nummer (Health Practitioner Index-Nummer) n Neuseeländische NHI-Nummer (National Health Index-Nummer) Ohio HB-104 Ohio HB-104 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten. Ohio HB-104 wurde am 17. November 2005 unterzeichnet und trat am 29. Dezember 2006 in Kraft. Dem Gesetz unterliegen alle natürlichen Personen, Unternehmen, Business Trusts, Vermögensverwalter, treuhänderisch tätige Einrichtungen und Interessenverbände, die in Ohio Geschäfte tätigen und computerisierte Daten, einschließlich persönlicher Daten, besitzen bzw. diese lizenzieren. Anhand der Richtlinie wird nach mindestens einer Übereinstimmung bei den persönlichen Daten gesucht. Dazu gehören: 94 n Kreditkartennummer n Daten des Kreditkartenmagnetstreifens n US-Führerscheinnummer n US-Sozialversicherungsnummer VMware, Inc. Kapitel 14 vShield Data Security Management Oklahoma HB-2357 Oklahoma HB-2357 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten. Oklahoma HB-2357 wurde am 8. Juni 2006 unterzeichnet und trat am 1. November 2008 in Kraft. Dem Gesetz unterliegen alle Unternehmen, Business Trusts, Vermögensverwalter, Personengesellschaften, Kommanditgesellschaften, Personengesellschaften mit beschränkter Haftung, Gesellschaften mit beschränkter Haftung, Verbände, Organisationen, Joint Ventures, Behörden, Behördenabteilungen sowie alle anderen juristischen Personen, kommerzieller oder nicht kommerzieller Art, die in Oklahoma Geschäfte tätigen und unverschlüsselte computerisierte Daten, einschließlich persönlicher Daten, besitzen bzw. diese lizenzieren. Anhand der Richtlinie wird nach mindestens einer Übereinstimmung bei den persönlichen Daten gesucht. Dazu gehören: n Kreditkartennummer n Daten des Kreditkartenmagnetstreifens n US-Führerscheinnummer n US-Sozialversicherungsnummer Patienten-IDs Die persönlich identifizierbaren Informationen (PII), die häufig von Krankenhäusern sowie Organisationen und Unternehmen des Gesundheistswesens in den Vereinigten Staaten von Amerika verwendet werden. Diese Richtlinie sollte angepasst werden, um das Format der Patientenidentifikationsnummer zu definieren. Anhand der Richtlinie wird nach mindestens einer Übereinstimmung bei den persönlichen Daten gesucht. Dazu gehören: n Patienten-IDs n US National Provider Identifier n US-Sozialversicherungsnummer Payment Card Industry Data Security Standard (PCI-DSS) Der PCI DSS, eine Reihe von umfassenden Anforderungen zur Verbesserung der Sicherheit von Zahlungskontendaten, wurde von den Gründungsorganisationen des PCI Security Standards Council entwickelt, darunter American Express, Discover Financial Services, JCB International, MasterCard Worldwide und Visa Inc. International, um die globale Einführung einheitlicher Datensicherheitsmaßnahmen zu unterstützen. Der PCI DSS ist ein vielseitiger Sicherheitsstandard, der Anforderungen an das Sicherheitsmanagement, an Richtlinien, Verfahren, Netzwerkarchitektur, Softwaredesign und andere kritische Schutzmaßnahmen beinhaltet. Mithilfe dieses umfassenden Standards sollen Organisationen Kundenkontendaten proaktiv schützen können. Die Richtlinie greift auf einen der folgenden Content Blades zurück, um nach mindestens einer Übereinstimmung zu suchen: n Kreditkartennummer n Daten des Kreditkartenmagnetstreifens VMware, Inc. 95 vShield-Administratorhandbuch Texas SB-122 Texas SB-122 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten. Texas SB-122 wurde am 17. Juni 2005 unterzeichnet und trat am 1. September 2005 in Kraft. Dem Gesetz unterliegen alle Personen, die in Texas Geschäfte tätigen und unverschlüsselte computerisierte Daten, einschließlich persönlicher Daten, besitzen bzw. diese lizenzieren. Anhand der Richtlinie wird nach mindestens einer Übereinstimmung bei den persönlichen Daten gesucht. Dazu gehören: n Kreditkartennummer n Daten des Kreditkartenmagnetstreifens n US-Führerscheinnummer n US-Sozialversicherungsnummer Britische BIC-Nummern Eine Bank Identifier Code (BIC) dient der eindeutigen Identifizierung einer bestimmten Bank und wird in Großbritannien und weltweit für den Austausch von Geld und Nachrichten zwischen Banken verwendet. Die Richtlinie erkennt Dokumente und Übertragungen, die BIC-Codes (auch bekannt als SWIFT-Codes) enthalten, die von der Society for Worldwide Interbank Financial Telecommunication (SWIFT) ausgegeben werden. Die Richtlinie greift auf das Content Blade für britische BIC-Nummern zurück, um nach einer Übereinstimmung zu suchen. Britische Führerscheinnummern Eine britische Führerscheinnummer ist eine Identifikationsnummer auf einem britischen Führerschein und identifiziert den Führerscheininhaber im Zusammenhang mit dem Führen von Kraftfahrzeugen oder möglichen Verkehrsdelikten. Die Richtlinie greift auf das Content Blade für britische Führerscheinnummern zurück, um nach einer Übereinstimmung zu suchen. Britische IBAN-Nummern Bei der IBAN (International Bank Account Number) handelt es sich um eine internationale Norm zum Identifizieren von Bankkonten über nationale Grenzen hinweg, die ursprünglich vom European Committee for Banking Standards eingeführt wurde. Die offizielle IBAN-Registrierung (ISO 13616:2003) wird von der Society for Worldwide Interbank Financial Telecommunication (SWIFT) ausgestellt. Die Richtlinie greift auf das Content Blade für britische IBAN-Nummern zurück, um nach einer Übereinstimmung zu suchen. Britische National Health Service-Nummer Eine britische National Health Service-Nummer ist eine Identifikationsnummer, die der britische National Health Service ausstellt und die den Inhaber der besagten Nummer auf medizinischen Unterlagen identifiziert. Die Richtlinie greift auf das Content Blade für britische National Health Service-Nummern zurück, um nach einer Übereinstimmung zu suchen. 96 VMware, Inc. Kapitel 14 vShield Data Security Management Britische Sozialversicherungsnummer (NINO, UK National Insurance Number) Die britische Sozialversicherung ist ein System von Zahlungen, die Arbeitnehmer, Arbeitgeber und Selbstständige an die Regierung tätigen, und das sie berechtigt, eine staatliche Rente und andere Leistungen in Anspruch zu nehmen. Britische Sozialversicherungsnummern (NINO, National Insurance Number) sind Identifikationsnummern, die jeder in Großbritannien geborenen Person und jedem Einwohner in Großbritannien zugewiesen wird, der einer legalen Arbeit nachgeht, studiert, Sozialhilfe oder Rente empfängt usw. Die Richtlinie greift auf das Content Blade für britische NINO-Nummern mit formalem Muster oder das Content Blade für britische NINO-Nummern mit nicht formalem Muster zurück, um nach einer Übereinstimmung zu suchen. Britische Reisepassnummern Die Richtlinie erkennt Dokumente und Übertragungen, die in Großbritannien ausgestellte Reisepassnummern enthalten. Die Richtlinie greift auf das Content Blade für britische Reisepassnummern zurück, um nach einer Übereinstimmung zu suchen. US-Führerscheinnummern In den Vereinigten Staaten vom Department of Motor Vehicles (oder einer vergleichbaren Behörde) ausgestellte Führerscheine enthalten einen numerischen oder alphanumerischen Code, in der Regel ein Foto des Inhabers sowie eine Kopie seiner Unterschrift, die Adresse seines Hauptwohnsitzes, den Typ oder die Kategorie des Führerscheins, ggf. Einschränkungen und/oder Vermerke, physische Merkmale des Trägers (wie Größe, Gewicht, Haarfarbe, Augenfarbe, manchmal auch die Hautfarbe) und das Geburtsdatum. Innerhalb eines Staates sind ausgegebene Führerscheinnummern immer eindeutig. Wegen der Gefahr des Identitätsdiebstahls werden Sozialversicherungsnummern nur noch selten auf Führerscheinen angegeben. Die Richtlinie greift auf das Content Blade für US-Führerscheine zurück, um nach einer Übereinstimmung zu suchen. US-Sozialversicherungsnummern Gemäß Paragraf 205 (c) (2) des Social Security Act, kodifiziert als 42 USC 405(c)(2), wird die US-Sozialversicherungsnummer US-Bürgern, Personen mit ständigem Wohnsitz in den Vereinigten Staaten und Personen mit befristeter Arbeits- bzw. Aufenthaltsgenehmigung ausgestellt. Die Social Security Administration, eine unabhängige Agentur der Regierung der Vereinigten Staaten, vergibt die Sozialversicherungsnummern an die Bürger. In erster Linie wird mithilfe der Sozialversicherungsnummer das Einkommen von Personen für steuerliche Zwecke verfolgt. Utah SB-69 Utah SB-69 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten. Utah SB-69 wurde am 20. März 2006 unterzeichnet und trat am 1. Januar 2007 in Kraft. Dem Gesetz unterliegen alle Personen, die unverschlüsselte computerisierte Daten, einschließlich persönlicher Daten, zu Bürgern von Utah besitzen bzw. diese lizenzieren. Anhand der Richtlinie wird nach mindestens einer Übereinstimmung bei den persönlichen Daten gesucht. Dazu gehören: n Kreditkartennummer n Daten des Kreditkartenmagnetstreifens VMware, Inc. 97 vShield-Administratorhandbuch n US-Führerscheinnummer n US-Sozialversicherungsnummer Vermont SB-284 Vermont SB-284 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten. Vermont SB-284 wurde am 18. Mai 2006 unterzeichnet und trat am 1. Januar 2007 in Kraft. Dem Gesetz unterliegen alle Personen, die Daten sammeln und unverschlüsselte computerisierte Daten, einschließlich persönlicher Daten, zu Bürgern von Vermont besitzen bzw. diese lizenzieren. Anhand der Richtlinie wird nach mindestens einer Übereinstimmung bei den persönlichen Daten gesucht. Dazu gehören: n Kreditkartennummer n Daten des Kreditkartenmagnetstreifens n US-Führerscheinnummer n US-Sozialversicherungsnummer Washington SB-6043 Washington SB-6043 ist ein Datenschutzgesetz des gleichnamigen Bundesstaates zum Schutz persönlicher Daten. Washington SB-6043 wurde am 10. Mai 2005 unterzeichnet und trat am 24. Juli 2005 in Kraft. Dem Gesetz unterliegen alle lokalen und staatlichen Behörden sowie jeder Person bzw. jedes Unternehmen, die in Washington Geschäfte tätigen und unverschlüsselte computerisierte Daten, einschließlich persönlicher Daten, besitzen bzw. diese lizenzieren. Anhand der Richtlinie wird nach mindestens einer Übereinstimmung bei den persönlichen Daten gesucht. Dazu gehören: n Kreditkartennummer n Daten des Kreditkartenmagnetstreifens n US-Führerscheinnummer n US-Sozialversicherungsnummer Verfügbare Content Blades In diesen Abschnitten sind die verfügbaren Content Blades für vShield-Bestimmungen aufgeführt. Content Blade für ABA Routing-Nummern Das Content Blade sucht nach Übereinstimmungen bei 3 Informationsbestandteilen, die sich nah beieinander befinden. Das Content Blade sucht nach: n ABA Routing-Nummern n Wörtern und Phrasen aus dem Bankwesen (z. B. „ABA“, „routing number“, „checking“, „savings“) n Persönlichen Daten (z. B. Name, Adresse, Telefonnummer) Wörter und Phrasen aus dem Bankwesen sind implementiert, um die Genauigkeit zu erhöhen. Eine RoutingNummer besteht aus 9 Ziffern und kann mit vielen verschiedenen Datentypen verwechselt werden, beispielsweise mit einer gültigen US-Sozialversicherungsnummer, einer gültigen kanadischen Sozialversicherungsnummer oder einer internationalen Telefonnummer. Da Routing-Nummern selbst keine vertraulichen Daten sind, kann es nur bei persönlichen Daten zu einem Verstoß kommen. 