Los administradores de un SDDC configuran las características de NSX para proporcionar segmentación y aislamiento de redes en el centro de datos.
Aislamiento de redes
El aislamiento es la base para una gran proporción de seguridad de red, independientemente de que se trate del cumplimiento, la contención o el aislamiento de entornos de desarrollo, prueba y producción. Desde siempre se usaron ACL, reglas de firewall y políticas de enrutamiento para definir y aplicar el aislamiento y la funcionalidad de varios tenants. Con la virtualización de redes, esas propiedades se admiten de manera inherente. Con la tecnología VXLAN, las redes virtuales se aíslan entre sí y de la infraestructura física subyacente de forma predeterminada para proporcionar el principio de seguridad de mínimo privilegio. Las redes virtuales se crean en el aislamiento y se mantienen aisladas a menos que se conecten explícitamente. No se requieren subredes físicas, VLAN, ACL ni reglas de firewall para habilitar el aislamiento.
Segmentación de redes
La segmentación de redes está relacionada con el aislamiento, pero se aplica en una red virtual de varios niveles. Desde siempre, la segmentación de redes ha sido una función de un enrutador o firewall físico, diseñado para permitir o denegar tráfico entre los segmentos o niveles de la red. Cuando se segmenta el tráfico entre los niveles de la Web, la aplicación y la base de datos, los procesos de configuración tradicionales son muy lentos y están sumamente expuestos al error humano. Por ende, el porcentaje de brechas en la seguridad es bastante alto. Para la implementación, hay que tener experiencia en la sintaxis de configuración de dispositivos, en las direcciones de redes y en los puertos y protocolos de aplicación.
La virtualización de redes simplifica las configuraciones de compilación y prueba de los servicios de red a fin de elaborar configuraciones comprobadas que puedan implementarse y duplicarse de manera programática en toda la red y así aplicar la segmentación. Tanto la segmentación como el aislamiento de redes son funcionalidades básicas de la virtualización de redes de NSX.
Microsegmentación
La microsegmentación aísla el tráfico al nivel de la vNIC con enrutadores y firewalls distribuidos. Los controles de acceso que se aplican en la vNIC proporcionan más eficiencia a las reglas ya aplicadas en la red física. Puede usar la microsegmentación con un firewall distribuido de implementación y un firewall distribuido de NSX para implementar la microsegmentación en una aplicación de tres niveles. Por ejemplo, servidor web, servidor de aplicación y base de datos, donde es probable que varias organizaciones compartan la misma topología de red lógica.
Modelo de confianza cero
Si desea definir la configuración de seguridad más estricta, aplique un modelo de confianza cero durante la configuración de políticas de seguridad. Un modelo de confianza cero deniega el acceso a recursos y cargas de trabajo, a menos que una política lo autorice de manera específica. En este modelo, el tráfico debe estar aprobado antes de recibir autorización. Asegúrese de autorizar el tráfico de infraestructura fundamental. De manera predeterminada, NSX Manager, NSX Controller y las puertas de enlace de servicio NSX Edge quedan excluidos de las funciones del firewall distribuido. Los sistemas vCenter Server no quedan excluidos; deben autorizarse explícitamente para evitar un bloqueo antes de aplicar esa política.