Il firewall distribuito consente di segmentare le entità dei virtual data center dell'organizzazione, ad esempio le macchine virtuali, in base agli attributi e ai nomi delle macchine virtuali.
VMware Cloud Director supporta i servizi firewall distribuiti nei virtual data center dell'organizzazione supportati da NSX Data Center for vSphere. Come descritto nella documentazione di NSX Data Center for vSphere, il firewall distribuito è un firewall hypervisor integrato nel kernel che offre visibilità e controllo per le reti e i carichi di lavoro virtualizzati. È possibile creare criteri di controllo degli accessi in base a oggetti quali nomi di macchina virtuale e costrutti di rete come indirizzi IP o indirizzi di set di IP. Le regole del firewall vengono applicate a livello di vNIC di ogni macchina virtuale per garantire un controllo degli accessi coerente anche quando la macchina virtuale viene spostata in un nuovo host ESXi da vSphere vMotion. Questo firewall distribuito supporta un modello di sicurezza a micro-segmentazione in cui è possibile ispezionare il traffico orizzontale con elaborazione vicina alla velocità della linea.
Come descritto nella documentazione di NSX Data Center for vSphere, per i pacchetti di livello 2 (L2), il firewall distribuito crea una cache per l'incremento delle prestazioni. I pacchetti di livello 3 (L3) vengono elaborati nel seguente ordine:
- Tutti i pacchetti vengono controllati in base a uno stato esistente.
- Quando viene rilevata una corrispondenza di stato, i pacchetti vengono elaborati.
- Quando non viene trovata una corrispondenza di stato, i pacchetti vengono elaborati in base alle regole finché non viene trovata una corrispondenza.
- Per i pacchetti TCP, viene impostato uno stato solo per i pacchetti con contrassegno SYN. Tuttavia, le regole che non specificano un protocollo (servizio ANY) possono corrispondere ai pacchetti TCP con qualsiasi combinazione di contrassegni.
- Per i pacchetti UDP, vengono estratti dettagli quintupli dal pacchetto. Quando uno stato non è presente nella tabella di stato, viene creato un nuovo stato utilizzando i dettagli quintupli estratti. I pacchetti ricevuti successivamente vengono esaminati per trovare una corrispondenza con lo stato appena creato.
-
Per i pacchetti ICMP, per creare uno stato vengono utilizzati il tipo, il codice e la direzione del pacchetto ICMP.
Il firewall distribuito è utile anche per la creazione di regole basate sull'identità. Gli amministratori possono imporre il controllo degli accessi in base all'appartenenza al gruppo dell'utente, come definito nella Active Directory (AD) aziendale. Alcuni casi d'uso relativi all'utilizzo di regole del firewall basate sull'identità sono:
- Utenti che accedono alle applicazioni virtuali utilizzando un laptop o un dispositivo mobile in cui la Active Directory viene utilizzata per l'autenticazione dell'utente
- Utenti che accedono alle applicazioni virtuali utilizzando l'infrastruttura VDI in cui le macchine virtuali sono basate su Microsoft Windows
Per informazioni più dettagliate sulle funzionalità fornite dal firewall distribuito, vedere la documentazione di NSX Data Center for vSphere.