IT-Град логотип
Мобильное меню Мобильное меню

Виртуализация сети с VMware NSX

Технологии
Екатерина Юдина
05.02.2021
Количество просмотров
6079
Анонс VMware NSX состоялся в августе 2013 года, и за прошедшее с момента выпуска первой версии время решение успело зарекомендовать себя как проверенный инструмент виртуализации сети и обеспечения сетевой безопасности для программного ЦОД. Сегодня мы расскажем, как появилось решение, обсудим его функционал и возможности, а также коснемся истории и эволюции.

VMware NSX как часть концепции программно-определяемого ЦОД

Как могли догадаться наши постоянные читатели, VMware NSX был представлен на конференции VMworld 2013. Тогда VMware продемонстрировала свое видение ЦОД будущего, согласно которому дата-центр должен был быть программно-определяемым, а слой ПО — полностью абстрагирован от аппаратного. Иными словами, почти восемь лет назад VMware озвучила актуальную для нашего времени тенденцию: непосредственно оборудование дата-центра выполняет роль фундамента, а все функции управления реализуются на уровне программного обеспечения.

Одним из четырех направлений концепции стали программно-определяемые сети, за построение которых и отвечает VMware NSX.

Эволюция безопасности сетей

Ранее за безопасность в облаке на базе VMware отвечало другое решение вендора — vCloud Networking and Security. Продукт позиционировался как универсальный инструмент по обеспечению безопасности для vSphere и в итоге сыграл важную роль в создании VMware NSX: рассматриваемая сегодня платформа появилась на базе двух продуктов — непосредственно vCNS и приобретенного Nicira NVP.

Сегодня программный подход к сетям позволяет операторам ЦОД достичь высокого уровня безопасности и адаптивности, что практически невозможно реализовать, когда сети дата-центра жестко привязаны к аппаратному уровню.

Ключевые возможности VMware NSX

Микросегментация

За реализацию микросегментации в продукте отвечает распределенный файрвол. Он позволяет точечно управлять политиками безопасности для конкретных рабочих нагрузок — приложений и отдельных ВМ. Микросегментация сети также существенно снижает риск распространения угроз внутри ЦОД по горизонтали.

Быстрая инициализация сети

Ограничения физических сетей и средств безопасности привязывали динамичную виртуальную среду к узкоспециализированному оборудованию, что создавало препятствия для оптимизации сетевой архитектуры и снижает эффективность использования ресурсов. С VMware NSX время инициализации сети снижается с нескольких дней или даже недель буквально до секунд. Сетевые службы инициализируются программно при развертывании виртуальных машин и перемещаются вместе с ними, а используемые приложения продолжают работать без каких-либо модификаций, воспринимая виртуальную сеть как обычную физическую.

Перемещение рабочих нагрузок

VMware NSX позволяет оперативно перемещать как сами ВМ, так и связанные с ними политики внутри одного дата-центра и между разными ЦОД вне зависимости от того, как реализована топология физической сети. При этом NSX предотвращает нарушение их работы, поддерживает схемы active-active и DR-сценарии.

Сценарии использования

Обеспечение безопасности ЦОД

Благодаря возможностям микросегментации VMware NSX позволяет разделить ЦОД на множество сегментов безопасности вплоть до уровня конкретной рабочей нагрузки вне зависимости от того, где она выполняется, а также настраивать для каждой рабочей нагрузки политики безопасности на основе контекста пользователей и приложений. Это обеспечивает мгновенное реагирование на угрозы внутри ЦОД и снижает риск их горизонтального распространения даже после проникновения во внутрь периметра.

Автоматизация жизненного цикла приложений

Виртуализация сетевых служб и служб безопасности позволяет автоматизировать весь жизненный цикл приложений. С разработчиков снимается часть задач по развертыванию приложений и их эксплуатации, поэтому у специалистов появляется больше возможностей для оперативного реагирования на потребности бизнеса.

Миграция сервисов и приложений

VMware NSX реализует концепцию SDDC: отделяет уровень сети от уровня физического оборудования и связывает политики безопасности с соответствующими рабочими нагрузками. Это позволяет:

  • оперативно перемещать приложения и сервисы между разными ЦОД;
  • реплицировать данные на удаленные площадки для реализации DR-сценариев;
  • развертывать приложения в гибридных средах без взаимодействия с физическими сетями.

