Puede utilizar NSX-T Distributed Firewall (DFW) para la macrosegmentación (zonas de seguridad) y la microsegmentación. Distributed Firewall proporciona visibilidad y aplicación completas Este-Oeste de capa 2 a capa 7 con formulación de directivas automatizada. Funciona tanto en servidores físicos como en máquinas virtuales en ESXi y no se requieren cambios en la red física. Mediante el uso de DFW, es posible segmentar en cualquier materia que se desee. Existen cuatro tipos básicos de segmentación, muchos de los cuales pueden coexistir, cada uno aplicado en diferentes secciones del entorno.

  • Segmentación de zona: la segmentación de zonas puede ser tan general como segmentar la producción de la no producción, o puede ser una segmentación mucho más detallada por unidad de negocio, función u oferta de productos. El punto es que cada zona se define de forma independiente de segmentos, VLAN, centros de datos u otras construcciones. Las zonas son definiciones totalmente lógicas que se pueden utilizar para definir la directiva de seguridad.
  • Segmentación de VLAN: la segmentación de VLAN se utiliza con mayor frecuencia reemplazando la infraestructura de firewall heredada. En este modelo, un segmento de IP es el elemento que define un origen o un destino de la directiva de seguridad.
  • Segmentación de aplicaciones: la segmentación de aplicaciones se utiliza para definir un anillo de seguridad lógico en torno a una aplicación. Como es frecuente que las aplicaciones no se comprendan en detalle, puede ser conveniente simplemente definir una etiqueta para una aplicación determinada, aplicar esta etiqueta a todos sus componentes y permitir la comunicación completa entre dichos elementos. Esto aporta mayor seguridad que una definición de zona grande que puede tener varias aplicaciones, sin necesidad de comprender detalladamente la microsegmentación.
  • Microsegmentación: la microsegmentación es un modelo de seguridad en el que la comunicación entre elementos se define de la forma más explícita posible. En su extremo, la microsegmentación puede ser la definición explícita de comunicación entre elementos emparejados. Claramente, esto es operativamente complejo, por lo que NSX ofrece microsegmentación basada en etiquetas que permite la definición explícita por grupos. Por ejemplo, puede definir una regla que permita SSL, pero solo TLS versión 1.3, para los servidores web seguros etiquetados. Según las necesidades de su organización, puede segmentar cada una de estas formas en diferentes áreas.

Con NSX-T, todos estos enfoques de segmentación no son exclusivos, pero pueden coexistir. Puede decidir segmentar un laboratorio en un modelo de zona simplemente configurando un límite a su alrededor y un entorno de DMZ en una microsegmentación. Puede segmentar entornos que no sean de producción solo por aplicaciones, mientras que puede segmentar aún más las aplicaciones de producción que contienen datos confidenciales del cliente mediante VLAN. El cambio de un modelo de seguridad a otro se logra mediante un envío push de directiva simple, sin necesidad de volver a diseñar ninguna infraestructura de red.