NSX ofrece un completo conjunto de elementos de red lógicos, protocolos de límites y servicios de seguridad para organizar y administrar las redes virtuales. La instalación de un complemento de NSX en vCenter Server le ofrece un control centralizado para crear y administrar componentes y servicios de NSX en su centro de datos.
Consulte la Guía del administrador de NSX para ver descripciones de las funciones y las características.
VMware NSX Edge
Proporciona enrutamiento norte-sur centralizado entre las redes lógicas implementadas en los dominios de NSX y la infraestructura de red física externa. NSX Edge admite los protocolos de enrutamiento dinámico, como Open Shortest Path First (OSPF), internal Border Gateway Protocol (iBGP) y external Border Gateway Protocol (eBGP), y puede usar el enrutamiento estático. La funcionalidad de enrutamiento admite los servicios con estado activo-en espera y el enrutamiento de varias rutas de igual coste (ECMP). NSX Edge también proporciona servicios perimetrales estándar, como los servicios de traducción de direcciones de red (NAT), equilibrio de carga, red privada virtual (VPN) y firewall.
Conmutación lógica
Los conmutadores lógicos de NSX proporcionan redes lógicas L2 que aplican el aislamiento entre las cargas de trabajo en las distintas redes lógicas. Los conmutadores distribuidos virtuales pueden abarcar varios hosts ESXi en un clúster en un tejido L3 mediante la tecnología VXLAN, lo que agrega la ventaja de la administración centralizada. Puede controlar el ámbito de aislamiento creando zonas de transporte con vCenter Server y asignando conmutadores lógicos a las zonas de transporte cuando sea necesario.
Enrutamiento distribuido
El enrutamiento distribuido lo proporciona un elemento lógico denominado enrutador lógico distribuido (DLR). El DLR es un enrutador con interfaces conectadas directamente a todos los hosts en los que se requiere conectividad con máquinas virtuales. Los conmutadores lógicos se conectan a los enrutadores lógicos para proporcionar conectividad L3. La función de supervisión, el plano de control para controlar el enrutamiento, se importa desde una máquina virtual de control.
Firewall lógico
La plataforma NSX admite las siguientes funciones críticas para asegurar las cargas de trabajo de varios niveles.
- Compatibilidad nativa con la funcionalidad de firewall lógico, que proporciona protección con estado de las cargas de trabajo de varios niveles.
- Compatibilidad con los servicios de seguridad de varios proveedores y la inserción de servicios (por ejemplo, la exploración de antivirus) para la protección de cargas de trabajo de aplicaciones.
La plataforma NSX incluye un servicio de firewall centralizado ofrecido por la puerta de enlace de servicios de NSX Edge (ESG) y un firewall distribuido (DFW) habilitado en el kernel como paquete de VIB en todos los hosts de ESXi que formen parte de un dominio determinado de NSX. El DFW proporciona firewall con rendimiento de tasa por línea, virtualización, reconocimiento de identidades, supervisión de actividad, registro y otras funciones de seguridad de red nativas en la virtualización de red. Configure estos firewalls para filtrar el tráfico en el nivel de vNIC de cada máquina virtual. Esta flexibilidad es fundamental para crear redes virtuales aisladas, incluso para máquinas virtuales individuales si ese nivel de detalle es necesario.
Use vCenter Server para administrar reglas de firewall. La tabla de reglas está organizada como secciones en las que cada sección constituye una directiva de seguridad específica que se puede aplicar a cargas de trabajo específicas.
Grupos de seguridad
NSX proporciona criterios de mecanismos de agrupación que pueden incluir cualquiera de los siguientes elementos.