Гибкая настройка сетей и политик безопасности приложений

Компоненты VMware NSX включают полноценный набор инструментов и служб для обеспечения безопасности и контроля сетевого взаимодействия. В целом решение предлагает следующие возможности:

  • динамическая маршрутизация между виртуальными сетями;
  • балансировка нагрузки;
  • коммутация;
  • распределенный брандмауэр;
  • VPN;
  • шлюз NSX;
  • микросегментация с учетом контекста;
  • управление сетями и безопасностью в разных средах и ЦОД;
  • управление эксплуатацией — интерфейс командной строки, трассировка, SPAN и IPFIX для проактивного мониторинга инфраструктуры и устранения неисправностей.

VMware NSX также позволяет интегрировать множество дополнительных инструментов:

  • любые платформы управления и системы автоматизации через RESTful API;
  • vRealize Automation и OpenStack;
  • vRealize® Operations™ и vRealize Log Insight;
  • сторонние решения — брандмауэры, системы IDS/IPS, антивирусные средства, инструменты визуализации и пр.

Never trust, always verify

При обеспечении безопасности ЦОД немало внимания уделяется модели защищенного периметра. Однако необходимо понимать, что более 70% сетевого трафика ЦОД приходится на east-west трафик.

Чтобы проникнуть внутрь периметра, злоумышленники, как правило, атакуют наименее защищенные системы, а потом используют их для распространения угрозы внутри ЦОД по горизонтали.

Один из самых эффективных методов борьбы с такими атаками — реализация модели «Zero Trust Security». Кратко суть концепции нулевого доверия можно описать так:

  • в сети не существует доверенных сегментов и объектов;
  • для доступа к ресурсам используется подход минимальных привилегий и явного разрешения;
  • независимо от размещения ресурсов доступ к ним должен быть прозрачным и безопасным;
  • весь трафик в ЦОД контролируется и анализируется.

Именно этот подход и позволяет реализовать VMware NSX. Каждую ВМ можно заключить в отдельный сегмент безопасности. Микросегментация, о которой мы говорили выше, реализует принципы «нулевого доверия» и обеспечивает высокий уровень защищенности для каждой рабочей нагрузки.

Не нужно быть аналитиком, чтобы понять, как сильно увеличилось количество кибератак за последние несколько месяцев. В связи с этим мы хотели бы напомнить вам, что обеспечение безопасности — комплексный процесс, и, даже выбирая надежного провайдера, нужно всегда быть начеку.Необходимо регулярно анализировать и повышать уровень защищенности корпоративных систем, изучать доступные на рынке средства и внедрять их в тех случаях, когда это соответствует целям и задачам вашего бизнеса.

Средняя оценка: 0, всего оценок: 0
Поделиться
Telegram Icon Vk Icon

Только полезные материалы в нашей рассылке

Ошибка подписки

Похожие статьи

Тенденции
Как использовать облака, не нарушая законы Российской Федерации
18.04.2017
Количество просмотров
5277

Как использовать облака, не нарушая законы Российской Федерации

Используя облачные технологии, клиенты зачастую сталкиваются с недопониманием требований, предъявляемых к местонахождению технических средств защиты, обязанностей со стороны заказчика и применимости закона к той или иной организации. Каким образом устанавливаются территориальные ограничения, какие изменения сегодня происходят на законодательном уровне? На эти и другие вопросы ответим в статье.
Первые шаги
Чек-лист по выбору облачного сервис-провайдера
15.04.2020
Количество просмотров
6989

Чек-лист по выбору облачного сервис-провайдера

За осознанием потребности во внедрении облачных сервисов, как правило, идет выбор облачного провайдера. Как выбрать надежного поставщика из всего разнообразия рынка? По каким критериям проверить кандидата? 
Процессы
Как мы проходили аудит Cisco Powered Cloud для IaaS-услуг
13.10.2016
Количество просмотров
3911

Как мы проходили аудит Cisco Powered Cloud для IaaS-услуг

Сегодня вендоры предлагают различные программы сертификации, участие в которых дает компаниям возможность получения новых статусов, подтверждающих глубокие знания по конкретной технологии или группе продуктов.
Закрыть модальное окно

Ошибка отправки заявки

Ваше обращение приняли

Скоро наш менеджер свяжется с вами.
А пока вы можете изучить интересные материалы в нашем блоге.

Подписка оформлена

Скоро отправим вам уведомление о новых материалах.