Isolation du réseau

L'isolation est la base de la sécurité de la plupart des réseaux, que ce soit du point de vue de la conformité, du confinement ou de l'isolation des environnements de développement, de test et de production. Traditionnellement, on a recours à des listes de contrôle d'accès, règles de pare-feu et stratégies de routage pour établir et faire respecter l'isolation et l'architecture mutualisée. Avec la virtualisation des réseaux, la prise en charge de ces propriétés est inhérente. Avec le recours à la technologie VXLAN, les réseaux virtuels sont isolés les uns des autres et de l'infrastructure physique sous-jacente par défaut, ce qui garantit le respect du principe de sécurité du « moindre privilège ». Les réseaux virtuels sont créés de façon isolée et demeurent isolés, sauf s'ils sont explicitement connectés. Aucun(e) sous-réseau, VLAN, liste de contrôle d'accès ou règle de pare-feu n'est nécessaire pour activer l'isolation.

Segmentation de réseau

La segmentation de réseau est associée à l'isolation, mais elle s'applique à un réseau virtuel multiniveau. Traditionnellement, la segmentation de réseau est une fonctionnalité d'un pare-feu ou routeur physique, conçue pour autoriser ou refuser le trafic entre des segments, ou couches, d'un réseau. Lorsque le trafic entre Internet et les couches d'applications et de bases de données est segmenté, les processus de configuration classiques prennent du temps et sont hautement sujets aux erreurs humaines, ce qui se traduit par un pourcentage élevé de failles de sécurité. La mise en œuvre requiert des compétences poussées en syntaxe de configuration de périphériques, adressage réseau et ports et protocoles d'applications.

La virtualisation des réseaux simplifie l'élaboration et les tests des configurations des services réseau afin de produire des configurations ayant fait leurs preuves, pouvant être déployées et dupliquées dans l'ensemble du réseau de façon programmée afin de faire respecter la segmentation. La segmentation de réseau, comme l'isolation, est une capacité essentielle de la virtualisation des réseaux NSX.

Micro-segmentation

La micro-segmentation isole le trafic au niveau de la carte réseau virtuelle en utilisant des routeurs distribués, ainsi que des pare-feu distribués. Les contrôles d'accès appliqués au niveau de la carte réseau virtuelle garantissent une efficacité accrue par rapport aux règles mises en œuvre sur les réseaux physiques. La micro-segmentation peut s'effectuer avec un pare-feu NSX distribué et un pare-feu à mise en œuvre distribuée pour une application à trois niveaux (par exemple, serveur Web, serveur d'application et base de données) lorsque plusieurs organisations sont susceptibles de partager la même topologie de réseau logique.

Modèle « à confiance zéro »

Pour garantir la configuration de sécurité la plus stricte, appliquez un modèle à confiance zéro à la configuration des stratégies de sécurité. Dans un modèle à confiance zéro, l'accès est refusé aux ressources et aux charges de travail, à moins que cet accès ne soit spécifiquement autorisé par une stratégie. Dans un tel modèle, le trafic doit être placé sur liste blanche pour être autorisé. Veillez à autoriser le trafic d'infrastructure essentiel. Par défaut, NSX Manager, les produits NSX Controller et les passerelles de service NSX Edge sont exclus des fonctions de pare-feu distribué. Les systèmes vCenter Server ne sont pas exclus et doivent être explicitement autorisés pour empêcher un verrouillage avant l'application d'une telle stratégie.