Os administradores SDDC configuram recursos NSX para proporcionar isolamento de rede e segmentação no centro de dados.
Isolamento de rede
O isolamento é a base de de mais segurança de rede, quer para o cumprimento, contenção ou isolamento de ambientes de desenvolvimento, teste e produção. Tradicionalmente, os ACLs, regras de firewall e políticas de roteamento são usados para estabelecer e reforçar o isolamento e multilocação. Com a virtualização da rede, o suporte para essas propriedades é fornecido inerentemente. Usando tecnologia VXLAN, as redes virtuais são isoladas de outras redes virtuais e da infraestrutura física subjacente por padrão, oferecendo o princípio de segurança de menos privilégio. As redes virtuais são criadas no isolamento e permanecem isoladas, exceto se forem explicitamente conectadas. Nenhuma sub-rede física, VLANs, ACLs ou regras de firewall são necessárias para habilitar o isolamento.
Segmentação de rede
A segmentação de rede está relacionada ao isolamento, mas é aplicada em uma rede virtual multicamada. Tradicionalmente, a segmentação de rede é uma função de um firewall ou roteador físico, desenvolvido para permitir ou negar o tráfego entre segmentos ou camadas de rede. Ao segmentar o tráfego entre a Web, aplicativo e camadas de banco de dados, os processos de configuração tradicionais são demorados e altamente propensos a erro humano, resultando em uma grande porcentagem de violações de segurança. A sua aplicação requer especialidade em sintaxe de configuração de dispositivo, endereçamento de rede e portas de aplicativos e protocolos.
A virtualização da rede simplificar a construção e teste de configurações dos serviços de rede para produzir configurações comprovadas que podem ser implantadas programaticamente e duplicadas em toda a rede para aplicar a segmentação. A segmentação de rede, como o isolamento, é um recurso essencial da NSX virtualização da rede.
Microssegmentação
A microssegmentação isola o tráfego no nível vNIC usando roteadores e firewalls distribuídos. Controles de acesso forçados no vNIC oferecem aumento da eficiência em relação às regras aplicadas na rede física. Você pode usar a microssegmentação com um firewall distribuído NSX e implementação de firewall distribuído para implementar a microssegmentação para um aplicativo de três camadas, por exemplo, servidor Web, servidor de aplicativos e banco de dados, onde várias organizações podem compartilhar a mesma topologia de rede lógica.
Modelo Confiança zero (Zero-Trust)
Para obter as configurações de segurança mais rigorosas, aplique um modelo de confiança zero ao configurar as políticas de segurança. Um modelo de confiança zero nega o acesso aos recursos e cargas de trabalho, exceto se especificamente permitido por uma política. Neste modelo, o tráfego só é permitido se estiver na lista de permissões. Certifique-se de permitir o tráfego de infraestruturas essenciais. Por padrão, NSX gerente, NSX controladores e NSX Edge gateways de serviços são excluídos das funções de firewall distribuído vCenter Server sistema não são excluídos e devem ser explicitamente permitidos para evitar bloqueio antes de aplicar uma política.