98 VMware, Inc. Kapitel 14 vShield Data Security Management Content Blade für Aufnahme- und Entlassungsdatum Das Content Blade sucht nach Übereinstimmungen mit dem US-Datumsformat sowie nach Wörtern und Phrasen wie z. B. „admit date“, „admittance date“, „date of discharge“, „discharge date“, die sich nah beieinander befinden. Content Blade für Führerscheine aus Alabama Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Alabama sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie AL oder Alabama. Führerscheinmuster 7 oder 8 Ziffern Content Blade für Führerscheine aus Alaska Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Alaska sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie AK oder Alaska. Führerscheinmuster: 7 Ziffern Content Blade für Führerscheine aus Alberta Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Alaska sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie AK oder Alaska. Führerscheinmuster 7 Ziffern Content Blade für Führerscheine aus Alaska Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Alaska sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie AK oder Alaska. Führerscheinmuster: 7 Ziffern Content Blade für Führerscheine aus Alberta Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Alaska sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie AK oder Alaska. Führerscheinmuster 7 Ziffern VMware, Inc. 99 vShield-Administratorhandbuch Content Blade für American Express Das Content Blade sucht nach einer Kombination aus folgenden Informationsbestandteilen. n Mehr als eine American Express-Kreditkartennummer n Eine einzelne Kreditkartennummer plus Wörtern und Phrasen wie z. B. „ccn“, „credit card“, „expiration date“ n Eine einzelne Kreditkartennummer plus einem Ablaufdatum Content Blade für Führerscheine aus Arizona Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Arizona sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie AZ oder Arizona. Das Führerscheinmuster lautet: 1 Buchstabe, 8 Ziffern oder 9 Ziffern (SSN) bzw. 9 Ziffern (unformatierte SSN). Content Blade für Führerscheine aus Arkansas Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Arkansas sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie AR oder Arkansas. Das Führerscheinmuster kann 8 oder 9 Ziffern sein. Content Blade für Bankkontonummern aus Australien Die australische Bankkontonummer selbst ist nicht vertraulich, identifiziert aber ein Bankkonto, ohne die Zweigstelle der Bank zu identifizieren. Deshalb müssen die Bankkontonummer und die Zweigstellendaten verfügbar sein, damit das Dokument als vertraulich betrachtet wird. Das Content Blade sucht nach Übereinstimmungen für beide Informationen: n Einer australischen Bankkontonummer n Wörtern und Phrasen hinsichtlich der Zweigstelle oder BSB (Bank State Branch). Zudem wird auch ein regulärer Ausdruck verwendet, um Telefonnummern mit derselben Länge unterscheiden zu können. Eine australische Bankkontonummer ist 6 bis 10 Ziffern lang, wobei die Ziffern keine nähere Bedeutung haben. Es gibt keine Routine zum Überprüfen der Ziffern. Content Blade für australische Geschäftsnummern (ABN) Das Content Blade sucht nach Übereinstimmungen in beiden Informationsbestandteilen, die sich nah beieinander befinden. n Australia Business Number n Begriffe und Phrasen im Zusammenhang mit der ABN (z. B. ABN, Australian Business Number) Content Blade für australische Firmennummer (ACN) Das Content Blade sucht nach Übereinstimmungen in beiden Informationsbestandteilen, die sich nah beieinander befinden. 100 n Australia Company Number n Wörter und Phrasen im Zusammenhang mit der ACN (z. B. ACN, Australian Company Number) VMware, Inc. Kapitel 14 vShield Data Security Management Content Blade für australische Medicare-Kartennummer Das Content Blade findet Übereinstimmungen, wenn ein Dokument folgende Informationen enthält. n Mehr als eine australische Medicare-Kartennummer n Eine Medicare-Kartennummer sowie weitere Begriffe im Zusammenhang mit Medicare oder der Patientenidentifizierung (z. B. Patientenkennung, Patientennummer) n Eine Medicare-Kartennummer sowie zwei weitere der folgenden Informationen: Name, Ablaufdatum oder Ablaufbestimmungen Content Blade für australische Steuernummern Das Content Blade sucht nach Übereinstimmungen in beiden Informationsbestandteilen, die sich sehr nah beieinander befinden. n Australische Steuernummer (siehe Objektbeschreibung) n Steuernummerbegriffe und -Phrasen (z. B. „TFN“, „Tax File Number“) Content Blade für Führerscheinnummern aus Kalifornien Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Kalifornien sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie CA oder California. Das Führerscheinmuster lautet: 1 Buchstabe, 7 Ziffern. Content Blade für Führerscheinnummern aus Kanada Das Content Blade ist lediglich eine Containerdatei für untergeordnete Content Blades. Die ihm zugeordneten Content Blades suchen separat in den einzelnen Provinzen und Territorien nach Führerscheinen. Content Blade für Sozialversicherungsnummern aus Kanada Das Content Blade ist lediglich eine Containerdatei für untergeordnete Content Blades. Die ihm zugeordneten Content Blades suchen separat nach der formatierten und der unformatierten Version der kanadischen Sozialversicherungsnummern sowie nach persönlichen Informationen, sodass ihnen unterschiedliche Regeln zugeordnet werden können. Die formatierte Version der Sozialversicherungsnummer hat ein spezifischeres Muster. Daher sind die Regeln für die Rückgabe einer Übereinstimmung weniger streng. Die unformatierte Version ist jedoch sehr allgemein und stimmt mit vielen anderen Nummern überein. Content Blade für Führerscheinnummern aus Colorado Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Colorado sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie CO oder Colorado. Das Führerscheinmuster besteht aus 9 Ziffern. Content Blade für Führerscheinnummern aus Connecticut Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Connecticut sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie CT oder Connecticut. Führerscheinmuster: 9 Ziffern, die ersten zwei Stellen sind der Geburtsmonat in geraden bzw. ungeraden Jahreszahlen. 01-12 für Jan-Dez in ungeraden Jahren, 13-24 Jan-Dez in geraden Jahren, 99 für unbekannt. VMware, Inc. 101 vShield-Administratorhandbuch Content Blade für Kreditkartennummern Das Content Blade sucht nach einer Kombination aus folgenden Informationsbestandteilen. n Mehr als eine Kreditkartennummer n Eine einzelne Kreditkartennummer plus Wörtern und Phrasen wie z. B. „ccn“, „credit card“, „expiration date“ n Eine einzelne Kreditkartennummer plus einem Ablaufdatum Content Blade für Daten des Kreditkartenmagnetstreifens Bei den Magnetstreifendaten handelt es sich um verschlüsselte Informationen, die auf zwei Spuren des Magnetstreifens auf der Rückseite einer Kreditkarte (Bankkarte, Geschenkkarte usw.) gespeichert sind. Der Magnetstreifen auf der Rückseite einer Kreditkarte enthält drei Spuren. Jede Spur hat eine Breite von 2,8 mm (0,11 Zoll). In der von den Banken verwendeten ISO/IEC-Norm 7811 ist Folgendes definiert: n Spur 1 hat 210 bpi (bits per inch) und umfasst 79 7-Bit-Zeichen (6 Bit und 1 Paritätsbit). Sie kann nicht beschrieben werden. n Spur 2 hat 75 bpi (bits per inch) und umfasst 40 5-Bit-Zeichen (4 Bit und 1 Paritätsbit). n Spur 3 hat 210 bpi (bits per inch) und umfasst 107 5-Bit-Zeichen (4 Bit und 1 Paritätsbit). Ihre Kreditkarte verwendet in der Regel nur die Spuren 1 und 2. Bei der dritten Spur handelt sich um eine Lese-/Schreib-Spur (die eine verschlüsselte PIN, einen Landescode, Währungseinheiten und den genehmigten Betrag enthält), jedoch ist ihre Nutzung durch die Banken nicht standardisiert. Dieses Content Blade erfordert eine Übereinstimmung mit der Entität „Credit Card Track Data". Content Blade für benutzerdefinierte Kontonummern Das Content Blade für benutzerdefinierte Kontonummern kann bearbeitet werden. Es sollte einen regulären Ausdruck für das benutzerdefinierte Kontomuster einer Organisation enthalten. Content Blade für Führerscheinnummern aus Delaware Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Delaware sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie DE oder Delaware. Content Blade für europäische Debitkartennummern Das Content Blade sucht nach Mustern der wichtigsten Debitkarten in der europäischen Union. Das Content Blade findet Übereinstimmungen, wenn ein Dokument eine Kombination aus folgenden Informationsbestandteilen in unmittelbarer Nachbarschaft zueinander enthält. 102 n Mehr als eine Übereinstimmung mit einer EU-Debitkartennummer n Eine einzelne Übereinstimmung mit einer EU-Debitkartennummer sowie zwei weitere der folgenden Informationen: ein Wort oder eine Phrase für Kreditkarte (z. B. „Kartennummer“ oder „CC #“), für Kreditkartensicherheit, ein Verfallsdatum oder ein Name n Eine einzelne Übereinstimmung mit einer EU-Debitkartennummer mit einem Ablaufdatum VMware, Inc. Kapitel 14 vShield Data Security Management Content Blade für Führerscheinnummern aus Florida Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Florida sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie FL oder Florida. Führerscheinmuster: 1 Buchstabe, 12 Ziffern. Content Blade für Führerscheinnummern aus Frankreich Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um einen französischen Führerschein zu erkennen. n Muster für französischen Führerschein n Entweder Wörter oder Phrasen für einen Führerschein (z. B. „permis de conduire“) oder das EU-Datumsformat Content Blade für französische BIC-Nummern Bei der Suche nach französischen BIC-Nummern durch das Content Blade müssen die beiden folgenden Regeln zutreffen. n Europäisches BIC-Nummerformat n Französisches Format der BIC-Nummer Content Blade für französische IBAN-Nummern Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um eine französische IBAN-Nummer zu erkennen. n Europäisches IBAN-Nummerformat n Muster einer französischen IBAN-Nummer Content Blade für die französische Personalausweisnummer Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um eine französische Personalausweisnummer zu erkennen. n Mehr als eine Übereinstimmung mit dem Muster für die französische Personalausweisnummer n Eine Übereinstimmung mit dem Muster für die französische Personalausweisnummer sowie entweder Wörter oder Phrasen für eine Sozialversicherungsnummer Content Blade für französische Umsatzsteuernummern Das Content Blade erfordert eine Übereinstimmung mit dem Muster für eine französische Umsatzsteuernummer, die sich in der Nähe der Abkürzung FR befindet. Content Blade für Führerscheinnummern aus Georgia Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Georgia sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie GA oder Georgia. Führerscheinmuster: 7-9 Ziffern oder formatierte SSN. VMware, Inc. 103 vShield-Administratorhandbuch Content Blade für deutsche BIC-Nummern Bei der Suche nach deutschen BIC-Nummern durch das Content Blade müssen die beiden folgenden Regeln zutreffen. n Europäisches BIC-Nummerformat n Deutsches Format der BIC-Nummer Content Blade für Führerscheinnummern aus Deutschland Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um einen deutschen Führerschein zu erkennen. n Muster für deutschen Führerschein\ n Wörter oder Phrasen, die im Zusammenhang mit einem Führerschein stehen (z. B. „Führerschein“, „Ausstellungsdatum“) Content Blade für deutsche IBAN-Nummern Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um eine deutsche IBANNummer zu erkennen. n Europäisches IBAN-Nummerformat n Muster einer deutschen IBAN-Nummer Die Regel für eine deutsche IBAN: Ländercode „DE“, gefolgt von 22 Ziffern. Content Blade für deutsche Personalausweisnummern Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um eine deutsche Personalausweisnummer zu erkennen. n Entweder eine deutsche Personalausweisnummer oder eine maschinenlesbare Version der Nummer n Wörter oder Phrasen für eine deutsche Personalausweisnummer (z. B. „Personalausweis“, „Personalausweisnummer“) Content Blade für deutsche Reisepassnummern Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um eine deutsche Reisepassnummer zu erkennen. 104 n Entweder eine deutsche Reisepassnummer oder eine maschinenlesbare Version der Nummer n Wörter oder Phrasen für eine deutsche Reisepassnummer (z. B. „Reisepass“, „Ausstellungsdatum“) VMware, Inc. Kapitel 14 vShield Data Security Management Content Blade für deutsche Umsatzsteuernummern Das Content Blade erfordert eine Übereinstimmung mit dem Muster für eine deutsche Umsatzsteuernummer, die sich in direkter Nachbarschaft zu der Abkürzung „DE“ befindet. Content Blade für Gruppenversicherungsnummern Dies ist ein Content Blade, das angepasst werden muss. Um dieses Content Blade verwenden zu können, müssen Sie einen regulären Ausdruck hinzufügen, der dem Nummernmuster für die Gruppenversicherungsnummer einer Organisation entspricht. Das Content Blade sucht anhand des benutzerdefinierten regulären Ausdrucks nach Übereinstimmungen mit Wörtern und Phrasen, wie z. B. „group insurance“ oder einem Namen, einer Adresse in den USA oder einem Datum im US-Datumsformat. Content Blade für Führerscheinnummern aus Hawaii Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Hawaii sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie HI oder Hawaii. Führerscheinmuster: Buchstabe H und 8 Ziffern, oder SSN. Content Blade für italienische Personalausweisnummern Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um eine italienische Personalausweisnummer zu erkennen. 