Vous pouvez utiliser le pare-feu distribué NSX-T (DFW) pour la macro-segmentation (zones de sécurité) et la micro-segmentation. Le pare-feu distribué fournit une visibilité et une mise en œuvre L2-L7 est-ouest complètes, avec une formulation de stratégie automatisée. Il fonctionne sur les serveurs physiques et les VM sur ESXi. Les modifications du réseau physique ne sont alors pas requises. À l'aide du DFW, il est possible d'effectuer la segmentation dans tous les domaines souhaités. Il existe quatre types de segmentation de base, dont plusieurs d'entre eux peuvent coexister, chacun étant appliqué dans différentes sections de l'environnement.

  • Segmentation de zone : la segmentation de zone peut être aussi générale que celle de la production à partir d'un environnement hors production. Il peut également s'agir d'une segmentation beaucoup plus détaillée par unité commerciale, fonction ou offre de produit. Le problème est que chaque zone est définie indépendamment des segments, des VLAN, des centres de données ou d'autres constructions. Les zones sont des définitions entièrement logiques qui peuvent être utilisées pour définir une stratégie de sécurité.
  • Segmentation VLAN : la segmentation VLAN est plus couramment utilisée en remplaçant l'infrastructure de pare-feu héritée. Dans ce modèle, un segment IP est l'élément de définition d'une source ou d'une destination de la stratégie de sécurité.
  • Segmentation d'application : la segmentation d'application est utilisée pour définir un anneau de sécurité logique autour d'une application. Étant donné que les applications ne sont pas souvent comprises en détail, il peut être pratique de définir simplement une balise pour une application donnée, d'appliquer cette balise à tous ses composants et d'autoriser une communication complète entre les éléments mentionnés. Cela apporte plus de sécurité qu'une définition de grande zone qui peut comporter plusieurs applications, sans nécessiter de compréhension détaillée pour la micro-segmentation.
  • Micro-segmentation : la micro-segmentation est un modèle de sécurité dans lequel la communication entre les éléments est définie aussi explicitement que possible. À l'extrême, la micro-segmentation peut être la définition explicite de la communication entre les éléments par paires. Cela est clairement complexe d'un point de vue opérationnel. De cette façon, NSX propose une micro-segmentation basée sur des balises qui permet une définition explicite par groupes. Par exemple, vous pouvez définir une règle qui autorise SSL, mais uniquement TLS version 1.3 sur les serveurs Web sécurisés balisés. En fonction des besoins de votre organisation, vous pouvez segmenter chacun de ces modes dans différentes zones.

Avec NSX-T, toutes ces approches de segmentation ne sont pas exclusives, mais peuvent coexister. Vous pouvez décider de segmenter un laboratoire dans un modèle de zone en configurant simplement une limite autour de celui-ci et un environnement DMZ dans une micro-segmentation. Vous pouvez segmenter les environnements hors production uniquement par applications, tandis que vous pouvez segmenter davantage les applications de production contenant des données clientes sensibles à l'aide du VLAN. Le passage d'un modèle de sécurité à un autre s'effectue via un transfert de stratégie simple, sans devoir recréer l'architecture d'une infrastructure de mise en réseau.