分散ファイアウォールを使用すると、仮想マシンなどの組織仮想データセンター エンティティを仮想マシン名と属性に基づいてセグメント化できます。
VMware Cloud Director は、NSX Data Center for vSphere によってバッキングされた組織仮想データセンターで分散ファイアウォール サービスをサポートしています。NSX Data Center for vSphere のドキュメントで説明されているように、この分散ファイアウォールは、ハイパーバイザー カーネルが組み込まれたファイアウォールであり、仮想化されたワークロードとネットワークを可視化および制御できます。仮想マシン名などのオブジェクトと、IP アドレスや IP セット アドレスなどのネットワーク構成要素に基づいて、アクセス制御ポリシーを作成できます。仮想マシンが vSphere vMotion によって新しい ESXi ホストに移動しても一貫したアクセス制御が提供されるようにファイアウォール ルールは各仮想マシンの vNIC レベルで適用されます。この分散ファイアウォールはマイクロセグメンテーション セキュリティ モデルをサポートし、East-West トラフィックを回線速度とほぼ同じ処理速度で検査できます。
NSX Data Center for vSphere のドキュメントで説明されているように、レイヤー 2 (L2) パケットの場合、分散ファイアウォールはキャッシュを作成し、パフォーマンスを向上します。レイヤー 3 (L3) パケットは次の順序で処理されます。
- すべてのパケットの既存の状態がチェックされます。
- 状態の一致が見つかると、そのパケットが処理されます。
- 状態の一致が見つからない場合、そのパケットは一致が見つかるまでルールを介して処理されます。
- TCP パケットの場合、状態は、SYN フラグの付いたパケットに対してのみ設定されます。ただし、プロトコルを指定しないルール(service ANY)では、任意の組み合わせのフラグが付いた TCP パケットが一致する可能性があります。
- UDP パケットの場合、5-tuple の詳細がパケットから抽出されます。状態が状態テーブルにない場合、抽出された 5-tuple の詳細を使用して新しい状態が作成されます。その後受信したパケットは、この作成された状態と照合されます。
-
ICMP パケットの場合、ICMP タイプ、コード、およびパケットの方向を使用して状態が作成されます。
分散ファイアウォールは、ID ベースのルールの作成にも役立つ可能性があります。管理者は、企業の Active Directory (AD) で定義された、ユーザーのグループ メンバーシップに基づいてアクセス制御を適用できます。ID ベースのファイアウォール ルールの使用事例を以下にいくつか示します。
- ユーザーがラップトップやモバイル デバイスを使用して仮想アプリケーションにアクセスする。ユーザー認証には Active Directory を使用する
- ユーザーが VDI インフラストラクチャを使用して仮想アプリケーションにアクセスする。仮想マシンは Microsoft Windows ベースである
分散ファイアウォールが提供する機能の詳細については、NSX Data Center for vSphere のドキュメントを参照してください。