1 Muster einer italienischen nationalen Identifikationsnummer 2 Wörter oder Phrasen für eine italienische Personalausweisnummer (z. B. „codice fiscale“, „national identification“) Regel für Personalausweisnummern: 16 Zeichen alphanumerischer Zeichencode, wobei Folgendes gilt: n SSS sind die ersten drei Konsonanten im Familiennamen (der erste Vokal und dann ein X werden verwendet, wenn nicht genügend Konsonanten zur Verfügung stehen). n NNN ist der Vorname, von dem der erste, dritte und vierte Konsonant verwendet werden. Ausnahmen werden wie in Familiennamen behandelt. n JJ steht für die letzten beiden Ziffern des Geburtsjahrs. n M steht für den Anfangsbuchstaben des Geburtsmonats. Die Buchstaben werden in alphabetischer Reihenfolge verwendet. Dabei kommen nur die Buchstaben A bis E, H, L, M, P sowie R bis T zum Einsatz (demzufolge steht A für Januar und R für Oktober). n TT steht für den Tag des Geburtsdatums. Um Geschlechter unterscheiden zu können, wird dem Tag des Geburtsdatums 40 hinzuaddiert. (Eine Frau, die an einem 3. Mai geboren wurde, hat ...E43...) n ZZZZ ist ein für den Geburtsort spezifischer Bereichscode. Für das Ausland werden landesweite Codes verwendet: ein Buchstabe, gefolgt von drei Ziffern. n X ist eine Paritätszeichen, das berechnet wird, indem Zeichen an geraden und ungeraden Positionen addiert und durch 26 geteilt werden. Dazu werden für Buchstaben an geraden Positionen numerische Werte verwendet, die der Stellung der Buchstaben im Alphabet entsprechen. Zeichen an ungeraden Positionen haben andere Werte. Dann wird der Buchstabe verwendet, der an der Stelle im Alphabet steht, die sich aus dem Rest der Division ergibt. Muster: n LLLLLLDDLDDLDDDL n LLL LLL DDLDD LDDDL VMware, Inc. 105 vShield-Administratorhandbuch Nummern für Anspruchsberechtigte von Krankenkassenleistungen Dies ist ein Content Blade, das angepasst werden muss. Fügen Sie zum Einsetzen dieses Content Blades einen regulären Ausdruck hinzu, um Empfänger von Krankenkassenleistungen zu identifizieren. Das Content Blade sucht anhand des benutzerdefinierten regulären Ausdrucks nach Übereinstimmungen mit Wörtern und Phrasen, wie z. B. nach Anspruchsberechtigten oder einem Namen, einer Adresse in den USA oder einem Datum im US-Datumsformat. Content Blade für Führerscheinnummern aus Idaho Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Idaho sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie ID oder Idaho. Führerscheinmuster: 2 Buchstaben, 6 Ziffern, 1 Buchstabe. Content Blade für Führerscheinnummern aus Illinois Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Illinois sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie IL oder Illinois. Führerscheinmuster: 1 Buchstabe, 11 Ziffern. Content Blade für Führerscheinnummern aus Indiana Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Indiana sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie IN oder Indiana. Führerscheinmuster: 10 Ziffern. Content Blade für Führerscheinnummern aus Iowa Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Iowa sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie IA oder Iowa. Das Führerscheinmuster besteht aus 3 Ziffern, 2 Buchstaben und 3 Ziffern oder der Sozialversicherungsnummer. Content Blade für das Verfahrensverzeichnis Das Content Blade sucht nach Wörtern und Phrasen, die sich auf medizinische Verfahren beziehen, die auf der International Classification of Diseases (ICD) basieren. Das Content Blade findet Übereinstimmungen, wenn ein Dokument eine Kombination aus folgenden Informationsbestandteilen enthält: n Mehr als eine Übereinstimmung im Verfahrensverzeichnis-Wörterbuch n Eine einzelne Übereinstimmung im Verfahrensverzeichnis-Wörterbuch plus zwei Übereinstimmungen bei Name, US-Adresse oder US-Datum n Eine einzelne Übereinstimmung im Verfahrensverzeichnis-Wörterbuch mit einem Wort oder einer Phrase, die einen Patienten oder Arzt identifiziert (z. B. Patienten-ID, Name des behandelnden Arztes) Content Blade für Führerscheinnummern aus Italien Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um einen italienischen Führerschein zu erkennen. n 106 Muster für italienischen Führerschein VMware, Inc. Kapitel 14 vShield Data Security Management n Wörter oder Phrasen, die im Zusammenhang mit einem Führerschein stehen (z. B. „patente di guida“, „driving license“) Führerscheinregel: 10 alphanumerische Zeichen - 2 Buchstaben, 7 Ziffern und als letztes Zeichen ein Buchstabe. Das erste Zeichen darf nur aus den Buchstaben A - V bestehen. Führerscheinmuster: n LLDDDDDDDL n LL DDDDDDD L n LL-DDDDDDD-L n LL-DDDDDDD-L Content Blade für italienische IBAN-Nummern Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um eine italienische IBAN-Nummer zu erkennen. 1 Begriffe und Phrasen im Zusammenhang mit der IBAN (z. B. „International Bank Account Number“, „IBAN“) 2 Muster einer italienischen IBAN-Nummer IBAN-Regel: Ländercode IT gefolgt von 25 alphanumerischen Zeichen. Muster: n ITDDLDDDDDDDDDDAAAAAAAAAAAA n IT DDL DDDDD DDDDD AAAAAAAAAAAA n IT DD LDDDDD DDDDD AAAAAAAAAAAA n IT DD L DDDDD DDDDD AAAAAAAAAAAA n IT DD LDDDDDDDDDDAAAAAAAAAAAA n IT DD L DDDDDDDDDDAAAAAAAAAAAA n ITDD LDDD DDDD DDDA AAAA AAAA AAA n IT DDL DDDDD DDDDD AAAAAA AAAAAA n IT DDL DDD DDD DDD DAAA AAA AAAAAA n IT DDL DDDDDDDDDD AAAAAA AAAAAA Leerzeichen können durch Bindestriche, Schrägstriche oder Doppelpunkte ersetzt werden. Content Blade für unformatierte ITIN Das Content Blade sucht unformatierte Muster der US-Steuernummer (ITIN). Das Content Blade findet eine Übereinstimmung, wenn eine unformatierte ITIN in direkter Nachbarschaft eines Worts oder einer Phrase für eine ITIN-Nummer (z. B. tax identification, ITIN) gefunden wird. ITIN-Regel: 9-stellige Nummer, die immer mit der Zahl 9 beginnt und deren vierte und fünfte Stelle innerhalb eines Bereiches von 70 bis 88 liegt. Muster: DDDDDDDDD VMware, Inc. 107 vShield-Administratorhandbuch Content Blade für Führerscheinnummern aus Kansas Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Kansas sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie KS oder Kansas. Führerscheinmuster: 1 Buchstabe (K), 8 Ziffern; oder US-Sozialversicherungsnummer. Content Blade für Führerscheinnummern aus Kentucky Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Kentucky sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie KY oder Kentucky. Führerscheinmuster: 1 Buchstabe, 8 Ziffern oder US-Sozialversicherungsnummer. Content Blade für Führerscheinnummern aus Louisiana Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Louisiana sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie LA oder Louisiana. Führerscheinmuster: 2 Nullen, 7 Ziffern. Content Blade für Führerscheinnummern aus Maine Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Maine sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie ME oder Maine. Führerscheinmuster: 7 Ziffern, optionaler Buchstabe X. Content Blade für Führerscheine aus Manitoba Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Manitoba sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „permis de conduire“ und nach Begriffen wie MB oder Manitoba in näherer Umgebung. Regeln für Lizenzmuster: 12 alphanumerische Zeichen, die durch Bindestriche getrennt sein können, wobei Folgendes gilt: n Das erste Zeichen ist ein Buchstabe n Das 2. bis 5. Zeichen sind Buchstaben oder Sternchen n Das 6. Zeichen ist ein Buchstabe n Das 7. bis 10. Zeichen sind Ziffern n Das 11. Zeichen ist ein Buchstabe n Das 12. Zeichen ist ein Buchstabe oder eine Ziffer oder 108 n Das erste Zeichen ist ein Buchstabe n Das 2. bis 4. Zeichen sind Buchstaben oder Sternchen n Das 5. bis 6. Zeichen sind Ziffern VMware, Inc. Kapitel 14 vShield Data Security Management n Das 7. bis 12. Zeichen sind Buchstaben oder Ziffern Führerscheinmuster: n LLLLLLDDDDLA n LLLLLDDAAAAAA Content Blade für Führerscheinnummern aus Maryland Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Maryland sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie MD oder Maryland. Führerscheinmuster: 1 Buchstabe, 12 Ziffern Content Blade für Führerscheinnummern aus Massachusetts Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Massachusetts sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie MA oder Massachusetts. Führerscheinmuster: 1 Buchstabe (S), 8 Ziffern oder US-Sozialversicherungsnummer Content Blade für Führerscheinnummern aus Michigan Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Michigan sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie MI oder Michigan. Führerscheinmuster: 1 Buchstabe, 12 Ziffern Content Blade für Führerscheinnummern aus Minnesota Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Minnesota sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie MN oder Minnesota. Führerscheinmuster: 1 Buchstabe, 12 Ziffern Content Blade für Führerscheinnummern aus Mississippi Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Mississippi sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie MS oder Mississippi. Führerscheinmuster: 9 Ziffern oder formatierte Sozialversicherungsnummer Content Blade für Führerscheinnummern aus Missouri Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Missouri sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie MO oder Missouri. Führerscheinmuster: 1 Buchstabe, 6-9 Ziffern; 9 Ziffern oder formatierte Sozialversicherungsnummer VMware, Inc. 109 vShield-Administratorhandbuch Content Blade für Führerscheinnummern aus Montana Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Montana sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie MT oder Montana. Führerscheinmuster: 9 Ziffern (SSN); oder 1 Buchstabe, 1 Ziffer, 1 alphanumerisches Zeichen, 2 Ziffern, 3 Buchstaben und 1 Ziffer; oder 13 Ziffern Content Blade für das NDC Formulas-Wörterbuch Das Content Blade sucht nach Wörtern und Phrasen, die sich auf Formeln beziehen, die auf den National Drug Codes (NDC) basieren. Das Content Blade findet Übereinstimmungen, wenn ein Dokument eine Kombination aus folgenden Informationsbestandteilen enthält: 1 Mehr als eine Übereinstimmung im NDC Formulas-Wörterbuch 2 Eine einzelne Übereinstimmung im NDC Formulas-Wörterbuch plus zwei Übereinstimmungen bei Name, US-Adresse oder US-Datum 3 Eine einzelne Übereinstimmung im NDC Formulas-Wörterbuch mit einem Wort oder einer Phrase, die einen Patienten oder Arzt identifiziert (z. B. Patienten-ID, Name des behandelnden Arztes) Content Blade für Führerscheinnummern aus Nebraska Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Nebraska sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie NE oder Nebraska. Führerscheinmuster: 1 Buchstabe, 8 Ziffern Content Blade für Führerscheinnummern aus den Niederlanden Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um einen niederländischen Führerschein zu erkennen. 1 Muster eines niederländischen Führerscheins (siehe Ojektbeschreibung) 2 Wörter oder Phrasen, die im Zusammenhang mit einem Führerschein stehen (z. B. „rijbewijs“) Content Blade für niederländische IBAN-Nummern Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um eine niederländische IBAN-Nummer zu erkennen. 1 Begriffe und Phrasen im Zusammenhang mit der IBAN (z. B. „International Bank Account Number“, „IBAN“) 2 Muster einer niederländischen IBAN-Nummer IBAN-Regel: Ländercode NL gefolgt von 16 alphanumerischen Zeichen. Muster: 110 n NLDDLLLLDDDDDDDDDD n NL DDLLLLDDDDDDDDDD n NL DD LLLL DDDDDDDDDD n NL DD LLLL DDDD DDDD DD VMware, Inc. Kapitel 14 vShield Data Security Management n NL DD LLLL DDDD DDDD DD n NLDDLLLL DDDD DDDDDD n NL DD LLLL DDDDDDDDDD n NL DD LLLL D DD DD DD DDD n NL DD LLLL DD DD DD DDDD n NL DD LLLL DDD DDDDDDD n NL DD LLLL DDDD DD DD DD Leerzeichen können durch Schrägstriche ersetzt werden Content Blade für niederländische Personalausweisnummern Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um eine niederländische Personalausweisnummer zu erkennen. 1 Niederländische Personalausweisnummer (siehe Ojektbeschreibung) 2 Wörter oder Phrasen für eine niederländische Personalausweisnummer (z. B. „sofinummer“, „burgerservicenummer“) Content Blade für niederländische Reisepassnummern Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um eine niederländische Reisepassnummer zu erkennen. 