Администраторы SDDC настраивают функции NSX, чтобы обеспечить сетевую изоляцию и сегментирование в центре обработки данных.

Сетевая изоляция

Изоляция — это основа сетевой безопасности, которая обеспечивает соблюдение требований, политику сдерживания и изоляцию среды разработки, среды тестирования и производственной среды. Обычно для настройки и обеспечения изоляции и мультитенатности используются списки управления доступом (ACL), правила брандмауэра и политики маршрутизации. Эти возможности изначально обеспечивает виртуализация сети. При использовании технологии VXLAN виртуальные сети по умолчанию изолируются от других виртуальных сетей и от базовой физической инфраструктуры, обеспечивая принцип безопасности наименьшего уровня привилегий. Виртуальные сети создаются в изоляции и остаются изолированными, если они явно не связаны между собой. Для включения изоляции не требуются физические подсети, виртуальные локальные сети (VLAN), списки управления доступом или правила брандмауэра.

Сегментация сети

Сегментирование сети связано с изоляцией, но оно применяется к виртуальной сети из нескольких уровней. Обычно сегментирование сети является функцией физического брандмауэра или маршрутизатора, которая используется, чтобы разрешить или запретить трафик между сегментами или уровнями сети. Во время сегментирования трафика между Интернетом, приложениями и уровнями базы данных традиционные процессы конфигурации отнимают много времени и подвержены ошибкам, вызванным человеческим фактором, что приводит к значительному увеличению количества случаев нарушения безопасности. Для реализации сегментирования требуются специальные знания о синтаксисе конфигурации устройств, сетевой адресации, а также портах и протоколах приложений.

Виртуализация сети упрощает построение и тестирование конфигураций сетевых служб для создания проверенных конфигураций, которые можно программно развернуть и дублировать по всей сети для обеспечения сегментирования. Сегментирование сети, как и изоляция, — это основная возможность виртуализации сети NSX.

Микросегментирование

Микросегментирование изолирует трафик на уровне виртуального сетевого адаптера (vNIC) с помощью распределенных маршрутизаторов и распределенных брандмауэров. Использование элементов управления доступом на уровне виртуального сетевого адаптера более эффективно по сравнению с правилами, применяемыми в физической сети. Вы можете использовать микросегментирование с распределенными брандмауэрами и распределенными брандмауэрами реализации NSX, чтобы применить микросегментирование для трехуровневого приложения, например веб-сервера, сервера приложений и базы данных, в котором несколько организаций могут совместно использовать одну и ту же топологию логической сети.

Модель с нулевым доверием

Чтобы установить самые строгие параметры безопасности, используйте модель с нулевым доверием во время настройки политик безопасности. Модель с нулевым доверием отказывает в доступе ресурсам и рабочим нагрузкам, если доступ специально не разрешен политикой. При использовании этой модели доступ предоставляется только трафику из белого списка. Не забудьте разрешить доступ трафику основной инфраструктуры. По умолчанию шлюзы служб NSX Manager, NSX Controller и NSX Edge исключены из функций распределенного брандмауэра. Системы vCenter Server не исключены и, чтобы избежать блокировки, должны быть явно разрешены, прежде чем будет применена эта политика.