O firewall distribuído permite segmentar as entidades do centro de dados virtual da organização, como máquinas virtuais, com base em nomes e atributos de máquinas virtuais.
O VMware Cloud Director oferece suporte a serviços de firewall distribuídos em centros de dados virtuais da organização com suporte do NSX Data Center for vSphere. Conforme descrito na documentação do NSX Data Center for vSphere, esse firewall distribuído é um firewall incorporado ao kernel do hipervisor que oferece visibilidade e controle para cargas de trabalho e redes virtualizadas. Você pode criar políticas de controle de acesso com base em objetos como nomes de máquinas virtuais e em construções de rede, como endereços IP ou endereços de conjuntos de IPs. Regras de firewall são aplicadas no nível de vNIC de cada máquina virtual para fornecer controle de acesso consistente, mesmo quando a máquina virtual é movida para um novo host ESXi pelo vSphere vMotion. Esse firewall distribuído oferece suporte a um modelo de segurança de micro segmentação em que o tráfego do leste-oeste pode ser inspecionado no próximo processamento da taxa de linha.
Conforme descrito na documentação do NSX Data Center for vSphere, para pacotes da camada 2 (L2), o firewall distribuído cria um cache para aumento de desempenho. Os pacotes da camada 3 (L3) são processados na seguinte sequência:
- Todos os pacotes são verificados em busca de um estado existente.
- Quando uma correspondência de estado é encontrada, os pacotes são processados.
- Quando uma correspondência de estado não é encontrada, os pacotes são processados através das regras até que uma correspondência seja encontrada.
- Para pacotes TCP, um estado é definido apenas para pacotes com um sinalizador SYN. No entanto, as regras que não especificam um protocolo (serviço), podem corresponder aos pacotes TCP com qualquer combinação de sinalizadores.
- Para pacotes UDP, os detalhes de 5 tuplas são extraídos do pacote. Quando um estado não existe na tabela de estado, um novo estado é criado usando os detalhes de 5 tuplas extraídas. Os pacotes recebidos posteriormente são correspondidos em relação ao estado que acabou de ser criado.
-
Para pacotes ICMP, o tipo de ICMP, o código e a direção do pacote são usados para criar um estado.
O firewall distribuído também pode ajudar a criar regras baseadas em identidade. Os administradores podem impor o controle de acesso com base na associação de grupo do usuário, conforme definido no Active Directory (AD) corporativo. Alguns casos de uso para quando você pode usar as regras de firewall com base em identidade são:
- Usuários que acessam aplicativos virtuais usando um laptop ou dispositivo móvel no qual o AD é usado para autenticação de usuário
- Usuários que acessam aplicativos virtuais usando a infraestrutura VDI em que as máquinas virtuais são baseadas no Microsoft Windows
Para obter informações mais detalhadas sobre os recursos fornecidos pelo firewall distribuído, consulte a documentação do NSX Data Center for vSphere.