SDDC-Administratoren konfigurieren NSX-Funktionen zur Bereitstellung von Netzwerkisolierung und Segmentierung im Datencenter.
Netzwerkisolierung
Die Isolierung bildet die Grundlage eines wesentlichen Teils der Netzwerksicherheit, was die Übereinstimmung, Eingrenzung oder Isolierung von Entwicklungs-, Test- und Produktionsumgebungen betrifft. Traditionell werden ACLs, Firewallregeln und Routing-Richtlinien zur Einrichtung und Durchsetzung von Isolierung und Mehrmandantenfähigkeit verwendet. In der Netzwerkvirtualisierung ist die Unterstützung derartiger Eigenschaften von vornherein enthalten. Mit der VXLAN-Technologie werden virtuelle Netzwerke standardmäßig von anderen virtuellen Netzwerken und der zugrunde liegenden physischen Infrastruktur isoliert, wodurch das Sicherheitsprinzip der geringsten Berechtigung zum Tragen kommt. Virtuelle Netzwerke werden isoliert erstellt und bleiben isoliert, bis sie ausdrücklich verbunden werden. Für die Aktivierung der Isolierung sind keinerlei physische Subnetze, VLANs, ACLs oder Firewallregeln erforderlich.
Netzwerksegmentierung
Die Netzwerksegmentierung ist mit der Isolierung verbunden, wird jedoch in einem virtuellen Netzwerk mit mehreren Schichten angewendet. Die Netzwerksegmentierung ist traditionell eine Funktion einer physischen Firewall oder eines Routers, die dazu dient, Datenverkehr zwischen Netzwerksegmenten oder Schichten zuzulassen oder abzulehnen. Traditionelle Konfigurationsvorgänge sind bei der Segmentierung von Datenverkehr zwischen Web-, Anwendungs- und Datenbankschichten sehr zeitraubend und für menschliche Fehler anfällig, wodurch es zu zahlreichen Sicherheitsverletzungen kommt. Für die Implementierung sind Kenntnisse der Geräte-Konfigurationssyntax und Netzwerkadressierung sowie zu Anwendungsports und Protokollen erforderlich.
Die Netzwerkvirtualisierung vereinfacht das Erstellen und Testen der Konfigurationen von Netzwerkdiensten, wodurch bewährte Konfigurationen entstehen, welche im ganzen Netzwerk programmatisch bereitgestellt und dupliziert werden können, um die Segmentierung zu erzwingen. Die Netzwerksegmentierung ist wie auch die Isolierung eine Hauptfähigkeit der NSX-Netzwerkvirtualisierung.
Mikrosegmentierung
Mit der Mikrosegmentierung wird Datenverkehr auf vNIC-Ebene mithilfe von verteilten Routern und Firewalls isoliert. Auf vNIC-Ebene erzwungene Zugangskontrollen sind im Vergleich zu im physischen Netzwerk erzwungenen Regeln effizienter. Sie können die Mikrosegmentierung mit einer verteilten NSX-Firewall und einer bei der Implementierung verteilten Firewall verwenden, um die Mikrosegmentierung für eine Anwendung mit drei Schichten wie beispielsweise Webserver, Anwendungsserver und Datenbank zu implementieren, bei der mehrere Organisationen möglicherweise die gleiche logische Netzwerktopologie verwenden.
Zero-Trust-Modell
Die strengsten Sicherheitseinstellungen erzielen Sie, indem Sie beim Konfigurieren der Sicherheitsrichtlinien ein Zero-Trust-Modell anwenden. Ein Zero-Trust-Modell verweigert den Zugriff auf Ressourcen und Arbeitslasten, wenn dieser nicht ausdrücklich durch eine Richtlinie gestattet ist. Bei diesem Modell muss der Verkehr auf die Whitelist gesetzt werden, um zugelassen zu werden. Achten Sie jedoch darauf, den wesentlichen Infrastrukturdatenverkehr zuzulassen. NSX-Manager, NSX-Controller und NSX Edge-Dienst-Gateways sind standardmäßig von den Funktionen einer verteilten Firewall ausgeschlossen. vCenter Server-Systeme sind nicht ausgeschlossen und müssen ausdrücklich zugelassen werden, um zu vermeiden, dass sie vor der Anwendung einer solchen Richtlinie gesperrt werden.