Sie können die verteilte NSX-Firewall (DFW) für die Makrosegmentierung (Sicherheitszonen) und die Mikrosegmentierung verwenden. Die verteilte Firewall bietet vollständige Einblicke und Erzwingung für horizontalen Datenverkehr auf L2 bis L7 mit der Formulierung automatischer Richtlinien. Sie funktioniert sowohl auf physischen Servern als auch auf VMs unter ESXi, ohne dass Änderungen am physischen Netzwerk erforderlich sind. Durch die Verwendung von DFW lässt sich eine beliebige Segmentierung durchführen. Es gibt vier grundlegende Segmentierungstypen. Viele davon können nebeneinander bestehen und werden jeweils in verschiedenen Bereichen der Umgebung verwendet.

  • Zonensegmentierung: Die Zonensegmentierung kann so allgemein sein wie die Segmentierung der Produktion von der Nicht-Produktion. Aber auch eine wesentlich detailliertere Segmentierung nach Geschäftsbereich, Funktion oder Produktangebot ist möglich. Entscheidend ist, dass jede Zone unabhängig von Segmenten, VLANs, Datencentern oder anderen Konstrukten definiert wird. Zonen sind vollständig logische Definitionen, die zum Definieren von Sicherheitsrichtlinien verwendet werden können.
  • VLAN-Segmentierung: Die VLAN-Segmentierung wird am häufigsten verwendet, indem die Legacy-Firewallinfrastruktur ersetzt wird. In diesem Modell ist ein IP-Segment das definierende Element für eine Quelle oder ein Ziel der Sicherheitsrichtlinie.
  • Anwendungssegmentierung: Die Anwendungssegmentierung wird verwendet, um einen logischen Sicherheitsring um eine Anwendung zu definieren. Da Anwendungen häufig nicht im Detail verstanden werden, kann es sinnvoll sein, einfach ein Tag für eine bestimmte Anwendung zu definieren, dieses Tag auf alle ihre Komponenten anzuwenden und die vollständige Kommunikation zwischen den Elementen zu ermöglichen. Dies bietet mehr Sicherheit als die Definition einer großen Zone, die über mehrere Anwendungen verfügen kann, ohne dass ein detailliertes Verständnis für die Mikrosegmentierung erforderlich ist.
  • Mikrosegmentierung: Die Mikrosegmentierung ist ein Sicherheitsmodell, bei dem die Kommunikation zwischen Elementen so explizit wie möglich definiert wird. Im Extremfall kann die Mikrosegmentierung die explizite Definition der Kommunikation zwischen paarweisen Elementen sein. Dies ist eindeutig operativ komplex. Daher bietet NSX die Mikrosegmentierung basierend auf Tags, was eine explizite Definition nach Gruppen ermöglicht. Beispielsweise können Sie eine Regel definieren, die SSL zulässt, aber nur TLS Version 1.3 für die getaggten sicheren Webserver. Basierend auf den Anforderungen Ihrer Organisation können Sie jede dieser Arten in verschiedene Bereiche segmentieren.

Mit NSX sind all diese Segmentierungsansätze nicht exklusiv, sondern können nebeneinander bestehen. Sie können ein Labor in einem Zonenmodell segmentieren, indem Sie einfach eine Begrenzung um dieses Modell und eine DMZ-Umgebung in einer Mikrosegmentierung einrichten. Nicht-Produktionsumgebungen können Sie nur nach Anwendungen segmentieren, während Sie die Produktionsanwendungen, die vertrauliche Kundendaten enthalten, mithilfe von VLAN weiter segmentieren können. Der Wechsel von einem Sicherheitsmodell zu einem anderen erfolgt durch eine einfache Richtlinienübertragung, ohne dass die Architektur der Netzwerkinfrastruktur verändert werden muss.