NSX fournit un ensemble complet d'éléments réseau logiques, de protocoles de limite et de services de sécurité pour organiser et gérer vos réseaux virtuels. L'installation d'un plug-in NSX sur vCenter Server vous donne un contrôle centralisé pour créer et gérer des composants et des services NSX à l'échelle de votre centre de données.
Pour en savoir plus sur les descriptions des fonctionnalités et capacités, reportez-vous au Guide d'administration de NSX.
VMware NSX Edge
Fournit un routage vertical centralisé entre les réseaux logiques déployés dans des domaines NSX et l'infrastructure de réseau physique externe. NSX Edge prend en charge les protocoles de routage dynamique tels que OSPF (Open Shortest Path First), iBGP (Internal Border Gateway Protocol) et eBGP (External Border Gateway Protocol), et peut utiliser le routage statique. La capacité de routage prend en charge les services avec état actif/en veille et le routage ECMP (Equal-Cost Multipath). NSX Edge fournit également des services Edge standard tels que la traduction d'adresses réseau (NAT, Network Address Translation), l'équilibrage de charge, le réseau privé virtuel (VPN, virtual private network) et les services de pare-feu.
Commutation logique
Les commutateurs logiques NSX fournissent des réseaux logiques L2 mettant en œuvre l'isolation entre les charges de travail sur différents réseaux logiques. Les commutateurs virtuels distribués peuvent couvrir plusieurs hôtes ESXi dans un cluster sur une structure L3 en utilisant la technologie VXLAN, ajoutant ainsi l'avantage d'une gestion centralisée. Vous pouvez contrôler l'étendue de l'isolation en créant des zones de transport à l'aide de vCenter Server et en attribuant des commutateurs logiques aux zones de transport en fonction des besoins.
Routage distribué
Le routage distribué est fourni par un élément logique nommé routeur logique distribué (DLR, Distributed Logical Router). Le DLR est un routeur disposant d'interfaces directement connectées à tous les hôtes pour lesquels une connectivité de machines virtuelles est requise. Les commutateurs logiques sont connectés à des routeurs logiques pour fournir une connectivité L3. La fonction de supervision, le plan de contrôle servant à contrôler le transfert, est importée à partir d'une machine virtuelle de contrôle.
Pare-feu logique
La plate-forme NSX prend en charge les fonctions critiques suivantes pour la sécurisation des charges de travail multiniveau.
- Prise en charge native de la capacité de pare-feu logique, qui fournit une protection avec état de charges de travail multiniveau.
- Prise en charge de services de sécurité et d'insertion de services multifournisseurs (par exemple, analyse antivirus) pour la protection de la charge de travail des applications.
La plate-forme NSX inclut un service de pare-feu centralisé offert par la passerelle de services NSX Edge (ESG, Edge Services Gateway), et un pare-feu distribué (DFW, distributed firewall) activé dans le noyau en tant que module VIB sur tous les hôtes ESXi faisant partie d'un domaine NSX donné. Le DFW fournit le pare-feu avec des performances de débit proches de celles de la ligne, la virtualisation, la reconnaissance de l'identité, la surveillance des activités, la journalisation et d'autres fonctionnalités de sécurité réseau spécifiques à la virtualisation réseau. Vous configurez ces pare-feu pour filtrer le trafic au niveau vNIC de chaque machine virtuelle. Cette flexibilité est essentielle pour créer des réseaux virtuels isolés, même pour les machines virtuelles individuelles si ce niveau de détail est requis.
Utilisez vCenter Server pour gérer les règles de pare-feu. Le tableau de règles est organisé en sections, chaque section constituant une stratégie de sécurité particulière pouvant être appliquée à des charges de travail spécifiques.
Groupes de sécurité
NSX fournit les critères du mécanisme de groupement pouvant inclure les éléments suivants.
- Des objets vCenter Server, telles que des machines virtuelles, des commutateurs distribués et des clusters.
