Isolamento di rete

L’isolamento rappresenta il fondamento della maggior parte della sicurezza di rete, sia per quanto riguarda la conformità, il contenimento o l’isolamento degli ambienti di sviluppo, test e produzione. In genere, ACL, regole dei firewall e criteri di routing vengono utilizzati per stabilire e rafforzare isolamento e multi-tenancy. Con la virtualizzazione della rete, viene fornito un supporto specifico per queste proprietà. Grazie alla tecnologia VXLAN, le reti virtuali vengono isolate da altre reti virtuali e dall’infrastruttura fisica sottostante in modo predefinito, garantendo il principio di sicurezza del privilegio minore. Le reti virtuali vengono create in isolamento e rimangono isolate a meno che non vengano connesse in modo esplicito. Non è richiesta alcuna regola di subnet, VLAN, ACL o firewall fisico per abilitare l’isolamento.

Segmentazione di rete

La segmentazione di rete si riferisce all’isolamento, ma viene applicata in una rete virtuale multilivello. In genere, la segmentazione di rete è una funzione di un firewall o router fisico, progettata per consentire o impedire il traffico tra segmenti o livelli di rete. Quando il traffico viene segmentato tra livelli Web, di applicazione e di database, i processi di configurazione tradizionali richiedono molto tempo e sono a rischio di errore umano, comportando una grossa percentuale di violazioni della sicurezza. L’implementazione richiede competenza nella sintassi di configurazione dei dispositivi, negli indirizzi di rete e nei protocolli e porte delle applicazioni.

La virtualizzazione della rete semplifica la creazione e la verifica delle configurazioni dei servizi di rete per produrre configurazioni comprovate che possono essere distribuite e duplicate in modo programmatico attraverso la rete per eseguire la segmentazione. La segmentazione della rete, come l’isolamento, rappresenta una funzionalità di base della virtualizzazione della rete di NSX.

Microsegmentazione

La microsegmentazione isola il traffico a livello di vNIC utilizzando router e firewall di rete. Il controllo degli accessi applicato a livello di vNIC garantisce una maggiore efficienza rispetto alle regole applicate sulla rete fisica. È possibile utilizzare la microsegmentazione con un firewall distribuito NSX e un firewall distribuito di implementazione per implementare la microsegmentazione per un’applicazione a tre livelli, ad esempio, server Web, server delle applicazioni e database, dove più organizzazioni possono condividere la stessa topologia di rete logica.

Modello zero-trust

Per ottenere impostazioni di sicurezza più rigorose, è possibile applicare un modello zero-trust in fase di configurazione dei criteri di sicurezza. Il modello zero-trust impedisce l'accesso a risorse e carichi di lavoro a meno che ciò non venga permesso in modo specifico da un criterio. In questo modello, per consentire il traffico è necessario inserirlo in una white list. Assicurarsi di consentire il traffico di infrastruttura essenziale. Per impostazione predefinita, la gestione di NSX, i controller di NSX e i gateway di servizio di NSX Edge vengono esclusi dalle funzioni firewall distribuite. I sistemi vCenter Server non vengono esclusi e devono essere esplicitamente consentiti per impedire il blocco prima di applicare tale criterio.