マクロセグメンテーション(セキュリティ ゾーン)とマイクロセグメンテーションに NSX-T 分散ファイアウォール (DFW) を使用できます。分散ファイアウォールは、ポリシーの設定を自動化し、L2-L7 の East-West の完全な可視化を実現します。 ESXi 上の物理サーバと仮想マシンの両方で機能しますが、物理ネットワークの変更は必要ありません。DFW を使用すると、必要に応じてセグメント化できます。セグメントには 4 つの基本的なタイプがあり、その多くは共存可能で、それぞれが環境の異なる部分に適用されます。

  • [ゾーン セグメンテーション]:ゾーン セグメンテーションは、本番環境と非本番環境の分離のような汎用的なものもありますが、ビジネス部門、機能、製品サービス別に詳細なセグメンテーションを行う場合もあります。重要な点は、各ゾーンがセグメント、VLAN、データセンター、その他の構造から独立して定義されていることです。ゾーンは完全に論理的な定義で、セキュリティ ポリシーの定義に使用できます。
  • [VLAN セグメンテーション]:VLAN セグメンテーションは、従来のファイアウォール インフラストラクチャに代わるものとしてよく使用されています。このモデルでは、IP セグメントはセキュリティ ポリシーの送信元または宛先を定義する要素となります。
  • [アプリケーション セグメンテーション]:アプリケーション セグメンテーションは、論理的なセキュリティ リングを定義するために使用されます。アプリケーションの詳細までは把握できないことが多いため、特定のアプリケーションのタグを定義して、このタグをすべてのコンポーネントに適用すると、要素間の完全な通信を簡単に許可できます。これにより、複数のアプリケーションが存在する大規模なゾーンを定義する場合よりもセキュリティを強化できます。マイクロセグメンテーションの詳細を理解する必要はありません。
  • [マイクロセグメンテーション]:マイクロセグメンテーションは、要素間の通信を可能な限り明示的に定義するセキュリティ モデルです。極端な場合、マイクロセグメンテーションでは、ペアワイズな要素間の通信を明示的に定義できます。この操作は明らかに複雑なため、NSX では、タグに基づくマイクロセグメンテーションを提供してます。これにより、グループを使用して明示的な定義を行うことができます。たとえば、SSL を許可し、タグ付けされたセキュアな Web サーバに対しては TLS バージョン 1.3 のみを許可するルールを定義できます。組織のニーズに応じて、さまざまな領域でセグメンテーションを行うことができます。

NSX-T では、これらのセグメンテーションはすべて排他的ではなく、共存が可能です。マイクロセグメンテーションで、その境界と DMZ 環境と設定するだけで、ゾーン モデルのラボをセグメント化できます。非本番環境は、アプリケーションのみでセグメント化できますが、機密性の高い顧客データを含む本番環境のアプリケーションは VLAN を使用してさらにセグメント化できます。あるセキュリティ モデルから別のセキュリティ モデルに変更する場合でも、ネットワーク インフラストラクチャを再構築する必要はなく、単純なポリシー プッシュによって実現できます。