- Objetos de vCenter Server, como máquinas virtuales, conmutadores distribuidos y clústeres
- Propiedades de las máquinas virtuales, como los vNIC, los nombres de las máquinas virtuales y los sistemas operativos de las máquinas virtuales
- Objetos de NSX, incluidos los conmutadores lógicos, las etiquetas de seguridad y los enrutadores lógicos
Los mecanismos de agrupación pueden ser estáticos o dinámicos, y un grupo de seguridad puede ser cualquier combinación de objetos, incluida cualquier combinación de objetos de vCenter, objetos de NSX, propiedades de máquinas virtuales u objetos del administrador de identidades, como los grupos de AD. El grupo de seguridad en NSX está basado en todos los criterios estáticos y dinámicos, junto con criterios de exclusión estáticos definidos por un usuario. Los grupos dinámicos crecen y se reducen a medida que los miembros entran o salen del grupo. Por ejemplo, un grupo dinámico podría contener todas las máquinas virtuales que comiencen por el nombre web_. Los grupo de seguridad tienen varias características útiles.
- Puede asignar varias directivas de seguridad a un grupo de seguridad.
- Un objeto puede pertenecer a varios grupos de seguridad al mismo tiempo.
- Los grupos de seguridad pueden contener otros grupos de seguridad.
Use NSX Service Composer para crear grupos de seguridad y aplicar directivas. NSX Service Composer aprovisiona y asigna directivas de firewall y servicios de seguridad a las aplicaciones en tiempo real. Las directivas se aplican a las nuevas máquinas virtuales a medida que se agregan al grupo.
Etiquetas de seguridad
Puede aplicar etiquetas de seguridad a cualquier máquina virtual, agregando contexto sobre la carga de trabajo según sea necesario. Puede basar los grupos de seguridad en etiquetas de seguridad. Las etiquetas de seguridad indican varias clasificaciones comunes.
- Estado de seguridad. Por ejemplo, vulnerabilidad identificada.
- Clasificación por departamento.
- Clasificación de tipos de datos. Por ejemplo, datos de PCI.
- Tipo de entorno. Por ejemplo, producción o desarrollos.
- Geografía o ubicación de las máquinas virtuales.
Directivas de seguridad
Las reglas del grupo de directivas de seguridad son controles de seguridad que se aplican a un grupo de seguridad creado en el centro de datos. Con NSX puede crear secciones en una tabla de reglas de firewall. Las secciones permiten mejorar la administración y el agrupamiento de las reglas de firewall. Una única directiva de seguridad es una sección de una tabla de reglas de firewall. Esta directiva mantiene la sincronización entre las reglas de tuna tabla de reglas de firewall y las reglas escritas mediante la directiva de seguridad, lo que garantiza una implementación coherente. A medida que se escriben las directivas de seguridad para aplicaciones o cargas de trabajo específicas, estas reglas se organizan en secciones específicas en una tabla de reglas de firewall. Puede aplicar varias directivas de seguridad a una sola aplicación. El orden de las secciones cuando se aplican varias directivas de seguridad determina la prioridad de la aplicación de la regla.
Servicios de red privada virtual
NSX proporciona servicios de VPN denominadaos VPN L2y VPN L3. Cree un túnel VPN L2 entre un par de dispositivos de NSX Edge implementados en sitios de centros de datos distintos. Cree una VPN L3 para proporcionar conectividad L3 segura a la red del centro de datos desde ubicaciones remotas.
Control de acceso basado en funciones
NSX incluye funciones de usuario que regulan el acceso a los recurso de red o informáticos de una empresa. Los usuarios solo pueden tener un tipo de función.
| Función | Permisos |
|---|---|
| Administrador empresarial | Operaciones y seguridad de NSX. |
| Administrador de NSX | Solo operaciones de NSX. Por ejemplo, instalar dispositivos virtuales o configurar grupos de puertos. |
| Administrador de seguridad | Solo seguridad de NSX. Por ejemplo, definir directivas de seguridad de datos, crear grupos de puertos, crear informes par módulos de NSX. |
| Auditor | Solo lectura. |
Integración de partners
Los servicios de los partners de tecnología de VMware están integrados con la plataforma de NSX en las funciones de administración, control y datos para proporcionar una experiencia de usuario unificada y una integración perfecta con cualquier plataforma de administración de nube. Vea más información en: https://www.vmware.com/products/nsx/technology-partners#security
