SDDC 管理者は、NSX の機能を構成してデータセンター内でネットワークの分離とセグメント化を実行します。
ネットワークの分離
分離は、多くのネットワーク セキュリティの基盤であり、コンプライアンス、脅威からの保護、またはテスト環境や開発環境の隔離に使用されます。従来、分離とマルチテナントを確立して実施するためには ACL、ファイアウォール ルール、およびルーティング ポリシーが使用されます。ネットワーク仮想化では、これらのプロパティのサポートが本質的に提供されます。VXLAN テクノロジーを使用すると、仮想ネットワークはデフォルトで他の仮想ネットワークや基盤となる物理インフラストラクチャから分離され、最小限の権限のセキュリティ プリンシパルが提供されます。仮想ネットワークは分離して作成され、明示的に接続されない限り分離されたままとなります。分離を有効にするのに物理サブネット、VLAN、ACL またはファイアウォール ルールは必要ありません。
ネットワークのセグメント化
ネットワークのセグメント化は分離と関係がありますが、多重階層の仮想ネットワークに適用されます。従来、ネットワークのセグメント化は物理ファイアウォールまたはルータの機能で、ネットワーク セグメントまたは階層間のトラフィックを許可または拒否するために設計されています。Web、アプリケーション、およびデータベース階層間のトラフィックをセグメント化する場合、従来の構成プロセスは時間がかかり、人為的なエラーを引き起こしやすいため、セキュリティ違反が高い確率で発生していました。実装にはデバイス構成の構文、ネットワーク アドレス、アプリケーション ポートおよびプロトコルに関する専門知識が必要です。
ネットワーク仮想化は、ネットワーク サービス構成の構築とテストを簡素化し、セグメント化を行うネットワーク全体においてプログラム制御によって展開したり複製したりできる実証済みの構成を作成します。分離などのネットワークのセグメント化は、NSX ネットワーク仮想化のコアな機能です。
マイクロセグメンテーション
マイクロセグメンテーションは、分散ルータおよび分散ファイアウォールを使用してトラフィックを vNIC レベルで分離します。アクセス制御を vNIC で適用することにより、物理ネットワーク上で実施されるルールの効率化を実現します。NSX 分散ファイアウォールを使用してマイクロセグメンテーションを使用すると、複数の組織が同じ論理ネットワーク トポロジを共有する場合、3 階層アプリケーション(例えば、Web サーバ、アプリケーション サーバ、データベースなど)に対してマイクロセグメンテーションを実装することができます。
ゼロトラスト モデル
最も厳密なセキュリティ設定を実現するには、セキュリティ ポリシーを構成する際にゼロトラスト モデルを適用します。ゼロトラスト モデルは、ポリシーによって特に許可されていない限り、リソースおよびワークロードへのアクセスを拒否します。このモデルでは、トラフィックを許可するにはそのトラフィックをホワイトリストに含める必要があります。重要なインフラストラクチャ トラフィックを許可するようにしてください。デフォルトでは、NSX マネージャ、NSX コントローラおよび NSX Edge サービス ゲートウェイは分散ファイアウォール機能から除外されます。vCenter Server システムは除外されないため、このポリシーを適用する前に明示的に許可し、ロックアウトを防ぐ必要があります。