1 Niederländische Reisepassnummer (siehe Ojektbeschreibung) 2 Wörter oder Phrasen für eine niederländische Reisepassnummer (z. B. „paspoort“, „Noodpaspoort“) Content Blade für Führerscheinnummern aus Nevada Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Nevada sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie NV oder Nevada. Führerscheinmuster: 9 Ziffern (SSN), 12 Ziffern (die letzten beiden sind das Geburtsjahr) oder 10 Ziffern [Content Blade für Führerscheine aus New Brunswick] Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von New Brunswick sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „permis de conduire“ und nach Begriffen wie NB oder New Brunswick in näherer Umgebung. Regeln für Lizenzmuster: 5 - 7 Ziffern Führerscheinmuster: n DDDDD n DDDDDD n DDDDDDD VMware, Inc. 111 vShield-Administratorhandbuch Content Blade für Führerscheinnummern aus New Hampshire Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von New Hampshire sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie NH oder New Hampshire. Führerscheinmuster: 2 Ziffern, 3 Buchstaben, 5 Ziffern Content Blade für Führerscheinnummern aus New Jersey Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von New Jersey sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie NJ oder New Jersey. Führerscheinmuster: 1 Buchstabe, 14 Ziffern Content Blade für Führerscheinnummern aus New Mexico Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von New Mexico sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie NM oder New Mexico. Führerscheinmuster: 9 Ziffern Content Blade für Führerscheinnummern aus New York Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von New York sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie NY oder New York. Führerscheinmuster: 9 Ziffern Content Blade für Indexnummern von in Neuseeland niedergelassenen Fachkräften im Gesundheitswesen Das Content Blade sucht nach Übereinstimmungen mit der Indexentität für neuseeländische Fachkräfte im Gesundheitswesen und unterstützende Begriffe, wie z. B. „hpi-cpn“ oder „health practitioner index“. Neuseeländische Steuernummer Das Content Blade sucht nach Übereinstimmungen mit der neuseeländischen Steuernummerentität und Wörtern und Phrasen, wie z. B. „IRD Number“ oder „Inland Revenue Department Number“. Content Blade für neuseeländische NHI-Nummern (National Health Index) Das Content Blade sucht nach Übereinstimmungen mit der neuseeländischen NHI-Entität sowie unterstützenden Begriffen, wie z. B. „nhi“ oder „National Health Index“. Content Blade für Führerscheine aus Neufundland und Labrador Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Neufundland und Labrador sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „permis de conduire“ und nach Begriffen wie NL oder Labrador in näherer Umgebung. Regeln für Lizenzmuster: 1 Buchstabe gefolgt von 9 Ziffern Führerscheinmuster: LDDDDDDDDD 112 VMware, Inc. Kapitel 14 vShield Data Security Management Content Blade für Führerscheinnummern aus North Carolina Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von North Carolina sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie NC oder North Carolina. Führerscheinmuster: 6 - 8 Ziffern Content Blade für Führerscheinnummern aus North Dakota Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von North Dakota sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie ND oder North Dakota. Führerscheinmuster: 9 Ziffern oder 3 Buchstaben, 6 Ziffern Content Blade für Führerscheine aus Nova Scotia Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Nova Scotia sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „permis de conduire“ und nach Begriffen wie NS oder Nova Scotia in näherer Umgebung. Regeln für Lizenzmuster: 5 Buchstaben gefolgt von 9 Ziffern Führerscheinmuster: LLLLDDDDDDDDD Content Blade für Führerscheinnummern aus Ohio Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Ohio sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie OH oder Ohio. Führerscheinmuster: 2 Buchstabe, 6 Ziffern Content Blade für Führerscheinnummern aus Oklahoma Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Oklahoma sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie OK oder Oklahoma. Führerscheinmuster: 1 Buchstabe, 8 Ziffern; 9 Ziffern oder formatierte Sozialversicherungsnummer Content Blade für Führerscheine aus Ontario Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Ontario sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „permis de conduire“ und nach Begriffen wie ON oder Ontario in näherer Umgebung. Regeln für Lizenzmuster: 1 Buchstabe gefolgt von 14 Ziffern Führerscheinmuster: LDDDDDDDDDDDDDD Content Blade für Führerscheinnummern aus Oregon Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Oregon sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie OR oder Oregon. Führerscheinmuster: 6 -7 Ziffern VMware, Inc. 113 vShield-Administratorhandbuch Content Blade für Patientenidentifikationsnummern Dies ist ein Content Blade, das angepasst werden muss. Um dieses Content Blade verwenden zu können, müssen Sie einen regulären Ausdruck hinzufügen, der dem Nummernmuster für eine firmenspezifische Patientenidentifikationsnummer entspricht. Das Content Blade sucht anhand des benutzerdefinierten regulären Ausdrucks nach Übereinstimmungen mit Wörtern und Phrasen, wie z. B. einer Patienten-ID, einem Namen, einer Adresse in den USA oder einem Datum im US-Datumsformat. Content Blade für Führerscheinnummern aus Pennsylvania Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Pennsylvania sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie PA oder Pennsylvania. Führerscheinmuster: 8 Ziffern Content Blade für Führerscheine aus Prince Edward Island Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Prince Edward Island sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „permis de conduire“ und nach Begriffen wie PE oder Prince Edward Island in näherer Umgebung. Regeln für Lizenzmuster: 5 - 6 Ziffern Führerscheinmuster: n DDDD n DDDDDD Content Blade für Begriffe im Zusammenhang mit geschützten Gesundheitsdaten Das Content Blade sucht nach Wörtern und Phrasen im Zusammenhang mit persönlichen Gesundheitsakten und Krankenversicherungsansprüchen. Das Content Blade findet Übereinstimmungen, wenn ein Dokument eine Kombination aus folgenden Informationsbestandteilen enthält: 1 Mehr als eine Übereinstimmung mit dem Wörterbuch für geschützte Gesundheitsdaten. 2 Eine einzelne Übereinstimmung mit dem Wörterbuch für geschützte Gesundheitsdaten sowie zwei der folgenden Informationen: Name, US-Adresse oder US-Datum 3 Eine einzelne Übereinstimmung mit dem Wörterbuch für geschützte Gesundheitsdaten und ein Wort oder eine Phrase, die einen Patienten oder Arzt identifiziert (z. B. Patienten-ID, Name des behandelnden Arztes) Content Blade für Führerscheine aus Quebec Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Quebec sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „permis de conduire“ und nach Begriffen wie QC oder Quebec in näherer Umgebung. Regeln für Lizenzmuster: 1 Buchstabe gefolgt von 12 Ziffern Führerscheinmuster: LDDDDDDDDDDDD 114 VMware, Inc. Kapitel 14 vShield Data Security Management Content Blade für Führerscheinnummern aus Rhode Island Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Rhode Island sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie RI oder Rhode Island. Führerscheinmuster: 7 Ziffern Content Blade für Führerscheine aus Saskatchewan Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Saskatchewan sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „permis de conduire“ und nach Begriffen wie SK oder Saskatchewan in näherer Umgebung. Regeln für Lizenzmuster: 8 Ziffern Lizenzmuster: DDDDDDDD Content Blade für formatierte SIN Das Content Blade sucht formatierte Muster der kanadischen Sozialversicherungsnummer (SIN). Das Content Blade findet Übereinstimmungen, wenn ein Dokument eine Kombination aus folgenden Informationsbestandteilen in mittelbarer Nachbarschaft zueinander enthält: 1 Mehr als eine Übereinstimmung mit einer formatierten SIN 2 Eine einzelne Übereinstimmung mit einer formatierten SIN sowie ein Wort oder eine Phrase im Zusammenhang mit dem Führerschein oder dem Geburtsdatum 3 Eine einzelne Übereinstimmung mit einer formatierten SIN mit einem Wort oder einer Phrase Content Blade für unformatierte SIN Das Content Blade sucht unformatierte Muster der kanadischen Sozialversicherungsnummer (SIN). Das Content Blade findet eine Übereinstimmung, wenn eine unformatierte SIN in direkter Nachbarschaft eines Worts oder einer Phrase für eine Sozialversicherungsnummer (z. B. Social Insurance, SIN), für einen Führerschein oder das Geburtsdatum gefunden wird. Content Blade für formatierte SSN Content Blade für formatierte SSN Das Content Blade findet Übereinstimmungen, wenn ein Dokument eine Kombination aus folgenden Informationsbestandteilen in mittelbarer Nachbarschaft zueinander enthält: n Mehr als eine Übereinstimmung mit einer formatierten SSN n Eine einzelne Übereinstimmung mit einer formatierten SSN sowie zwei weitere der folgenden Informationen: Name, US-Adresse oder US-Datum n Ein Übereinstimmung mit einer formatierten SSN sowie ein Wort oder eine Phrase für eine Sozialversicherungsnummer (z. B. Social Security, SSN) VMware, Inc. 115 vShield-Administratorhandbuch Content Blade für unformatierte SSN Das Content Blade sucht unformatierte Muster der US-Sozialversicherungsnummer (SSN). Das Content Blade findet eine Übereinstimmung, wenn eine unformatierte SSN in direkter Nachbarschaft eines Worts oder einer Phrase für eine Sozialversicherungsnummer (z. B. Social Security, SSN) gefunden wird. Content Blade für Führerscheinnummern aus South Carolina Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von South Carolina sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie SC oder South Carolina. Führerscheinmuster: 9 Ziffern Content Blade für Führerscheinnummern aus South Dakota Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von South Dakota sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie SD oder South Dakota. Führerscheinmuster: 8 Ziffern oder Sozialversicherungsnummer Content Blade für die spanische Personalausweisnummer Das Content Blade sucht nach Übereinstimmungen mit der spanischen nationalen Identifikationsnummer und Wörtern und Phrasen, wie z. B. „Documento Nacional de Identidad“ und „Número de Identificación de Extranjeros“. Darüber hinaus verwendet es reguläre Ausdrücke, um Telefonnummern zu unterscheiden und um die Doppelzählung von DNIs und NIEs ohne Prüfzeichen zu verhindern. Content Blade für spanische Reisepassnummern Das Content Blade sucht nach Übereinstimmungen mit spanischen Reisepassnummern und nach Wörtern und Phrasen, wie „pasaporte“ oder „passport“. Reisepassregel: 8 alphanumerische Zeichen - 2 Buchstaben gefolgt von 6 Ziffern. Muster: LLDDDDDD LL-DDDDDD LL DDDDDD Content Blade für Sozialversicherungsnummern aus Spanien Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um eine spanische Sozialversicherungsnummer zu erkennen. 1 Spanische Sozialversicherungsnummer 2 Wörter oder Phrasen für eine Sozialversicherungsnummer (z. B. „número de la seguridad social“, die Sozialversicherungsnummer) Content Blade für schwedische IBAN-Nummern Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um eine schwedische IBAN-Nummer zu erkennen. 1 116 Begriffe und Phrasen im Zusammenhang mit der IBAN (z. B. International Bank Account Number, IBAN) VMware, Inc. Kapitel 14 vShield Data Security Management 2 Muster einer schwedischen IBAN-Nummer IBAN-Regel: Ländercode „SE“, gefolgt von 22 Ziffern. Muster: SE DDDDDDDDDDDDDDDDDDDDDD Content Blade für schwedische Reisepassnummern Das Content Blade sucht nach Übereinstimmungen mit dem regulären Ausdruck für schwedische Reisepassnummern mit den folgenden möglichen Kombinationen von Belegen. 1 Wörter und Ausdrücke im Zusammenhang mit Reisepässen, z. B. „Passnummer“ 2 Wörter und Phrasen für das Land Schweden, Nationalität und Ablaufdaten Reisepassregel: 8 Ziffern Muster: DDDDDDDD DD-DDDDDD LL-DDDDDD Content Blade für Führerscheinnummern aus Tennessee Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Tennessee sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie TN oder Tennessee. Führerscheinmuster: 8 Ziffern Content Blade für britische BIC-Nummern Beim Prüfen auf britische BIC-Nummern durch das Content Blade müssen die beiden folgenden Regeln zutreffen. 1 Europäisches BIC-Nummerformat 2 Britisches Format der BIC-Nummer BIC-Regel: 8 oder 11 alphanumerische Zeichen. An 5. und 6. Stelle stehen immer die Buchstaben „GB“ für den Ländercode gemäß ISO 3166-1 alpha-2. Muster: LLLLLLAAA LLLLLLAAAAA LLLLLLAA-AAA LLLLLLAA AAA LLLLLL AA AAA LLLL LL AA AAA LLLL LL AA-AAA VMware, Inc. 117 vShield-Administratorhandbuch Content Blade für Führerscheinnummern aus Großbritannien Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um einen britischen Führerschein zu erkennen. 1 Muster für britischen Führerschein 2 Entweder Wörter oder Phrasen für einen Führerschein (z. B. „driving license“) oder eine Angabe zur persönlichen Identifikation (z. B. Geburtsdatum, Adresse, Telefonnummer) Führerscheinregel: 16 bis 18 alphanumerische Zeichen, die mit einem Buchstaben beginnen. Muster: LAAAADDDDDDLLDLLDD An einigen Stellen sind die akzeptierten Werte begrenzt. Content Blade für britische IBAN-Nummern Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um eine britische IBANNummer zu erkennen. 