- Des propriétés de machines virtuelles, telles que des vNIC, des noms de machines virtuelles et des systèmes d'exploitation de machines virtuelles
- Des objets NSX, notamment des commutateurs logiques, des balises de sécurité et des routeurs logiques
Les mécanismes de groupement peuvent être statiques ou dynamiques, et un groupe de sécurité peut être n'importe quelle combinaison d'objets, notamment toute combinaison d'objets vCenter, d'objets NSX, de propriétés de machines virtuelles ou d'objets du gestionnaire d'identité, tels que des groupes AD. Un groupe de sécurité dans NSX est basé sur tous les critères statiques et dynamiques avec les critères d'exclusion statique définis par un utilisateur. Les groupes dynamiques grandissent et diminuent au rythme des entrées et des sorties des membres du groupe. Par exemple, un groupe dynamique peut contenir toutes les machines virtuelles qui commencent par le nom web_. Les groupes de sécurité ont plusieurs caractéristiques utiles.
- Vous pouvez attribuer plusieurs stratégies de sécurité à un groupe de sécurité.
- Un objet peut appartenir à plusieurs groupes de sécurité à la fois.
- Les groupes de sécurité peuvent contenir d'autres groupes de sécurité.
Utilisez NSX Service Composer pour créer des groupes de sécurité et appliquer des stratégies. NSX Service Composer provisionne et attribue des stratégies de pare-feu et des services de sécurité aux applications en temps réel. Des stratégies sont appliquées aux nouvelles machines virtuelles lors de leur ajout au groupe.
Balises de sécurité
Vous pouvez appliquer des balises de sécurité à toute machine virtuelle, en ajoutant un contexte sur la charge de travail, si nécessaire. Vous pouvez baser les groupes de sécurité sur des balises de sécurité. Les balises de sécurité indiquent plusieurs classifications communes.
- État de sécurité. Par exemple, vulnérabilité identifiée.
- Classification par service.
- Classification par type de données. Par exemple, données PCI.
- Type d'environnement. Par exemple, production ou développement.
- Géographie ou emplacement des machines virtuelles.
Stratégies de sécurité
Les règles de groupe des stratégies de sécurité sont des contrôles de sécurité appliqués à un groupe de sécurité créé dans le centre de données. Avec NSX vous pouvez créer des sections dans un tableau de règles de pare-feu. Les sections permettent une meilleure gestion et un meilleur groupement des règles de pare-feu. Une stratégie de sécurité spécifique est une section d'un tableau de règles de pare-feu. Cette stratégie assure la synchronisation entre les règles dans un tableau de règles de pare-feu et entre les règles écrites au moyen de la stratégie de sécurité, garantissant ainsi une mise en œuvre cohérente. Lors de l'écriture de stratégies de sécurité pour des applications ou des charges de travail spécifiques, ces règles sont organisées en sections spécifiques dans un tableau de règles de pare-feu. Vous pouvez appliquer plusieurs stratégies de sécurité à une application spécifique. L'ordre des sections lorsque vous appliquez plusieurs stratégies de sécurité détermine la préséance de l'application des règles.
Services de réseau privé virtuel
NSX fournit des services VPN nommés VPN L2 et VPN L3. Créez un tunnel VPN L2 entre une paire de périphériques NSX Edge déployés dans des sites de centre de données distincts. Créez un VPN L3 pour fournir une connectivité L3 sécurisée au réseau de centres de données à partir d'emplacements distants.
Contrôle d'accès basé sur des rôles
NSX dispose de rôles d'utilisateurs intégrés qui régulent l'accès aux ressources d'ordinateur ou de réseau au sein d'une entreprise. Les utilisateurs ne peuvent avoir qu'un seul rôle.
| Rôle | Autorisations |
|---|---|
| Administrateur d'entreprise | Opérations et sécurité de NSX. |
| Administrateur de NSX | Opérations NSX uniquement. Par exemple, installer des dispositifs virtuels, configurer des groupes de ports. |
| Administrateur de sécurité | Sécurité NSX uniquement. Par exemple, définir des stratégies de sécurité des données, créer des groupes de ports, créer des rapports pour des modules NSX. |
| Auditeur | Lecture seule. |
Intégration de partenaires
Les services des partenaires technologiques VMware sont intégrés à la plate-forme NSX dans les fonctions de gestion, de contrôle et de données pour fournir une expérience utilisateur unifiée et une intégration transparente à toute plate-forme de gestion de cloud. Pour en savoir plus, consultez : https://www.vmware.com/products/nsx/technology-partners#security.
