IT-Град логотип
Мобильное меню Мобильное меню

Виртуализация сети с VMware NSX

Технологии
Екатерина Юдина
05.02.2021
Количество просмотров
5698
Анонс VMware NSX состоялся в августе 2013 года, и за прошедшее с момента выпуска первой версии время решение успело зарекомендовать себя как проверенный инструмент виртуализации сети и обеспечения сетевой безопасности для программного ЦОД. Сегодня мы расскажем, как появилось решение, обсудим его функционал и возможности, а также коснемся истории и эволюции.

VMware NSX как часть концепции программно-определяемого ЦОД

Как могли догадаться наши постоянные читатели, VMware NSX был представлен на конференции VMworld 2013. Тогда VMware продемонстрировала свое видение ЦОД будущего, согласно которому дата-центр должен был быть программно-определяемым, а слой ПО — полностью абстрагирован от аппаратного. Иными словами, почти восемь лет назад VMware озвучила актуальную для нашего времени тенденцию: непосредственно оборудование дата-центра выполняет роль фундамента, а все функции управления реализуются на уровне программного обеспечения.

Одним из четырех направлений концепции стали программно-определяемые сети, за построение которых и отвечает VMware NSX.

Эволюция безопасности сетей

Ранее за безопасность в облаке на базе VMware отвечало другое решение вендора — vCloud Networking and Security. Продукт позиционировался как универсальный инструмент по обеспечению безопасности для vSphere и в итоге сыграл важную роль в создании VMware NSX: рассматриваемая сегодня платформа появилась на базе двух продуктов — непосредственно vCNS и приобретенного Nicira NVP.

Сегодня программный подход к сетям позволяет операторам ЦОД достичь высокого уровня безопасности и адаптивности, что практически невозможно реализовать, когда сети дата-центра жестко привязаны к аппаратному уровню.

Ключевые возможности VMware NSX

Микросегментация

За реализацию микросегментации в продукте отвечает распределенный файрвол. Он позволяет точечно управлять политиками безопасности для конкретных рабочих нагрузок — приложений и отдельных ВМ. Микросегментация сети также существенно снижает риск распространения угроз внутри ЦОД по горизонтали.

Быстрая инициализация сети

Ограничения физических сетей и средств безопасности привязывали динамичную виртуальную среду к узкоспециализированному оборудованию, что создавало препятствия для оптимизации сетевой архитектуры и снижает эффективность использования ресурсов. С VMware NSX время инициализации сети снижается с нескольких дней или даже недель буквально до секунд. Сетевые службы инициализируются программно при развертывании виртуальных машин и перемещаются вместе с ними, а используемые приложения продолжают работать без каких-либо модификаций, воспринимая виртуальную сеть как обычную физическую.

Перемещение рабочих нагрузок

VMware NSX позволяет оперативно перемещать как сами ВМ, так и связанные с ними политики внутри одного дата-центра и между разными ЦОД вне зависимости от того, как реализована топология физической сети. При этом NSX предотвращает нарушение их работы, поддерживает схемы active-active и DR-сценарии.

Сценарии использования

Обеспечение безопасности ЦОД

Благодаря возможностям микросегментации VMware NSX позволяет разделить ЦОД на множество сегментов безопасности вплоть до уровня конкретной рабочей нагрузки вне зависимости от того, где она выполняется, а также настраивать для каждой рабочей нагрузки политики безопасности на основе контекста пользователей и приложений. Это обеспечивает мгновенное реагирование на угрозы внутри ЦОД и снижает риск их горизонтального распространения даже после проникновения во внутрь периметра.

Автоматизация жизненного цикла приложений

Виртуализация сетевых служб и служб безопасности позволяет автоматизировать весь жизненный цикл приложений. С разработчиков снимается часть задач по развертыванию приложений и их эксплуатации, поэтому у специалистов появляется больше возможностей для оперативного реагирования на потребности бизнеса.

Миграция сервисов и приложений

VMware NSX реализует концепцию SDDC: отделяет уровень сети от уровня физического оборудования и связывает политики безопасности с соответствующими рабочими нагрузками. Это позволяет:

  • оперативно перемещать приложения и сервисы между разными ЦОД;
  • реплицировать данные на удаленные площадки для реализации DR-сценариев;
  • развертывать приложения в гибридных средах без взаимодействия с физическими сетями.