1 Europäisches IBAN-Nummerformat 2 Muster einer britischen IBAN-Nummer IBAN-Regel: Ländercode „GB“, gefolgt von 20 Zeichen. GB, ISO-Ländercode 2 Ziffern (nur numerische Zeichen von 0 bis 9), Prüfziffern (IBAN) 4 Großbuchstaben (nur A - Z), Bankleitzahl 6 Ziffern (nur numerische Zeichen von 0 bis 9), Bankfilialcode 8 Ziffern (nur numerische Zeichen von 0 bis 9), Kontonummer Muster: GBDDLLLLDDDDDDDDDDDDDD GB DD LLLL DDDD DDDD DDDD DD GB DD LLLL DDDDDD DDDDDDDD Content Blade für die britische National Health Service-Nummer Das Content Blade benötigt die folgenden Informationen in direkter Nähe zueinander, um eine britische National Health Service-Nummer zu erkennen. 1 Format der britischen National Health Service-Nummer 2 Wörter und Phrasen im Zusammenhang mit dem nationalen Gesundheitsdienst Großbritanniens oder der Patientenkennung bzw. dem Geburtsdatum des Patienten Content Blade für das formale Muster britischer NINO-Nummern Das Content Blade sucht nach dem formalen Muster der britischen Sozialversicherungsnummer (NINO). Das Content Blade findet Übereinstimmungen, wenn ein Dokument eine Kombination aus folgenden Informationsbestandteilen in unmittelbarer Nachbarschaft zueinander enthält: 1 118 Mehr als eine Übereinstimmung mit dem formalen NINO-Muster VMware, Inc. Kapitel 14 vShield Data Security Management 2 Eine einzelne Übereinstimmung mit einer formalen NINO sowie ein Wort oder eine Phrase für eine Sozialversicherungsnummer (z. B. „NINO“, „taxpayer number“) Content Blade für britische Reisepassnummern Das Content Blade sucht nach Übereinstimmungen mit einer der britischen Reisepassnummern und folgenden Belegen. 1 Wörter und Phrasen für Reisepass, wie das Wort „passport“ oder ein Nationalitätencode, dem eine Reisepassnummer vorangestellt ist 2 Wörter und Phrasen für das Land (UK) oder das Austellungsdatum (optional) Content Blade für Führerscheinnummern aus Utah Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Utah sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie UT oder Utah. Führerscheinmuster: 6 - 10 Ziffern Content Blade für Führerscheinnummern aus Virginia Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Virginia sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie VA oder Virginia. Führerscheinmuster: 1 Buchstabe, 8 Ziffern Content Blade für Visa-Kartennummer Das Content Blade sucht nach einer Kombination aus folgenden Informationsbestandteilen: 1 Mehr als eine JCB-Kreditkartennummer 2 Eine einzelne Kreditkartennummer plus Wörtern und Phrasen wie z. B. „ccn“, „credit card“, „expiration date“ 3 Eine einzelne Kreditkartennummer plus einem Ablaufdatum Content Blade für Führerscheinnummern aus Washington Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Washington sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie WA oder Washington. Führerscheinmuster: 5 Buchstaben (Nachname), 1 Buchstabe (Initiale des Vornamens), 1 Buchstabe (Initiale des 2. Vornamens), 3 Ziffern, 2 alphanumerische Zeichen. Falls der Nachname kürzer ist oder es keinen zweiten Vornamen gibt, werden die Stellen mit „*“ aufgefüllt. Content Blade für Führerscheinnummern aus Wisconsin Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Wisconsin sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie WI oder Wisconsin. Führerscheinmuster: 1 Buchstabe, 13 Ziffern VMware, Inc. 119 vShield-Administratorhandbuch Content Blade für Führerscheinnummern aus Wyoming Das Content Blade sucht nach Übereinstimmungen mit dem Führerscheinmuster von Wyoming sowie nach Wörtern und Phrasen wie z. B. „driver’s license“, „license number“ und optional nach Begriffen wie WY oder Wyoming. Führerscheinmuster: 9 - 10 Ziffern Unterstützte Dateiformate vShield Data Security erkennt die folgenden Dateiformate. Tabelle 14-1. Archivformate Anwendungsformat Erweiterungen 7-Zip 4.57 7Z BinHex HQX BZIP2 BZ2 Expert Witness (EnCase)Compression-Format E0, E101 usw. GZIP 2 GZ ISO-9660 CD Disc Image-Format ISO Java-Archiv JAR Legato EMailXtender Archive EMX MacBinary BIN Mac Disk copy Disk Image DMG Microsoft Backup File BKF Microsoft Cabinet Format 1.3 CAB Microsoft Compressed Folder LZH LHA Microsoft Entourage 120 Microsoft Outlook Express DBX Microsoft Outlook Offline Store 2007 OST Microsoft Outlook Personal Store 2007 PST OASIS Open Document Format ODC SXC STC ODT SXW STW Open eBook Publication Structure EPUB PKZIP ZIP RAR-Archiv RAR Selbstextrahierende Archive SEA Shell Scrap-Objektdatei SHS Bandarchiv TAR UNIX Compress Z VMware, Inc. Kapitel 14 vShield Data Security Management Tabelle 14-1. Archivformate (Fortsetzung) Anwendungsformat Erweiterungen UUEncoding UUE WinZip ZIP Tabelle 14-2. CAD-Formate Anwendungsformat Erweiterungen CATIA-Formate 5 CAT Microsoft Visio 5, 2000, 2002, 2003, 2007 VSD MicroStation 7, 8 DGN Omni Graffle GRAFFLE Tabelle 14-3. Datenbankformate Anwendungsformat Erweiterungen Microsoft Access 95, 97, 2000, 2002, 2003, 2007 MDB Tabelle 14-4. Anzeigeformate Anwendungsformat Erweiterungen Adobe PDF 1.1 bis 1.7 PDF Tabelle 14-5. Mail-Formate Anwendungsformat Erweiterungen Domino XML Language DXL Legato Extender ONM Lotus Notes-Datenbank 4, 5, 6.0, 6.5, 7.0 und 8.0 NSF Mailbox Thunderbird 1.0 und Eudora 6.2 MBX Microsoft Outlook 97, 2000, 2002, 2003 und 2007 MSG Microsoft Outlook Express Windows 6 und MacIntosh 5 EML Microsoft Outlook Personal Folder 97, 2000, 2002 und 2003 PST Text-Mail (MIME) Verschiedene Tabelle 14-6. Multimedia-Formate Anwendungsformat Erweiterungen Advanced Streaming Format 1.2 DXL Tabelle 14-7. Präsentationsformate Anwendungsformat Erweiterungen Apple iWork Keynote 2, 3, ‘08 und ‘09 GZ Applix Presents 4.0, 4.2, 4.3, 4.4 AG Corel Presentations 6, 7, 8, 9, 10, 11, 12 und X3 SHW Lotus Freelance Graphics 2 PRE VMware, Inc. 121 vShield-Administratorhandbuch Tabelle 14-7. Präsentationsformate (Fortsetzung) Anwendungsformat Erweiterungen Lotus Freelance Graphics 96, 97, 98, R9 und 9.8 PRZ Macromedia Flash bis 8.0 SWF Microsoft PowerPoint PC 4 PPT Microsoft PowerPoint Windows 95, 97, 2000, 2002 und 2003 PPT, PPS, POT Microsoft PowerPoint Windows XML 2007 PPTX, PPTM, POTX, POTM, PPSX und PPSM Microsoft PowerPoint Macintosh 98, 2001, v.X und 2004 PPT OpenOffice Impress 1 und 1.1 SXP StarOffice Impress 6 und 7 SXP Tabelle 14-8. Tabellenformate Anwendungsformat Erweiterungen Apple iWork Numbers '08 und 2009 GZ Applix Spreadsheets 4.2, 4.3 und 4.4 AS Kommagetrennte Werte CSV Corel Quattro Pro 5, 6, 7, 8, X4 WB2. WB3, QPW Data Interchange Format DIF Lotus 1-2-3 96, 97, R9, 9.8, 2, 3, 4, 5 123, WK4 Lotus 1-2-3 Charts 2, 3, 4, 5 123 Microsoft Excel Windows 2.2 bis 2003 XLS, XLW, XLT, XLA Microsoft Excel Windows XML 2007 XLSX, XLTX, XLSM, XLTM, XLAM Microsoft Excel-Diagramme 2, 3, 4, 5, 6, 7 XLS Microsoft Excel Macintosh 98, 2001, v.X, 2004 XLS Microsoft Office Excel Binary Format 2007 XLSB Microsoft Works Spreadsheet 2, 3, 4 S30 S40 Oasis Open Document Format 1, 2 ODS, SXC, STC OpenOffice Calc 1, 1.1 SXC, ODS, OTS StarOffice Calc 6, 7 Tabelle 14-9. Text- und Markup-Formate 122 Anwendungsformat Erweiterungen ANSI TXT ASCII TXT Extensible Forms Description Language XFDL, XFD HTML 3, 4 HTM, HTML Microsoft Excel Windows XML 2003 XML Microsoft Word Windows XML 2003 XML Microsoft Visio XML 2003 vdx MIME HTML MHT VMware, Inc. Kapitel 14 vShield Data Security Management Tabelle 14-9. Text- und Markup-Formate (Fortsetzung) Anwendungsformat Erweiterungen Rich Text Format 1 bis 1.7 RTF Unicode Text 3, 4 TXT XHTML 1.0 HTM, HTML XML (generisch) XML Tabelle 14-10. Textverarbeitungsformate Anwendungsformat Erweiterungen Adobe FrameMaker InterchangeFormat 5, 5.5, 6, 7 MIF Apple iChat Log AV, AV 2, AV 2.1,AV 3 LOG Apple iWork Pages ‘08, 2009 GZ Applix Words 3.11, 4, 4.1, 4.2, 4.3, 4.4 AW Corel WordPerfect Linux 6.0, 8.1 WPS Corel WordPerfect Macintosh 1.02, 2, 2.1, 2.2, 3, 3.1 WPS Corel WordPerfect Windows 5, 5.1, 6, 7, 8, 9, 10, 11, 12, X3 WO, WPD DisplayWrite 4 IP Folio Flat File 3.1 FFF Founder Chinese E-paper Basic 3.2.1 CEB Fujitsu Oasys 7 OA2 Haansoft Hangul 97, 2002, 2005, 2007 HWP IBM DCA/RFT (Revisable Form Text) SC23-0758 -1 DC JustSystems Ichitaro 8 bis 2009 JTD Lotus AMI Pro 2, 3 SAM Lotus AMI Professional Write Plus 2.1 AMI Lotus Word Pro 96, 97, R9 Lotus SmartMaster 96, 97 MWP Microsoft Word PC 4, 5, 5.5, 6 DOC Microsoft Word Windows 1.0 und 2.0, 6, 7, 8, 95, 97, 2000, 2002, 2003 DOC Microsoft Word Windows XML 2007 DOCX, DOTX, DOTM Microsoft Word Macintosh 4, 5, 6, 98, 2001, v.X, 2004 DOC Microsoft Works 2, 3, 4, 6, 2000 WPS Microsoft Windows Write 1, 2, 3 WRI Oasis Open Document Format 1, 2 ODT, SXW, STW OpenOffice Writer 1, 1.1 SXW, ODT Omni Outliner 3 OPML, OO3, OPML, OOUTLINE Skype-Protokolldatei DBB StarOffice Writer 6, 7 SXW, ODT WordPad bis 2003 RTF VMware, Inc. 123 vShield-Administratorhandbuch Tabelle 14-10. Textverarbeitungsformate (Fortsetzung) 124 Anwendungsformat Erweiterungen XML Paper Specification XPS XyWrite 4.12 XY4 VMware, Inc. Fehlerbehebung 15 In diesem Abschnitt finden Sie Informationen zum Beheben gängiger vShield-Probleme. Dieses Kapitel behandelt die folgenden Themen: n „Fehlerbehebung für die vShield Manager-Installation“, auf Seite 125 n „Fehlerbehebung für Probleme bei der Ausführung“, auf Seite 126 n „Fehlerbehebung für die Portgruppenisolierung“, auf Seite 128 n „Beheben von vShield Edge-Problemen“, auf Seite 132 n „Fehlerbehebung für vShield Endpoint“, auf Seite 133 n „Fehlerbehebung für vShield Data Security“, auf Seite 135 Fehlerbehebung für die vShield Manager-Installation Dieser Abschnitt bietet detaillierte Informationen zur Behebung von Problemen bei der vShield ManagerInstallation. Die vShield OVA-Datei kann nicht in vSphere Client installiert werden Sie können die vShield OVA-Datei nicht installieren. Problem Wenn ich versuche, die vShield OVA-Datei zu installieren, schlägt die Installation fehl. Lösung Wenn eine vShield OVA-Datei nicht installiert werden kann, wird in einer Fehlermeldung in vSphere Client die Zeile angegeben, in der der Fehler aufgetreten ist. Senden Sie diese Fehlerinformationen zusammen mit den Informationen zum Build von vSphere Client an den technischen Support von VMware. Nach dem Start der virtuellen vShield Manager-Maschine ist keine Anmeldung bei der Befehlszeilenschnittstelle möglich Problem Nach der OVF-Installation ist keine Anmeldung bei der Befehlszeilenschnittstelle von vShield Manager möglich. VMware, Inc. 125 vShield-Administratorhandbuch Lösung Warten Sie nach Abschluss der vShield Manager-Installation einige Minuten, bevor Sie sich bei der Befehlszeilenschnittstelle von vShield Manager anmelden. Drücken Sie in der Ansicht der Registerkarte Console die Eingabetaste, um zu prüfen, ob eine Eingabeaufforderung vorhanden ist, wenn der Bildschirm leer ist. Anmelden bei der vShield Manager-Benutzeroberfläche nicht möglich Problem Wenn ich versuche, mich im Webbrowser bei der vShield Manager-Benutzeroberfläche anzumelden, tritt der Ausnahmefehler „Page Not Found“ auf. Lösung Die IP-Adresse von vShield Manager befindet sich in einem Subnetz, auf das der Webbrowser nicht zugreifen kann. Auf die IP-Adresse der Management-Oberfläche von vShield Manager muss der Webbrowser zugreifen können, damit vShield genutzt werden kann. Fehlerbehebung für Probleme bei der Ausführung Probleme bei der Ausführung sind Probleme, die möglicherweise nach der Installation auftreten. vShield Manager kann nicht mit einer vShield App-Instanz kommunizieren Problem Ich kann in vShield Manager keine vShield App-Instanz konfigurieren. Lösung Wenn Sie die vShield App-Instanz nicht im vShield Manager konfigurieren können, wurde die Verbindung zwischen den beiden virtuellen Maschinen unterbrochen. Die Management-Oberfläche von vShield kann nicht mit der Management-Oberfläche von vShield Manager kommunizieren. Vergewissern Sie sich, dass sich die Management-Oberflächen im selben Subnetz befinden. Vergewissern Sie sich bei Verwenden von VLANs, dass sich die Management-Oberflächen im selben VLAN befinden. Eine weitere Ursache kann sein, dass die virtuelle Maschine von vShield App oder vShield Manager ausgeschaltet ist. vShield App-Instanz kann nicht konfiguriert werden Problem Eine vShield App-Instanz kann nicht konfiguriert werden. Lösung Dieses Problem kann die Folge einer der folgenden Bedingungen sein. 126 n Die virtuelle Maschine der vShield