매크로 세분화(보안 영역) 및 마이크로 세분화에 NSX DFW(분산 방화벽l)를 사용할 수 있습니다. 분산 방화벽은 자동화된 정책 구문을 통해 완전한 L2-L7 East-West 가시성 및 적용을 제공합니다. ESXi의 물리적 서버 및 VM에서 모두 작동하며 물리적 네트워크를 변경하지 않아도 됩니다. DFW를 사용하면 원할 경우 언제든지 세그먼트를 분할할 수 있습니다. 4가지 기본 세분화 유형이 있으며 여러 유형을 함께 사용할 수 있으며 각 유형은 환경의 여러 섹션에 적용됩니다.
- 영역 세분화: 영역 세분화는 비운영 환경에서 운영 환경을 세분화하는 것만큼 일반적이거나 사업부, 직능 또는 제품에 따른 훨씬 더 세부적인 세분화일 수 있습니다. 각 영역은 세그먼트, VLAN, 데이터 센터 또는 기타 구성체와는 독립적으로 정의됩니다. 영역은 보안 정책을 정의할 때 사용할 수 있는 완전히 논리적인 정의입니다.
- VLAN 세분화: VLAN 세분화는 가장 일반적으로 레거시 방화벽 인프라를 대신해서 사용됩니다. 이 모델에서 IP 세그먼트는 보안 정책의 소스 또는 대상의 정의 요소입니다.
- 애플리케이션 세분화: 애플리케이션 세분화는 애플리케이션 주위의 논리적 보안 링을 정의할 때 사용됩니다. 애플리케이션을 상세히 이해하지 못하는 경우가 많으므로 지정된 애플리케이션에 태그를 정의한 다음 이 태그를 모든 구성 요소에 적용하여 해당 요소 간의 완전한 통신을 허용하는 것이 편리할 수 있습니다. 이렇게 하면 마이크로 세분화에 관한 자세한 이해 없이도 여러 애플리케이션을 포함할 수 있는 큰 영역 정의보다 보안이 향상됩니다.
- 마이크로 세분화: 마이크로 세분화는 요소 간의 통신이 가능한 한 명시적으로 정의된 보안 모델입니다. 극단적일 수 있지만 마이크로 세분화를 쌍으로 구성된 요소 간 통신에 대한 명시적 정의로 볼 수 있습니다. 이러한 방식은 운영상 복잡하므로 NSX는 태그를 기준으로 마이크로 세분화를 제공하여 그룹별 명시적 정의를 허용할 수 있습니다. 예를 들어 태그가 지정된 보안 웹 서버에 SSL은 허용하지만 1.3 버전인 TLS만 허용하는 규칙을 정의할 수 있습니다. 조직의 요구 사항에 따라 이러한 각 방식을 서로 다른 영역으로 세분화할 수 있습니다.
NSX를 사용할 경우 이러한 모든 세분화 접근 방식은 배타적이지 않고 공존할 수 있습니다. 마이크로 세분화에서는 간단히 영역 모델 주위의 경계와 DMZ 환경을 설정하여 영역 모델에서 랩을 세분화하도록 결정할 수 있습니다. 비운영 환경은 애플리케이션만을 기준으로 세분화할 수 있지만 중요한 고객 데이터가 포함된 운영 애플리케이션은 VLAN을 사용하여 추가로 세분화할 수 있습니다. 하나의 보안 모델을 다른 보안 모델로 변경하는 작업은 네트워킹 인프라를 다시 설계할 필요 없이 간단한 정책 푸시를 통해 수행할 수 있습니다.