VMware NSX-T 将安全性构建到网络虚拟化基础架构中。许多内置服务都是 NSX-T 的一部分,可增强安全性。安全团队可以保护跨虚拟、物理、容器化和云工作负载数据中心的流量。安全功能始终存在于基础架构中,并且可以快速进行配置。此外,任何用户都无法篡改安全控制措施,因为它们位于 Hypervisor 中,因此可以有效地将控制措施与工作负载分离。

工作负载具有多种规格,如虚拟机、容器和物理服务器。此外,工作负载托管在不同的环境中,例如内部部署、原生云或管理云。工作负载规格和部署类型的异构性在安全覆盖范围、策略一致性、要管理的平台数量以及整体操作简单性方面给组织带来了进一步的挑战。组织的要求是拥有一个操作简单的平台,该平台可在虚拟机、容器、物理服务器和原生云工作负载之间提供一致的策略,而不会影响应用程序和数据安全性。

显示 NSX 分布式架构的图

NSX-T 具有分布式架构。安全实施控制措施位于每个工作负载的虚拟网络接口中,可提供精细的机制来监管流量。没有用于限制安全容量的集中式设备,因此您不需要人为地将网络流量发送到网络安全堆栈。由于 NSX-T 集成到虚拟化基础架构中,因此可以查看所有应用程序和工作负载。NSX-T 利用这种可见性获取丰富的应用程序上下文,密切跟踪工作负载的生命周期,并自动执行安全策略管理。

NSX 分布式防火墙 (Distributed Firewall, DFW) 是一种分布式内部扩展防火墙,可在不更改网络的情况下保护所有工作负载中的全部东西向流量,从而从根本上简化了安全部署模型。它包括有状态 L4-L7 防火墙、入侵检测/防御系统 (IDS/IPS)、网络沙箱和基于行为的网络流量分析。借助 NSX Firewall,您可以保护虚拟、物理、容器化和云工作负载中的数据中心流量免受内部威胁,并避免使其越过网络边界的威胁造成的损害。

NSX 网关防火墙按网关实例化,并在 Tier-0 和 Tier-1 上均受支持。该网关防火墙提供无法分发的防火墙服务和其他服务(如 NAT、DHCP、VPN 和负载均衡),并且需要网关的服务路由器组件。虽然可以从 DFW 共享对象,但从策略配置和实施的角度来看,网关防火墙是独立于 NSX-T DFW 运行的。

NSX Intelligence 是一个安全分析和策略管理解决方案,可自动确定各种类型工作负载之间的通信模式,根据这些模式提出安全策略建议,并检查流量是否符合部署的策略要求。