App-Instanz ist beschädigt. Deinstallieren Sie die fehlerhafte vShield App-Instanz auf der vShield Manager-Benutzeroberfläche. Installieren Sie eine neue vShield App-Instanz zum Schutz des ESX-Hosts. n vShield Manager kann nicht mit der vShield App-Instanz kommunizieren. VMware, Inc. Kapitel 15 Fehlerbehebung n Der Speicher bzw. die LUN, der/die die vShield-Konfigurationsdatei hostet, ist fehlerhaft. Wenn dies geschieht, können Sie keine Konfigurationsänderungen vornehmen. Die Firewall ist aber weiter aktiv. Sie können virtuelle vShield-Maschinen in lokalem Speicher speichern, wenn kein Remote-Speicher verfügbar ist. Erstellen Sie mit vSphere Client einen Snapshot oder eine TAR-Datei der betroffenen vShield App-Instanz. Übermitteln Sie diese Informationen an den technischen Support von VMware. Eine Firewall-Blockierungsregel blockiert nicht den vorgesehenen Datenverkehr Problem Ich habe eine App Firewall-Regel konfiguriert, die bestimmten Datenverkehr blockieren soll. Ich habe den Datenverkehr mit Flow Monitoring überwacht und festgestellt, dass der zu blockierende Datenverkehr zugelassen wird. Lösung Überprüfen Sie Reihenfolge und Gültigkeitsbereich der Regel. Dies schließt die Containerebene ein, auf der die Regel durchgesetzt werden soll. Probleme können auftreten, wenn eine auf einer IP-Adresse basierende Regel unter dem falschen Container konfiguriert ist. Prüfen Sie, wo sich die betreffende virtuelle Maschine befindet. Befindet sie sich hinter einer vShield AppInstanz? Falls nicht, gibt es keinen Agenten zum Durchsetzen der Regel. Wählen Sie in der Ressourcenstruktur die virtuelle Maschine aus. Die Registerkarte App Firewall dieser virtuellen Maschine enthält alle Regeln, die für diese virtuelle Maschine gelten. Platzieren Sie nicht geschützte virtuelle Maschinen auf einem mit vShield geschützten Switch oder schützen Sie den vSwitch, auf dem sich die virtuelle Maschine befindet, indem Sie eine vShield-Instanz installieren. Aktivieren Sie die Protokollierung für die betreffende App Firewall-Regel. Dadurch kann sich der durch die vShield App-Instanz geleitete Netzwerkverkehr verlangsamen. Überprüfen Sie die vShield App-Verbindungen. Prüfen Sie den Synchronisierungsstatus der vShield AppInstanz auf der Seite System Status. Klicken Sie bei fehlender Synchronität auf [Force Sync] . Sollte weiter keine Synchronität vorliegen, ermitteln Sie mithilfe des Systemereignisprotokolls die Ursache. In Flow Monitoring werden keine Flow-Daten angezeigt Problem Ich habe vShield Manager und eine vShield App-Instanz installiert. Wenn ich die Registerkarte Flow Monitoring öffne, werden keine Daten angezeigt. Lösung Dieses Problem kann die Folge einer oder mehrerer der folgenden Bedingungen sein. n Sie haben der vShield App-Instanz nicht genügend Zeit für die Überwachung von Datenverkehrssitzungen eingeräumt. Warten Sie nach der Installation der vShield App-Instanz einige Minuten lang die Erfassung von Datenverkehr ab. Sie können die Datenerfassung anfordern, indem Sie auf der Registerkarte Flow Monitoring auf [Get Latest] klicken. n Datenverkehr hat virtuelle Maschinen zum Ziel, die nicht durch eine vShield App-Instanz geschützt sind. Stellen Sie sicher, dass Ihre virtuellen Maschinen durch eine vShield App-Instanz geschützt sind. Virtuelle Maschinen müssen in derselben Portgruppe wie der geschützte Port (p0) der vShieldApp-Instanz enthalten sein. n Datenverkehr hat keine virtuellen Maschinen zum Ziel, die durch eine vShield App-Instanz geschützt sind. VMware, Inc. 127 vShield-Administratorhandbuch n Überprüfen Sie die Seite System Status auf Synchronisierungsfehler der einzelnen vShield App-Instanzen. Fehlerbehebung für die Portgruppenisolierung Es folgt eine detaillierte Beschreibung der Schritte zum Validieren der Installation, des Betriebs und der Deinstallation der Funktion der Portgruppenisolierung. Durch die Validierung der Portgruppenisolierung können Konfigurationsfehler verhindert werden. Überprüfen der Installation von Portgruppenisolierung Sie können die Installation der Funktion der Portgruppenisolierung validieren, indem Sie jede Ressource validieren, die beim Installationsvorgang verwendet wurde. So überprüfen Sie die Installation der Portgruppenisolierung 1 Vergewissern Sie sich, dass dieselbe Portgruppe und dieselben virtuellen Maschinen nicht auch für die vCloud Service Director-Netzwerkisolierung oder das Host-übergreifende Fencing von LabManager konfiguriert sind. Der doppelte Kapselungsmodus wird derzeit nicht unterstützt. 2 Prüfen Sie, ob das Paket der Portgruppenisolierung installiert ist. esxupdate query. 3 Prüfen Sie, ob vshd ausgeführt wird. n ESXi: ps | grep vsh. Die Ergebnisse können mehrere Instanzen enthalten, was in Ordnung ist. n ESX Classic: ps –eaf | grep vshd 4 Prüfen Sie, ob das Kernel-Modul geladen ist. vmkload_mod –l | grep vshd -ni 5 Prüfen Sie, ob die gespiegelte virtuelle Maschine eingeschaltet ist. Suchen Sie auf dem ESX-Host mit dem Befehl nahe vshield-infra-ni-<Zeichenfolge> nach einer eingeschalteten virtuellen Maschine. 6 Prüfen Sie, ob die virtuelle Maschine für die Portgruppenisolierung mit der richtigen Portgruppe verbunden ist. 7 Prüfen Sie, ob die VMX-Dateien für die geschützten virtuellen Maschinen die Filtereinträge enthalten. Öffnen Sie die VMX-Datei und suchen Sie nach filter15. Es müssen drei Einträge vorhanden sein. Vergewissern Sie sich, dass diese Einträge für die ordnungsgemäße Ethernet-Karte vorhanden sind. Jede VMX-Datei darf nur drei Einträge pro vNIC in Bezug auf das Fence-Modul (filter15) aufweisen. Wenn sich die Einträge wiederholen, bedeutet dies, dass die VMX-Datei Isolierungseinträge aus einer vorherigen Konfiguration enthielt, die nicht bereinigt wurde, und dass später doppelte Einträge hinzugefügt wurden. 8 Prüfen Sie, ob alle virtuellen Maschinen, die zur selben Portgruppe gehören, in den VMX-Dateien identische Filtereinstellungen haben. 9 Prüfen Sie, ob die Konfiguration von VSHD intakt ist. a Wechseln Sie zu /etc/opt/vmware/vslad/config. b Überprüfen Sie die Dateien in diesem Verzeichnis. Stellen Sie sicher, dass alle Dateien dieselben Daten enthalten. Sie sollten nicht leer sein. Wenn alle diese Punkte zutreffen, ist der ESX-Host ordnungsgemäß für die Portgruppenisolierung eingerichtet. 128 VMware, Inc. Kapitel 15 Fehlerbehebung Überprüfen des Installations- bzw. Deinstallations-Skripts für die Portgruppenisolierung Das Installationsskript für die Portgruppenisolierung erstellt die folgende Elemente. n Es erstellt den Benutzer vslauser und legt ein Standardkennwort fest. So prüfen Sie, ob der Benutzer hinzugefügt wurde: vi /etc/passwd n Es fügt die Rolle vslauser hinzu und ordnet den Benutzer vslauser der Rolle zu. n Es fügt bei jedem Neustart Einträge zum Starten von VSHD und des Skripts svm-autostart hinzu. Sie können dies unter ESXi überprüfen, indem Sie in der Datei /etc/chkConfig.db nach Einträgen zu „vshd“ und „svm-autostart“ suchen. Unter ESX können Sie dies prüfen, indem Sie find / -name *vsh* aufrufen und prüfen, ob Skripts mit den Namen S<Wert>vslad und svm-autostart vorhanden sind. n Es fügt unter ESX einen Eintrag der Dienstliste hinzu, um VSHD-Dienste zur Verfügung zu stellen. Sie können dies überprüfen, indem Sie die Datei /etc/vmware/hostd/proxy.xml öffnen und das Wort vsh suchen. Das Bereinigungsskript entfernt alle Vorgänge, die vom Installationsskript erstellt wurden. n Es entfernt den Benutzer vslauser. n Es entfernt die Rolle vslauser. n Es entfernt Initialisierungseinträge für vshd und svm-autostart. n Es entfernt den VSHD-Eintrag aus der Datei proxy.xml. Validieren des Datenpfads Sie sollten den Datenpfad validieren, um sicherzustellen, dass der Datenverkehr auf Basis Ihrer Konfiguration der Portgruppenisolierung zugelassen bzw. blockiert wird. Vorgehensweise 1 Vergewissern Sie sich, dass Adressen, Routen, Netzmasken und Gateways ordnungsgemäß konfiguriert sind. 2 Installieren Sie tcpdump auf einer virtuellen Maschine in der isolierten Portgruppe. 3 Führen Sie innerhalb dieser virtuellen Maschine eine Paketerfassung durch. 4 Rufen Sie auf der problembehafteten virtuellen Maschine einen Ping-Befehl an die virtuelle Maschine auf, auf der die Erfassung läuft. Wenn ein ARP-Paket empfangen wird, bedeutet dies, dass Broadcast-Pakete empfangen werden. Wird kein ARP-Paket empfangen, bedeutet dies hingegen, dass keine Pakete empfangen wurden. VMware, Inc. 129 vShield-Administratorhandbuch So beheben Sie Probleme, wenn Broadcast-Pakete empfangen, Unicast-Pakete jedoch verworfen werden Vorgehensweise 1 Führen Sie /opt/vmware/vslad/fence-util setSwitchMode 1 auf allen betroffenen ESX-Hosts aus. Dieser Befehl weist das VSHD-Modul an, alle per Fencing abgegrenzten Pakete zu übertragen. Wenn nach der Ausführung des Befehls auf allen Hosts der Betrieb ordnungsgemäß aufgenommen wird, sind zumeist die gespiegelten virtuellen Maschinen das Problem, da gespiegelte virtuelle Maschinen ordnungsgemäß konfiguriert sein müssen, damit die Übertragung von Unicast-Paketen funktioniert. Weitere Informationen zu fence-util finden Sie unter „Details des Dienstprogramms „fence-util““, auf Seite 131. 2 Überprüfen Sie auf jedem ESX-Host die Netzwerkkarten der gespiegelten virtuellen Maschine, um sicherzustellen, dass mindestens eine Netzwerkkarte mit dem vSwitch verbunden ist, mit dem diese virtuellen Maschinen verbunden sind. 3 Bestätigen Sie, dass die Filtereinträge für diese Netzwerkkarte in den VMX-Dateien der gespiegelten virtuellen Maschinen ordnungsgemäß sind. Alle Einträge für diesen vSwitch müssen für „LanId?“ denselben Wert aufweisen. Setzen Sie nach dem Beheben des Problems den Modus durch Ausführen von /opt/vmware/vslad/fenceutil setSwitchMode 0 auf 0 zurück. 4 Bestätigen Sie, dass die Pakete den anderen ESX-Host erreichen. Wenn die gespiegelten virtuellen Maschinen falsch konfiguriert sind, werden Pakete auf dem ESX-Ziel-Host und nicht vom Quell-Host verworfen. Sollten Probleme bestehen bleiben, bedeutet dies wahrscheinlich, dass die Unicast-Umschaltung irgendwo auf den physischen Computern im Netzwerk nicht funktioniert. Dies ist selten, denn wenn BroadcastPakete ihr Ziel erreichen, bedeutet dies, dass zwischen den miteinander kommunizierenden virtuellen Maschinen physische Verbindungen bestehen. Wenn Broadcast-Übertragungen im Gegensatz zu UnicastÜbertragungen funktionieren, auch nachdem alle VSDH-Module mit dem Dienstprogramm „fence-utils“ in den Broadcast-Modus versetzt wurden, liegen die Probleme ggf. im physischen Netzwerk für solche Unicast-Übertragungen vor. Möglich ist auch, dass im selben Netzwerk mehr als je eine Installation von vShield Manager, Portgruppenisolierung und vCenter vorhanden ist. In diesem Fall wurden ggf. einige der Hostkey-MAC-Adressen im selben physischen Netzwerk dupliziert. Aus diesem Grund kann der Broadcast-Datenverkehr ordnungsgemäß funktionieren, doch der Unicast-Datenverkehr ggf. die falschen Hosts erreichen, da die physischen Switches im Netzwerk Informationen zu MAC-Adressen von zwei verschiedenen Stellen erhalten. So beheben Sie Probleme, wenn keine Pakete empfangen und Broadcast-Pakete verworfen werden Vorgehensweise 130 1 Bestätigen Sie, dass die beiden ESX-Hosts in einem gemeinsamen physischen Netzwerk und im selben VLAN vorhanden sind. 2 Prüfen Sie bei älteren Switches, ob dieselbe Portgruppe auf allen betreffenden ESX-Hosts mit demselben benannten vSwitch verbunden ist. 3 Bestätigen Sie, dass die mit diesen vSwitches verbundene Netzwerkkarte mit demselben physischen Netzwerk verbunden ist. VMware, Inc. Kapitel 15 Fehlerbehebung 4 Führen Sie den Befehl /opt/vmware/vslad/fence-util info mehrmals auf allen ESX-Hosts aus, um zu prüfen, ob sich Zähler zu verworfenen Paketen erhöhen. Dieses Modul zeigt auch die Anzahl verworfener Pakete für nicht abgegrenzte Pakete, die in per Fencing abgegrenzte vNICs gelangen. Dies bedeutet, dass alle anderen Broadcast-Übertragungen im Netzwerk verworfen werden, wenn diese abgegrenzte vNICs erreichen. Untersuchen Sie die Zähler Fenced From VM und Fenced To VM. 5 Isolieren Sie die Stelle, an der Pakete verworfen werden, indem Sie auf der ESX-Benutzeroberfläche Erfassungsvorgänge an beiden Enden ausführen. In Fällen, in denen Pakete aus der ESX-Quelle stammen, aber das ESX-Ziel nicht erreichen, kann es ggf. möglich sein, dass ein dazwischen geschaltetes intelligentes Gerät diese Pakete aufgrund eines unbekannten ETH-Typs in den Paketen verwirft. Details des Dienstprogramms „fence-util“ Log Level gibt die Protokollebene für das Debugging an. Hostkey ist die konfigurierte