VMware NSX integra la sicurezza nell'infrastruttura di virtualizzazione della rete. Esistono molti servizi integrati che fanno parte di NSX e che migliorano la sicurezza. I team di sicurezza possono proteggere il traffico del data center attraverso carichi di lavoro virtuali, fisici, containerizzati e cloud. Le funzionalità di sicurezza sono sempre presenti nell'infrastruttura e sono rapidamente configurabili. Inoltre, nessuno può manomettere i controlli di sicurezza perché risiedono nell'hypervisor, per separare efficacemente i controlli dai carichi di lavoro.
I carichi di lavoro sono disponibili in vari fattori modulo, come macchine virtuali, container e server fisici. I carichi di lavoro sono inoltre ospitati in ambienti diversi, ad esempio localmente, in cloud nativo o in cloud gestito. L'eterogeneità del fattore modulo del carico di lavoro e del tipo di distribuzione rappresenta un'ulteriore sfida per le organizzazioni per quanto riguarda copertura della sicurezza, coerenza dei criteri, numero di piattaforme da gestire e semplicità operativa generale. Il requisito di un'organizzazione è disporre di una piattaforma operativamente semplice che fornisca criteri coerenti su macchine virtuali, container, server fisici e carichi di lavoro in cloud nativo senza compromettere la sicurezza dell'applicazione e dei dati.
NSX ha un'architettura distribuita. I controlli di applicazione della sicurezza si trovano nell'interfaccia della rete virtuale di ciascun carico di lavoro e forniscono un meccanismo granulare per controllare i flussi di traffico. Non esiste un'appliance centralizzata che limiti la capacità di sicurezza e non è necessario far in modo che il traffico di rete punti in modo artificiale a uno stack di sicurezza della rete. Poiché NSX è integrato nell'infrastruttura di virtualizzazione, riesce a controllare tutte le applicazioni e i carichi di lavoro. NSX utilizza questa visibilità per ricavare un contesto di applicazione approfondito, monitorare attentamente il ciclo di vita dei carichi di lavoro e automatizzare la gestione dei criteri di sicurezza.
Il firewall distribuito (DFW) NSX è un firewall interno distribuito a scalabilità orizzontale che protegge tutto il traffico est-ovest attraverso tutti i carichi di lavoro senza modifiche della rete, semplificando drasticamente il modello di distribuzione della sicurezza. Include un firewall L4-L7 di tipo stateful, un sistema di rilevamento/prevenzione delle intrusioni (IDS/IPS), sandbox di rete e analisi del traffico di rete basato sul comportamento. Con NSX Firewall è possibile proteggere il traffico del data center in carichi di lavoro virtuali, fisici, containerizzati e cloud da minacce interne ed evitare i danni da minacce che superano il perimetro di rete.
Viene creata una nuova istanza del firewall del gateway NSX per ciascun gateway. Il firewall è supportato a livello 0 e a livello 1. Il firewall del gateway fornisce servizi di firewall e altri servizi che non possono essere distribuiti, ad esempio NAT, DHCP, VPN e bilanciamento del carico, e richiedono il componente del router dei servizi del gateway. Il firewall del gateway funziona indipendentemente da NSX DFW dal punto di vista della configurazione e dell'imposizione dei criteri, anche se è possibile condividere oggetti da DFW.
NSX Intelligence, una soluzione di analisi della sicurezza e di gestione dei criteri, determina automaticamente i modelli di comunicazione tra tutti i tipi di carichi di lavoro, crea consigli sui criteri di sicurezza in base a tali modelli e verifica che i flussi di traffico siano conformi ai criteri distribuiti.
