VMware NSX-T crea seguridad en la infraestructura de virtualización de redes. Hay muchos servicios integrados en NSX-T que mejoran la seguridad. Los equipos de seguridad pueden proteger el tráfico del centro de datos en cargas de trabajo virtuales, físicas, en contenedores y en la nube. Las capacidades de seguridad siempre están presentes en la infraestructura y se pueden configurar rápidamente. Además, nadie puede manipular los controles de seguridad porque residen en el hipervisor, desacoplando eficazmente los controles de las cargas de trabajo.

Las cargas de trabajo se incluyen en diversos formatos, como máquinas virtuales, contenedores y servidores físicos. Además, las cargas de trabajo se alojan en diferentes entornos, como locales, nativos o administrados en la nube. La heterogeneidad del formato de carga de trabajo y el tipo de implementación también representan grandes desafíos para las organizaciones en relación con la cobertura de seguridad, la coherencia de las directivas, la cantidad de plataformas que se deben administrar y la simplicidad operativa general. El requisito de una organización es contar con una plataforma operativamente simple que proporcione directivas coherentes en máquinas virtuales, contenedores, servidores físicos y cargas de trabajo de nube nativas sin comprometer la seguridad de las aplicaciones y los datos.

Diagrama que muestra la arquitectura distribuida de NSX

NSX-T tiene una arquitectura distribuida. Los controles de aplicación de seguridad se encuentran en la interfaz de red virtual de cada carga de trabajo y proporcionan un mecanismo detallado para controlar los flujos de tráfico. No hay ningún dispositivo centralizado que limite la capacidad de seguridad y no es necesario crear artificialmente una pila de seguridad de red para el tráfico de red. A medida que NSX-T se integra en la infraestructura de virtualización, podrá ver todas las aplicaciones y cargas de trabajo. NSX-T utiliza esta visibilidad para obtener un contexto de aplicaciones enriquecido, realizar un seguimiento cercano del ciclo de vida de las cargas de trabajo y automatizar la administración de directivas de seguridad.

NSX Distributed Firewall (DFW) es un firewall interno distribuido de escalado horizontal que protege todo el tráfico Este-Oeste en todas las cargas de trabajo sin cambios en la red, lo que simplifica radicalmente el modelo de implementación de seguridad. Incluye un firewall L4-L7 con estado, un sistema de detección/prevención de intrusiones (IDS/IPS), un espacio aislado de red y un análisis de tráfico de red basado en el comportamiento. Con NSX Firewall, puede proteger el tráfico del centro de datos en cargas de trabajo virtuales, físicas, en contenedores y de nube frente a amenazas internas y evitar daños de amenazas pasan el perímetro de la red.

Se crea una instancia de NSX Gateway Firewall por cada puerta de enlace y se admite tanto en el nivel 0 como en el nivel 1. Gateway Firewall proporciona servicios de firewall y otros servicios que no se pueden distribuir, como NAT, DHCP, VPN y equilibrio de carga, y necesita el componente de enrutador de servicios de la puerta de enlace. Gateway Firewall funciona de forma independiente de NSX-T DFW desde una perspectiva de configuración y aplicación de directivas, aunque puede compartir objetos desde el DFW.

NSX Intelligence, una solución de administración de directivas y análisis de seguridad, determina automáticamente los patrones de comunicación en todos los tipos de cargas de trabajo, realiza recomendaciones de directivas de seguridad basadas en esos patrones y comprueba que los flujos de tráfico cumplan con las directivas implementadas.