Host-ID. Das Dienstprogramm „fence-util“ enthält einen Druckfehler. Es hängt eine 0 an das Ende der Host-ID an. Eine Host-ID von 0x30 bedeutet eigentlich Host-ID 3. Configured LAN MTUs bezieht sich auf die über VSDH explizit festgelegten MTU-Werte. Port Id ist die erste Spalte in allen anderen Tabellen (Active Ports, Switch State und Portstats). Dies ist eine eindeutige ID, die vom VSHD-Modul jedem für das Fencing (Abgrenzung) aktivierten Port zugewiesen wird. Diese ID hat nur eine interne und keine externe Bedeutung. Es handelt sich um den DVFILTER-Namen für diesen Porttyp, der Uint64 zugewiesen ist. Die Port-ID ist nützlich zum Abfragen von Werten für einen bestimmten Port mithilfe des „fence -util“-Befehls portInfo <Port-ID>, der Details nur eines Ports ausgibt. Active Ports zeigt alle Ports/vNICs, bei denen das Fencing (Abgrenzen) aktiv ist. Dies schließt die gespiegelten vNICs ein. Der erste Host hat fünf Ports für das Fencing aktiviert, von denen zwei gespiegelte vNICs sind. Die gespiegelten vNICs können anhand der speziellen Fence-ID fffffe bestimmt werden. Die Spalte OPI gibt die Fence-ID an. Bei Ihrer Einrichtung hat der erste Host die Fence-ID 000001. Die nächste Spalte enthält die für diesen Port konfigurierte LanId?. Die ist ein Hinweis, mit welchem vSwitch die Ports ggf. verbunden sind. In der Ausgabe unten hat der erste Host zwei vSwitches (legacy + dvswitches). Einer hat die Lan-ID 1 und der andere die Lan-ID 2. Deshalb sehen Sie zwei vNICs gespiegelter virtueller Maschinen (eine für jeden vSwitch) mit unterschiedlichen LanIds? in aktiven Ports. Switch State zeigt die Lerntabelle des internen Unicast-Lernvorgangs im Fence-Modul. Inner MAC ist die MAC-Adresse der virtuellen Zielmaschine, Outer MAC die Hostkey-MAC-Adresse des Hosts, auf dem diese virtuelle Maschine vorhanden ist. Während des Lernvorgangs wird diese Tabelle erstellt, indem Pakete untersucht werden und zu ermitteln versucht wird, auf welchem Host sich die einzelnen virtuellen Maschinen befinden. Wenn anschließend eine virtuelle Maschine auf dem jeweiligen Host versucht, eine andere virtuelle Maschine zu erreichen, wird in dieser Tabelle nachgeschlagen. Wenn die MAC-Adresse der virtuellen Zielmaschine in der Spalte „Inner MAC“ angezeigt wird, dient der Wert von „OuterMac?“ als Hostkey-MACZieladresse, die in den Header „Outer MAC“ eingegeben wird, der vom Fence-Modul hinzugefügt wurde. Wenn hier kein Eintrag vorhanden ist, wird ein solches Paket per Broadcast übertragen (die MAC-Zieladresse im Header „Outer MAC“ wird auf „broadcast“ festgelegt). Wie beliebige andere Lernsysteme bietet auch dieses Mechanismen, über die gelernte Einträge entfernt oder geändert werden können. Diese Mechanismen übernehmen beispielsweise das Verschieben virtueller Maschinen auf andere Hosts oder stellen sicher, dass die Tabelle nicht zu stark mit veralteten MAC-Einträgen aufgefüllt wird. Die Bits „Used/Age/Seen“ stellen die Flags dar, die vom Fence-Modul zum Überwachen der Häufigkeit dieser MAC-Einträge verwendet werden. Der Lernvorgang erfolgt auf Ports bezogen, weshalb diese Paare aus innerer und äußerer MAC-Adresse an verschiedenen Ports möglich sind. Diese Tabelle enthält dieselbe Hostkey-MAC-Adresse in den Abschnitten VMware, Inc. 131 vShield-Administratorhandbuch „Outer MAC“, da für virtuelle Maschinen auf demselben Host auch derselbe Code verwendet wird, wobei ein Paket verkapselt und vom Quellport gesendet und am Zielport entkapselt wird. Es erfolgt keine Optimierung virtueller Maschinen auf demselben Host. Demzufolge ist für virtuelle Maschinen auf demselben Host die äußere MAC-Adresse die Hostkey-MAC-Adresse desselben Hosts. Port Statistics zeigt auf Ports bezogene Paketstatistiken an. Ein Port pro Zeile. Die Statistiken zu „From vm“ und „To vm“ geben die von einer virtuellen Maschine gesendeten und empfangenen Pakete an. Die Unterkategorien enthalten spezifische Paketinformationen. Die Details der einzelnen Zähler haben die folgende Struktur. Lassen Sie mich wissen, wenn Sie dazu weitere Informationen benötigen. Beheben von vShield Edge-Problemen Dieser Abschnitt bietet detaillierte Informationen zur Behebung von vShield Edge-Problemen bei der Ausführung. Virtuelle Maschinen erhalten keine IP-Adressen vom DHCP-Server Vorgehensweise 1 Überprüfen Sie durch Ausführen des folgenden Befehls an der Befehlszeilenschnittstelle, ob die DHCPKonfiguration für vShield Edge erfolgreich war: show configuration dhcp. 2 Überprüfen Sie durch Ausführen des folgenden Befehls an der Befehlszeilenschnittstelle, ob der DHCPDienst für vShield Edge ausgeführt wird: show service dhcp 3 Vergewissern Sie sich, dass die Netzwerkkarte der virtuellen Maschine und vShield Edge-Instanz verbunden sind ( [vCenter] > [Virtual Machine] > [Edit Settings] > [Network Adapter] > [Connected/Connect at Power On] [Kontrollkästchen]). Wenn sowohl eine vShield App- als auch eine vShield Edge-Instanz auf demselben ESX-Host installiert sind, können Netzwerkkarten getrennt werden, wenn eine vShield App- nach einer vShield Edge-Instanz installiert wird. Lastausgleich funktioniert nicht Vorgehensweise 1 Überprüfen Sie durch Ausführen des folgenden Befehls an der Befehlszeilenschnittstelle, ob der Lastausgleich ausgeführt wird: show service lb. Der Lastausgleich kann durch Aufrufen des Befehls start gestartet werden. 2 Mit dem folgenden Befehl können Sie die Konfiguration des Lastausgleichs überprüfen: show configuration lb. Dieser Befehl zeigt auch, an welchen externen Schnittstellen die Listener ausgeführt werden. Der Lastausgleich löst Fehler 502 „Bad Gateway for HTTP Requests“ aus Dieser Fehler tritt auf, wenn die Back-End- oder internen Server nicht auf Anforderungen reagieren. Vorgehensweise 1 Prüfen Sie, ob die IP-Adressen der internen Server ordnungsgemäß sind. Die aktuelle Konfiguration kann in vShield Manager oder über den Befehl show configuration lb an der Befehlszeilenschnittstelle angezeigt werden. 2 132 Prüfen Sie, ob die IP-Adressen der internen Server von der internen vShield Edge-Schnittstelle erreicht werden. VMware, Inc. Kapitel 15 Fehlerbehebung 3 Prüfen Sie, ob die internen Server die Kombination aus IP-Adresse/Port überwachen, die zum Zeitpunkt der Konfiguration des Lastausgleichs angegeben wurde. Ist kein Port angegeben, muss IP:80 überprüft werden. Der interne Server darf nicht nur 127.0.0.1:80 überwachen. Entweder 0.0.0.0:80 oder <Interne IP-Adresse>:80 muss geöffnet sein. VPN funktioniert nicht Vorgehensweise 1 Prüfen Sie, ob der andere Endpunkt des Tunnels ordnungsgemäß konfiguriert ist. Rufen Sie an der Befehlszeilenschnittstelle diesen Befehl auf: show configuration ipsec 2 Prüfen Sie, ob der IPSec-Dienst für die vShield Edge-Instanz ausgeführt wird. Rufen Sie dazu an der Befehlszeilenschnittstelle diesen Befehl auf: show service ipsec. Der IPSec-Dienst kann durch Aufrufen des Befehls start gestartet werden. Wenn IPSec ausgeführt wird und zum Zeitpunkt der Tunneleinrichtung Fehler aufgetreten sind, enthält die Ausgabe von show service ipsec relevante Informationen. 3 Überprüfen Sie die Konfiguration an beiden Enden (vShield Edge und Remote-Ende), insbesondere die gemeinsamen Schlüssel. 4 Beheben Sie MTU- oder fragmentierungsbezogene Probleme mithilfe des PING-Befehls mit kleinen und großen Paketgrößen. n ping -s 500 ip-at-end-of-the-tunnel n ping -s 2000 ip-at-end-of-the-tunnel Fehlerbehebung für vShield Endpoint Dieser Abschnitt bietet detaillierte Informationen zur Behebung von vShield Endpoint-Problemen bei der Ausführung. Thin-Agent-Protokollierung Die Thin-Agent-Protokollierung von vShield Endpoint erfolgt innerhalb der geschützten virtuellen Maschinen. Beim Start werden zwei Registrierungswerte aus der Windows-Registrierung gelesen. Sie werden regelmäßig neu abgefragt. Die beiden Registrierungswerte log_dest und log_level befinden sich an den folgenden Stellen in der Registrierung: n HKLM\System\CurrentControlSet\Services\vsepflt\Parameters\log_dest n HKLM\System\CurrentControlSet\Services\vsepflt\Parameters\log_level Beide sind Bitmasken vom Typ DWORD, die beliebige Kombinationen der folgenden Werte aufweisen dürfen: VMware, Inc. 133 vShield-Administratorhandbuch Tabelle 15-1. Thin-Agent-Protokollierung Header Header Header log_dest WINDBLOG 0x1 0x2 Debug-Modus erforderlich VMWARE_LOG Die Protokolldatei wird im Root-Verzeichnis der virtuellen Maschine gespeichert log_level AUDIT ERROR WARN INFO DEBUG 0x1 0x2 0x4 0x8 0x10 Standardmäßig sind die Werte in Release-Builds auf VMWARE_LOG und AUDIT festgelegt. Sie können die Werte mit „Or“ verbinden. Weitere Informationen zum Überwachen des Status von vShield Endpoint finden Sie unter Kapitel 13, „vShield Endpoint-Ereignisse und -Alarme“, auf Seite 71. Versionskompatibilität von Komponenten Die SVM- und Thin-Agent-Version müssen kompatibel sein. Führen Sie zum Abrufen der Versionsnummern der verschiedenen Komponenten die folgenden Schritte aus: n SVM: Beachten Sie für Partner-SVMs die Anweisungen des Antivirus-Anbieters. Melden Sie sich für die virtuelle vShield Data Security-Maschine bei vShield Manager an und wählen Sie die virtuelle Maschine aus der Bestandsliste aus. Auf der Registerkarte „Summary“ wird die Build-Nummer angezeigt. n GVM: Klicken Sie mit der rechten Maustaste auf die Eigenschaften der Treiberdateien, um die BuildNummer abzurufen. Der Pfad zum Treiber lautet C:\WINDOWS\system32\drivers\vsepflt.sys. n vShield Endpoint-Modul: Melden Sie sich bei vShield Manager an und wählen Sie einen Host aus der Bestandsliste aus. Auf der Registerkarte „Summary“ wird die Build-Nummer von vShield Endpoint angezeigt. Überprüfen des Status und der Alarme für vShield Endpoint Die vShield Endpoint-Komponenten sollten in der Lage sein, mit vShield Manager zu kommunizieren. Vorgehensweise 134 1 Navigieren Sie in vSphere Client zu [Bestandsliste] > [Hosts und Cluster] . 2 Wählen Sie in der Ressourcenstruktur ein Datencenter, einen Cluster oder einen ESX-Host aus. 3 Klicken Sie auf die Registerkarte [vShield App] . 4 Klicken Sie auf [Endpoint.] 5 Bestätigen Sie, dass sich die sichere virtuelle Maschine (SVM), das vShield Endpoint-Modul auf dem ESXHost und der Thin-Agent auf der geschützten virtuellen Maschine in einem normalen Zustand befinden. 6 Wenn der Thin-Agent auf der virtuellen Maschine nicht normal funktioniert, überprüfen Sie, ob es sich bei der Version von VMware Tools um 8.6.0 handelt (mit ESXi 5.0 Patch 1 verfügbar). 7 Wenn ein Alarm angezeigt wird, führen Sie die entsprechende Aktion aus. Weitere Informationen finden Sie unter „vShield Endpoint-Alarme“, auf Seite 72. VMware, Inc. Kapitel 15 Fehlerbehebung Fehlerbehebung für vShield Data Security Da vShield Data Security die vShield Endpoint-Technologie verwendet, ist die Fehlerbehebung für beide Komponenten sehr ähnlich. Falls vShield Data Security-Probleme auftreten, stellen Sie zuerst sicher, dass die Data Security-Appliance als aktiviert gemeldet wird. Stellen Sie anschließend sicher, dass eine Datensicherheitsprüfung durchgeführt wurde. Überprüfen des Zeitstempels für das Starten und Beenden der Prüfung vShield Data Security prüft nur diejenigen virtuellen Maschinen, die eingeschaltet sind. Der erste Schritt der Fehlerbehebung von vShield Data Security-Problemen besteht darin zu bestätigen, dass die virtuelle Maschine geprüft wurde. Vorgehensweise 1 Navigieren Sie in vSphere Client zu [Bestandsliste] > [Hosts und Cluster] . 2 Wählen Sie ein Datencenter, einen ESX-Host oder eine virtuelle Maschine aus der Ressourcenstruktur aus. 3 Klicken Sie auf die Registerkarte [Tasks and Events] . 