Гибкая настройка сетей и политик безопасности приложений

Компоненты VMware NSX включают полноценный набор инструментов и служб для обеспечения безопасности и контроля сетевого взаимодействия. В целом решение предлагает следующие возможности:

  • динамическая маршрутизация между виртуальными сетями;
  • балансировка нагрузки;
  • коммутация;
  • распределенный брандмауэр;
  • VPN;
  • шлюз NSX;
  • микросегментация с учетом контекста;
  • управление сетями и безопасностью в разных средах и ЦОД;
  • управление эксплуатацией — интерфейс командной строки, трассировка, SPAN и IPFIX для проактивного мониторинга инфраструктуры и устранения неисправностей.

VMware NSX также позволяет интегрировать множество дополнительных инструментов:

  • любые платформы управления и системы автоматизации через RESTful API;
  • vRealize Automation и OpenStack;
  • vRealize® Operations™ и vRealize Log Insight;
  • сторонние решения — брандмауэры, системы IDS/IPS, антивирусные средства, инструменты визуализации и пр.

Never trust, always verify

При обеспечении безопасности ЦОД немало внимания уделяется модели защищенного периметра. Однако необходимо понимать, что более 70% сетевого трафика ЦОД приходится на east-west трафик.

Чтобы проникнуть внутрь периметра, злоумышленники, как правило, атакуют наименее защищенные системы, а потом используют их для распространения угрозы внутри ЦОД по горизонтали.

Один из самых эффективных методов борьбы с такими атаками — реализация модели «Zero Trust Security». Кратко суть концепции нулевого доверия можно описать так:

  • в сети не существует доверенных сегментов и объектов;
  • для доступа к ресурсам используется подход минимальных привилегий и явного разрешения;
  • независимо от размещения ресурсов доступ к ним должен быть прозрачным и безопасным;
  • весь трафик в ЦОД контролируется и анализируется.

Именно этот подход и позволяет реализовать VMware NSX. Каждую ВМ можно заключить в отдельный сегмент безопасности. Микросегментация, о которой мы говорили выше, реализует принципы «нулевого доверия» и обеспечивает высокий уровень защищенности для каждой рабочей нагрузки.

Не нужно быть аналитиком, чтобы понять, как сильно увеличилось количество кибератак за последние несколько месяцев. В связи с этим мы хотели бы напомнить вам, что обеспечение безопасности — комплексный процесс, и, даже выбирая надежного провайдера, нужно всегда быть начеку.Необходимо регулярно анализировать и повышать уровень защищенности корпоративных систем, изучать доступные на рынке средства и внедрять их в тех случаях, когда это соответствует целям и задачам вашего бизнеса.

Средняя оценка: 0, всего оценок: 0
Поделиться
Telegram Icon Vk Icon

Только полезные материалы в нашей рассылке

Ошибка подписки

Похожие статьи

Технологии
Функциональные возможности и настройка VMware vShield Edge
02.03.2015
Количество просмотров
7692

Функциональные возможности и настройка VMware vShield Edge

Чек лист по настройке VMware vShield Edge
Первые шаги
Арендовать виртуальный сервер или арендовать виртуальный ЦОД?
18.01.2017
Количество просмотров
6411

Арендовать виртуальный сервер или арендовать виртуальный ЦОД?

В своих статьях мы часто обсуждаем актуальные темы, касающиеся облачных технологий. Сегодня поговорим о том, что такое виртуальный сервер, что такое виртуальный ЦОД, чем они различаются и в каком случае что лучше арендовать.
Тенденции
Тенденции: переход от VPS к облачному IaaS
06.06.2015
Количество просмотров
1931

Тенденции: переход от VPS к облачному IaaS

Большая часть хостинг-провайдеров еще не до конца отточила предложения по облачным услугам. 83 % опрошенных клиентов сталкивались с тем, что для поиска необходимых решений им приходилось пробираться сквозь маркетинговые уловки, когда за красивым словом «облако» прячется обычный хостинг. Действительно, зачастую поставщик маскирует под облачный сервис VPS, подавая его под соусом полноценной услуги.
Закрыть модальное окно

Ошибка отправки заявки

Ваше обращение приняли

Скоро наш менеджер свяжется с вами.
А пока вы можете изучить интересные материалы в нашем блоге.

Подписка оформлена

Скоро отправим вам уведомление о новых материалах.