SDDC-beheerders configureren functies van NSX zodanig dat netwerkisolatie en segmentatie in het datacenter worden gegarandeerd.
Netwerkisolatie
Isolatie is de basis voor de meeste vormen van netwerkbeveiliging, of het nu gaat om naleving, containment of isolatie van ontwikkeling, test- en productieomgevingen. Traditioneel worden ACL's, firewallregels en routeringsbeleidsregels gebruikt voor het instellen en handhaven van isolatie en meerdere tenants. Met netwerkvirtualisatie worden deze eigenschappen inherent ondersteund. Door middel van VXLAN-technologie worden virtuele netwerken standaard geïsoleerd van andere virtuele netwerken en van de onderliggende fysieke infrastructuur, waardoor een beveiligingsprincipe wordt toegepast op basis van minimale bevoegdheden. Virtuele netwerken worden geïsoleerd gecreëerd en blijven geïsoleerd tenzij er een expliciete verbinding is gemaakt. Er zijn geen fysieke subnetten, VLAN's, ACL's of firewallregels nodig om isolatie mogelijk te maken.
Netwerksegmentatie
Netwerksegmentatie is verwant aan isolatie, maar wordt toegepast in een meerlagig virtueel netwerk. Netwerksegmentatie is van oorsprong een functie van een fysieke firewall of router die is ontworpen om verkeer toe te staan of weigeren tussen netwerksegmenten of -lagen. Bij het segmenteren van verkeer tussen web, toepassing en databaselagen zijn traditionele configuratieprocessen tijdrovend en zeer gevoelig voor menselijke fouten, wat resulteert in een hoog percentage beveiligingslekken. Implementatie vereist expertise op het gebied van apparaatconfiguratie-syntaxis, netwerkadressering en toepassingspoorten en -protocollen.
Netwerkvirtualisatie vereenvoudigt het bouwen en testen van configuraties van netwerkservices voor de levering van beproefde configuraties die programmatisch in het netwerk kunnen worden geïmplementeerd en gedupliceerd om segmentatie toe te passen. Netwerksegmentatie is net als isolatie een kerncapaciteit van NSX-netwerkvirtualisatie.
Microsegmentatie
Microsegmentatie isoleert verkeer op het vNIC-niveau door het gebruik van gedistribueerde routers en firewalls. Toegangsbeheer op vNIC-niveau vergroot de efficiency ten opzichte van regels die op het fysieke netwerk zijn geïmplementeerd. U kunt microsegmentatie gebruiken met een NSX gedistribueerde firewall en binnen de implementatie gedistribueerde firewall om microsegmentatie toe te passen voor een drielaagse toepassing, bijvoorbeeld webserver, toepassingsserver en database waarbij meerdere organisaties dezelfde logische netwerktopologie kunnen delen.
Zero-trust-model
Om de strengste beveiligingsinstellingen te realiseren moet een zero-trust-model worden toegepast bij de configuratie van beveiligingsbeleidsregels. Een zero-trust-model geeft geen toegang tot resources en workloads tenzij dit specifiek is toegestaan door een beleid. In dit model moet verkeer op de goedgekeurde lijst staan om te zijn toegestaan. Zorg ervoor dat essentieel infrastructuurverkeer is toegestaan. Standaard zijn NSX Manager, NSX Controllers en NSX Edge-servicegateways uitgesloten van gedistribueerde firewallfuncties. vCenter Server-systemen zijn niet uitgesloten en moeten voor het toepassen van een dergelijk beleid expliciet worden toegestaan ter voorkoming van uitsluiting.