4 Suchen Sie nach „Scan“ in der Spalte „Name“ und stellen Sie sicher, dass die Prüfung erfolgreich abgeschlossen wurde. VMware, Inc. 135 vShield-Administratorhandbuch 136 VMware, Inc. Index A admin-Benutzerkonto 24 Aktualisieren einer vShield Edge-Instanz 51 Aktualisieren eines Benutzers 25 Alarme für vShield Endpoint 72 Anmeldung, vShield Manager 13 Ansicht „Hosts & Clusters“ 14 Ansichten Hosts & Cluster 14 Netzwerke 14 sichere Portgruppen 14 App Firewall Hierarchie der Regeln 62 Hinzufügen von L4-Regeln 66 Hinzufügen von Regeln über Flow Monitoring 58 Informationen zu L4- und L2-/L3-Regeln 62 Löschen von Regeln 66 Planen der Regelerzwingung 63 Standardregeln 62 Wiederherstellen einer vorherigen Regel 67 Aufheben der Registrierung einer vShield Endpoint-SVM 38 B Bearbeiten eines Benutzerkontos 25 Benutzer Administratorkonto 24 Ändern eines Kennworts 25 bearbeiten 25 löschen 26 Rollen und Rechte 23 Benutzeroberfläche, Anmeldung 13 Berichte Systemereignisse 33 Überwachungsprotokoll 35, 65 Bestandsliste 14 Bestimmungen ABA Routing-Nummern 82 Arizona SB-1338 81 Australische Bankkontonummern 82 Australische Medicare-Kartennummern 83 Australische Steuernummern 83 Benutzerdefinierte Kontonummern 86 Britische BIC-Nummern 96 VMware, Inc. Britische Führerscheinnummern 96 Britische IBAN-Nummern 96 Britische National Health Service-Nummer 96 Britische Reisepassnummern 97 Britische Sozialversicherungsnummer (NINO, UK National Insurance Number) 97 California AB-1298 83 California SB-1386 84 Colorado HB-1119 85 Connecticut SB-650 85 EU-Debitkartennummern 86 FERPA (Family Educational Rights and Privacy Act) 86 Florida HB-481 86 Georgia SB-230-Richtlinie 87 Hawaii SB-2290-Richtlinie 88 HIPPA-Richtlinie (Healthcare Insurance Portability and Accountability Act) 88 Idaho SB-1374-Richtlinie 89 Illinois SB-1633 89 Indiana HB-1101-Richtlinie 89 Kanadische Führerscheinnummern 84 Kanadische Sozialversicherungsnummern 84 Kansas SB-196-Richtlinie 90 Kreditkartennummern 85 Louisiana SB-205-Richtlinie 91 Maine LD-1671-Richtlinie 91 Massachusetts CMR-201 91 Minnesota HF-2121 92 Montana HB-732-Richtlinie 92 Neuseeländische Steuernummern 94 Nevada SB-347 92 New Hampshire HB-1660 93 New Jersey A-4001 93 New York AB-4254 93 Niederländische Führerscheinnummern 92 Nummern des neuseeländischen Gesundheitsministeriums 94 Ohio HB-104 94 Oklahoma HB-2357 95 Patienten-IDs 95 Payment Card Industry Data Security Standard (PCI-DSS) 95 Richtlinie für deutsche BIC-Nummern 87 137 vShield-Administratorhandbuch Richtlinie für deutsche Führerscheinnummern 87 Richtlinie für deutsche IBAN-Nummern 87 Richtlinie für deutsche Personalausweisnummern 88 Richtlinie für deutsche Umsatzsteuernummern 88 Richtlinie für französische IBAN-Nummern 86 Richtlinie für französische Personalausweisnummern 87 Richtlinie für italienische Führerscheinnummern 90 Richtlinie für italienische IBAN-Nummern 90 Richtlinie für italienische Personalausweisnummern 90 Richtlinie für US-Führerscheinnummern 97 Texas SB-122 96 US-Sozialversicherungsnummern 97 Utah SB-69 97 Vermont SB-284 98 Washington SB-6043 98 C Content Blade für Führerscheinnummern aus Massachusetts 109 Content Blades Content Blade für niederländische Personalausweisnummern 111 North Dakota, Content Blade für Führerscheinnummern 113 ABA Routing-Nummer 98 Content Blade für American Express 100 Content Blade für Aufnahme- und Entlassungsdatum 99 Content Blade für australische Firmennummer (ACN) 100 Content Blade für australische Geschäftsnummern (ABN) 100 Content Blade für australische Medicare-Kartennummer 101 Content Blade für australische Steuernummern 101 Content Blade für Bankkontonummern aus Australien 100 Content Blade für Begriffe im Zusammenhang mit geschützten Gesundheitsdaten 114 Content Blade für benutzerdefinierte Kontonummern 102 Content Blade für britische IBAN-Nummern 118 Content Blade für britische Reisepassnummern 119 138 Content Blade für das formale Muster britischer NINO-Nummern 118 Content Blade für das NDC Formulas-Wörterbuch 110 Content Blade für das Verfahrensverzeichnis 106 Content Blade für Daten des Kreditkartenmagnetstreifens 102 Content Blade für deutsche BIC-Nummern 104 Content Blade für deutsche Personalausweisnummern 104 Content Blade für deutsche Reisepassnummern 104 Content Blade für deutsche Umsatzsteuernummern 105 Content Blade für die französische Personalausweisnummer 103 Content Blade für die spanische Personalausweisnummer 116 Content Blade für europäische Debitkartennummern 102 Content Blade für formatierte SIN 115 Content Blade für formatierte SSN 115 Content Blade für französische BIC-Nummern 103 Content Blade für französische Umsatzsteuernummern 103 Content Blade für Führerscheine aus Alabama 99 Content Blade für Führerscheine aus Alaska 99 Content Blade für Führerscheine aus Alberta 99 Content Blade für Führerscheine aus Arizona 100 Content Blade für Führerscheine aus Arkansas 98, 100 Content Blade für Führerscheine aus Manitoba 108 Content Blade für Führerscheine aus Neufundland und Labrador 112 Content Blade für Führerscheine aus New Brunswick 111 Content Blade für Führerscheine aus Nova Scotia 113 Content Blade für Führerscheine aus Ontario 113 Content Blade für Führerscheine aus Prince Edward Island 114 Content Blade für Führerscheine aus Quebec 114 Content Blade für Führerscheine aus Saskatchewan 115 VMware, Inc. Index Content Blade für Führerscheinnummern aus Colorado 101 Content Blade für Führerscheinnummern aus Connecticut 101 Content Blade für Führerscheinnummern aus Delaware 102 Content Blade für Führerscheinnummern aus den Niederlanden 110 Content Blade für Führerscheinnummern aus Deutschland 104 Content Blade für Führerscheinnummern aus Florida 103 Content Blade für Führerscheinnummern aus Frankreich 103 Content Blade für Führerscheinnummern aus Georgia 103 Content Blade für Führerscheinnummern aus Großbritannien 118 Content Blade für Führerscheinnummern aus Hawaii 105 Content Blade für Führerscheinnummern aus Idaho 106 Content Blade für Führerscheinnummern aus Illinois 106 Content Blade für Führerscheinnummern aus Indiana 106 Content Blade für Führerscheinnummern aus Iowa 106 Content Blade für Führerscheinnummern aus Italien 106 Content Blade für Führerscheinnummern aus Kalifornien 101 Content Blade für Führerscheinnummern aus Kanada 101 Content Blade für Führerscheinnummern aus Kansas 108 Content Blade für Führerscheinnummern aus Kentucky 108 Content Blade für Führerscheinnummern aus Louisiana 108 Content Blade für Führerscheinnummern aus Maine 108 Content Blade für Führerscheinnummern aus Maryland 109 Content Blade für Führerscheinnummern aus Michigan 109 Content Blade für Führerscheinnummern aus Minnesota 109 Content Blade für Führerscheinnummern aus Mississippi 109 Content Blade für Führerscheinnummern aus Missouri 109 Content Blade für Führerscheinnummern aus Montana 110 VMware, Inc. Content Blade für Führerscheinnummern aus Nebraska 110 Content Blade für Führerscheinnummern aus New Hampshire 112 Content Blade für Führerscheinnummern aus New Jersey 112 Content Blade für Führerscheinnummern aus New Mexico 112 Content Blade für Führerscheinnummern aus New York 112 Content Blade für Führerscheinnummern aus North Carolina 113 Content Blade für Führerscheinnummern aus Ohio 113 Content Blade für Führerscheinnummern aus Oklahoma 113 Content Blade für Führerscheinnummern aus Oregon 113 Content Blade für Führerscheinnummern aus Pennsylvania 114 Content Blade für Führerscheinnummern aus Rhode Island 115 Content Blade für Führerscheinnummern aus South Carolina 116 Content Blade für Führerscheinnummern aus South Dakota 116 Content Blade für Führerscheinnummern aus Tennessee 117 Content Blade für Führerscheinnummern aus Utah 119 Content Blade für Führerscheinnummern aus Virginia 119 Content Blade für Führerscheinnummern aus Washington 119 Content Blade für Führerscheinnummern aus Wisconsin 119 Content Blade für Führerscheinnummern aus Wyoming 120 Content Blade für Gruppenversicherungsnummern 105 Content Blade für Indexnummern von in Neuseeland niedergelassenen Fachkräften im Gesundheitswesen 112 Content Blade für italienische IBAN-Nummern 107 Content Blade für italienische Personalausweisnummern 105 Content Blade für neuseeländische NHI-Nummern (National Health Index) 112 Content Blade für niederländische IBAN-Nummern 110 Content Blade für niederländische Reisepassnummern 111 Content Blade für Patientenidentifikationsnummern 114 139 vShield-Administratorhandbuch Content Blade für schwedische IBAN-Nummern 116 Content Blade für schwedische Reisepassnummern 117 Content Blade für Sozialversicherungsnummern aus Kanada 101 Content Blade für Sozialversicherungsnummern aus Spanien 116 Content Blade für spanische Reisepassnummern 116 Content Blade für unformatierte ITIN 107 Content Blade für unformatierte SIN 115 Content Blade für unformatierte SSN 116 Content Blade für Visa-Kartennummer 119 Neuseeländische Steuernummer 112 D Daten Planen von Sicherungen 30 Sicherungen bei Bedarf 29 Wiederherstellen einer Sicherung 31 Datensicherheit,Benutzerrollen 76 Datensicherheit,Richtlinie,Bestimmungen 76 Datenverkehrsanalyse, Datumsbereich 56 Datenverkehrstatistiken für eine vShield App-Instanz 54 Datum 19 Datumsbereich für Flow Monitoring 56 Deinstallieren vShield App 37 vShield Edge 37 vShield Endpoint-Modul 38 Dienste DNS 18 NTP 19 DNS 18 E Ereignisse Senden an Syslog 53 Syslog-Format 35 vShield App 34 vShield Manager 33 Ereignisse für vShield Endpoint 72 Erzwingen der Synchronisierung 54 F Fehlerbehebung Portgruppenisolierung, Probleme 128 Probleme bei der Ausführung 126 vShield Edge-Probleme 132 140 vShield Endpoint-Probleme 133 vShield Manager-Installation 125 Firewall App Firewall, grundlegende Informationen 61 Hinzufügen von L4-Regeln 66 Hinzufügen von Regeln über Flow Monitoring 58 Löschen von Regeln 66 Planen der Regelerzwingung 63 Flow Monitoring Anzeigen des Berichts 57 Anzeigen einer bestimmten Anwendung 56 Datumsbereich 56 grundlegende Informationen 55 Hinzufügen einer App Firewall-Regel 58 Löschen aller aufgezeichneten Flow-Daten 58 Flow-Analyse, Datumsbereich 56 G GUI, Anmeldung 13 H Hierarchie von App Firewall-Regeln 62 Hostalarme für vShield Endpoint 72 I Installieren, Updates 27 K Kennwort 25 L L2-/L3-Regeln, grundlegende Informationen 62 L4-Regeln grundlegende Informationen 62 hinzufügen 66 Lastausgleichsdienst 50 Löschen eines Benutzers 26 N Namespace 61 NAT 44 Netzwerk, Ansicht 14 Neubereitstellung von vShield Edge 51 Neustarten einer vShield App 54 NTP 19 P Planen von Sicherungen 30 Plug-In 18 Protokolle technischer Support 19 Überwachungsprotokoll 35, 65 VMware, Inc. Index R U Regeln Hinzufügen von L4-Regeln zur App Firewall 66 Löschen von App Firewall-Regeln 66 Regeln auf Clusterebene 62 Regeln mit hohem Vorrang für das Datencenter 62 Regeln mit niedrigem Vorrang für das Datencenter 62 Rollen und Rechte, grundlegende Informationen 23 Überwachungsmeldungen für vShield Endpoint 73 Überwachungsprotokolle 35, 65 Uhrzeit 19 Unterstützte Dateiformate 120 Update-Status 27 Update-Verlauf 28 Updates installieren 27 Update-Status 27 Update-Verlauf 28 vShield Edge 51 S Seriennummer von vShield Manager 19 Sichere Portgruppen, Ansicht 14 Sichere Portgruppenregeln 62 Sicherheitsgruppen grundlegende Informationen 62 hinzufügen 65 Sicherungen bei Bedarf 29 planen 30 wiederherstellen 31 SpoofGuard 67 SSL-Zertifikat 20 Standardregeln 62 Starten oder Anhalten von vShield Edge-Diensten 50 Status von Updates 27 vShield App 54 vShield Edge 39 vShield Endpoint 71 vShield Manager 19 SVM-Alarme für vShield Endpoint 72 Synchronisieren einer vShield App-Instanz 54 Synchronisierung mit vCenter 17 syslog, vShield Edge 40 Syslog-Format 35 Syslog-Server 53 Systemereignisse 33 Systemstatus Datenverkehrstatistiken 54 Erzwingen der Synchronisierung 54 Neustart 54 Systemzeit 19 T Technischer Support, Protokoll 19 VMware, Inc. V Verbindungsherstellung mit vCenter Server 17 Verlauf von Updates 28 VPN Dienst konfigurieren 47 Konfigurieren des Authentifizierungszertifikats 48 Peer-Site hinzufügen 48 verwalten 47 vShield vShield App 9 vShield Edge 9 vShield Endpoint 9 vShield Manager 9 vShield App Benachrichtigung bei Ereignissen 34 Datenverkehrstatistiken 54 Deinstallieren 37 Erzwingen der Synchronisierung 54 Grundlegende Informationen 9 Neustart 54 Senden von Ereignissen an Syslog-Server 53 Systemstatus 54 vShield Data Security Benutzerrollen 76 Berichte 79 grundlegende Informationen 75 Prüfen 79 Richtlinie 76 Unterstützte Dateiformate 120 vShield Edge Aktualisieren der Software 51 Deinstallieren 37 DHCP 45 Firewallregeln Anzeige nach Typ 43 bearbeiten 42 hinzufügen 41 löschen 43 141 vShield-Administratorhandbuch Priorität ändern 43 verwalten 40 Grundlegende Informationen 9 Hinzufügen von NAT-Regeln 44 Lastausgleichsdienst 50 Starten oder Anhalten von Diensten 50 Status 39 syslog 40 VPN 47 vShield Endpoint Alarme 72 Aufheben der Registrierung einer SVM 38 Deinstallieren 38 Ereignisse 72 Grundlegende Informationen 9 Hostalarme 72 Status 71 SVM-Alarme 72 Überwachungsmeldungen 73 vShield Manager Anmeldung 13 Benachrichtigung bei Ereignissen 33 Benutzeroberfläche, Bereiche 14 Bestandsliste 14 Datum und Uhrzeit 19 DNS 18 Grundlegende Informationen 9 NTP 19 Planen einer Sicherung 30 Seriennummer 19 Sicherungen bei Bedarf 29 SSL-Zertifikat 20 Status 19 Support 19 Synchronisierung mit vCenter Server 17 Systemereignisse 33 vSphere-Plug-In 18 Wiederherstellen einer Sicherung 31 vSphere-Plug-In 18 W Wiederherstellen von Sicherungen 31 142 VMware, Inc.