È possibile utilizzare il firewall distribuito (DFW) di NSX per la macrosegmentazione (aree di sicurezza) e la microsegmentazione. Il firewall distribuito offre visibilità e imposizione L2-L7 est-ovest complete, con una formulazione automatica dei criteri. Funziona sia sui server fisici che sulle macchine virtuali su ESXi e non sono necessarie modifiche alla rete fisica. Utilizzando DFW è possibile segmentare qualsiasi argomento desiderato. Esistono quattro tipi di segmentazione di base, molti dei quali possono coesistere, ognuno applicato in sezioni diverse dell'ambiente.
- Segmentazione zona: la segmentazione della zona può essere generale come la segmentazione della produzione dalla non produzione oppure può essere una segmentazione molto più dettagliata in base all'unità di business, alla funzione o all'offerta di prodotto. Il punto è che ogni zona è definita indipendentemente da segmenti, VLAN, data center o altri costrutti. Le zone sono definizioni completamente logiche che possono essere utilizzate per definire i criteri di sicurezza.
- Segmentazione VLAN: la segmentazione VLAN viene utilizzata più comunemente sostituendo l'infrastruttura del firewall legacy. In questo modello, un segmento IP è l'elemento che definisce un'origine o una destinazione del criterio di sicurezza.
- Segmentazione dell'applicazione: la segmentazione dell'applicazione viene utilizzata per definire un circuito di sicurezza logico attorno a un'applicazione. Poiché spesso non è possibile comprendere nel dettaglio le applicazioni, può essere opportuno definire semplicemente un tag per una determinata applicazione e applicarlo a tutti i componenti e consentire la comunicazione completa tra questi elementi. Ciò garantisce una maggiore sicurezza rispetto a una definizione di zona di grandi dimensioni che può avere più applicazioni, senza che sia necessario comprendere nel modo dettagliato la microsegmentazione.
- Microsegmentazione: la microsegmentazione è un modello di sicurezza in cui la comunicazione tra elementi viene definita il più esplicitamente possibile. All'estremità, la microsegmentazione può essere la definizione esplicita della comunicazione tra elementi a coppie. Chiaramente è complessa a livello operativo, quindi NSX offre la microsegmentazione basata sui tag che consente la definizione esplicita in base ai gruppi. Ad esempio, è possibile definire una regola che consenta SSL ma solo TLS versione 1.3 ai server Web sicuri con tag. In base alle esigenze della propria organizzazione, è possibile segmentare ciascuno di questi metodi in aree diverse.
Con NSX, tutti questi approcci di segmentazione non sono esclusivi ma possono coesistere. È possibile decidere di segmentare un laboratorio in un modello a zone semplicemente definendo un confine attorno ad esso e un ambiente DMZ in una microsegmentazione. È possibile segmentare gli ambienti non di produzione solo in base alle applicazioni, mentre è possibile segmentare ulteriormente le applicazioni di produzione contenenti dati sensibili dei clienti utilizzando la VLAN. Il passaggio da un modello di sicurezza a un altro viene eseguito tramite un semplice push dei criteri, senza la necessità di riprogettare l'infrastruttura di rete.