네트워크 분리

분리는 대부분의 네트워크 보안, 규정 준수, 억제 또는 개발, 테스트 및 운영 환경 분리의 기초입니다. 일반적으로 분리 및 다중 테넌시를 설정하고 적용하는 데 ACL, 방화벽 규칙 및 라우팅 정책이 사용되었습니다. 네트워크 가상화를 통해 이러한 속성에 대한 지원이 기본 제공됩니다. VXLAN 기술을 사용하면 기본적으로 가상 시스템이 다른 가상 시스템 및 기본 물리적 인프라와 분리되어 최소 권한의 보안 원칙을 제공합니다. 가상 네트워크는 분리된 상태로 생성되며 명시적으로 연결되지 않는 한 분리된 상태로 유지됩니다. 분리를 사용하도록 설정하는 데 물리적 서브넷, VLAN, ACL 또는 방화벽 규칙이 필요하지 않습니다.

네트워크 세분화

네트워크 세분화는 분리와 관련이 있지만 다중 계층 가상 네트워크에서 적용됩니다. 일반적으로 네트워크 세분화는 네트워크 세그먼트 또는 계층 간 트래픽을 허용하거나 거부하기 위해 설계된 물리적 방화벽 또는 라우터의 기능입니다. 웹, 애플리케이션 및 데이터베이스 계층 간 트래픽을 세분화할 때 기존 구성 프로세스에 시간이 소모되고 사용자의 실수에 매우 취약하여 보안 침해 비율이 높아지게 됩니다. 또한 구현하기 위해서는 디바이스 구성 구문, 네트워크 주소 지정, 애플리케이션 포트 및 프로토콜에 대한 전문 지식이 필요합니다.

네트워크 가상화는 네트워크 서비스 구성의 구현 및 테스트를 간소화함으로써 네트워크를 통해 프로그래밍 방식으로 배포되고 중복될 수 있는 입증된 구성을 생성하여 세분화를 적용합니다. 네트워크 세분화는 분리와 마찬가지로 NSX 네트워크 가상화의 핵심 기능입니다.

미세 세분화

미세 세분화는 Distributed Router 및 Distributed Firewall을 사용하여 vNIC 수준에서 트래픽을 분리합니다. vNIC에서 적용된 액세스 제어는 물리적 네트워크에서 적용된 규칙의 효율성을 향상시킵니다. NSX Distributed Firewall 및 Implementation Distributed Firewall과 함께 미세 세분화를 사용하여 동일한 논리적 네트워크 토폴로지를 공유하는 여러 조직의 3계층 애플리케이션(예: 웹 서버, 애플리케이션 서버 및 데이터베이스)에 대한 미세 세분화를 구현할 수 있습니다.

Zero-Trust 모델

가장 엄격한 보안 설정을 달성하려면 보안 정책 구성 시 Zero-Trust 모델을 적용합니다. Zero-Trust 모델은 정책에서 명시적으로 허용하지 않는 한 리소스 및 워크로드에 대한 모든 액세스를 거부합니다. 이 모델에서는 트래픽을 허용하려면 화이트리스트에 추가해야 합니다. 필수 인프라 트래픽을 허용하십시오. 기본적으로 NSX Manager, NSX Controller 및 NSX Edge 서비스 게이트웨이는 Distributed Firewall 기능에서 제외되어 있습니다. vCenter Server 시스템은 제외되어 있지 않으며 잠금을 방지하려면 해당 정책을 적용하기 전에 명시적으로 허용해야 합니다.