SDDC 管理员配置 NSX 功能以便在数据中心内提供网络隔离和分段。

网络隔离

无论是为了实现合规、控制还是只为保持开发、测试和生产环境的独立,隔离都是大多数网络安全的基础。通常使用 ACL、防火墙规则和路由策略建立和实施隔离和多租户。网络虚拟化功能提供了对这些属性的支持。使用 VXLAN 技术,默认情况下虚拟网络独立于任何其他虚拟网络和基础物理网络,从而实现最低权限的安全准则。除非已明确连接,否则虚拟网络以隔离方式创建并且保持隔离状态。启用隔离不需要任何物理子网、VLAN、ACL 或防火墙规则。

网络分段

网络分段与隔离相关,但会应用于多层虚拟网络。通常,网络分段是一种物理防火墙或路由器功能,设计该功能是为了允许或拒绝网络分段或网络层之间的流量。当在 Web、应用程序和数据库层之间进行流量分段时,传统的配置过程不仅耗时而且极易出现人为错误,从而导致出现安全漏洞的几率非常大。实施过程要求对设备配置语法、网络寻址、应用程序端口和协议有相关的专业知识。

网络虚拟化简化了构建和测试网络服务配置的流程,生成的配置经证明能够以编程方式在整个网络中进行部署和复制以实施分段。网络分段与隔离一样是 NSX 网络虚拟化的核心功能。

微分段

微分段使用分布式路由器和分布式防火墙将流量隔离在 vNIC 级别。在 vNIC 级别实施的访问控制提高了在物理网络上实施规则的效率。可以将微分段与 NSX 分布式防火墙和实施分布式防火墙一起使用,为三层应用程序(如 Web 服务器、应用程序服务器和数据库)实施微分段,其中多个组织可以共享相同的逻辑网络拓扑。

零信任模型

要实现最严格的安全设置,请在配置安全策略时应用零信任模型。除非策略明确允许,否则零信任模型拒绝访问资源和工作负载。在该模型中,只有列入白名单的流量才允许通过。确保允许至关重要的基础架构流量通过。默认情况下,NSX Manager、NSX Controller、和 NSX Edge 服务网关是不包括在分布式防火墙功能内。vCenter Server 系统没有排除在外,而且在应用此类策略之前应该明确允许以防止锁定。