VMware NSX is een software-defined networking (SDN) product van VMware. Naast netwerk virtualisatie biedt NSX vele security functionaliteiten. Tegenwoordig kunt u een licentie van NSX afnemen met alleen de security functies. In deze blog neem ik u mee in de volgende onderwerpen:

  • De zero trust security van NSX;
  • Welke security functionaliteiten NSX heeft;
  • Wat deze kunnen betekenen voor uw organisatie.

Zero Trust Architectuur

NSX maakt het mogelijk om als organisatie een zero trust architectuur te implementeren met micro-segmentatie. Dit is al jaren een van de meest gebruikte functionaliteiten binnen NSX. Binnen het software-defined netwerk (SDN) verzamelt NSX door de integratie met vCenter Server alle virtuele workloads. Ook standalone KVM hypervisors en bare-metal worden hiermee ondersteund. Door workloads te groeperen en te voorzien van tags kunnen er policies en regels aangemaakt worden in de NSX Distributed Firewall (DFW). Hierdoor is het op een eenvoudige wijze mogelijk om micro-segmentatie te implementeren.

In NSX 4.x heeft VMware DPU (SmartNIC) ondersteuning geïntroduceerd voor NSX functies. Dit betekent dat een security functionaliteit, zoals de NSX DFW, kan draaien op een SmartNIC. Hierdoor ontstaat er een integratie tussen bare-metal hardware en VMs binnen de NSX netwerk fabric. Dit bevordert de zero trust architectuur en zorgt er tevens voor dat bare-metal hardware nog beter ondersteund wordt in combinatie met NSX.

Distributed Firewall & Gateway Firewall

Binnen NSX zijn er twee soorten firewalls, de distributed firewall en de gateway firewall. De distributed firewall zorgt voor east-west netwerk security binnen het (modern) datacenter. Deze firewall draait in de kernel van ESXi. De gateway firewall draait op een Tier-0 of Tier-1 gateway en zorgt voor de north-south netwerk security. Micro-segmentatie vindt plaats op de NSX DFW.

Intrusion Detection and Prevention (IDS/IPS) & Malware Prevention

Naast de NSX DFW functie was al een geruime tijd de IDS/IPS functie beschikbaar. De Distributed IDS/IPS functie kan op basis van specifieke signatures uit een kennisbank in de cloud aanvallen weerhouden die al reeds bekend zijn. Sinds NSX-T 3.2 identificeert de IDS/IPS functie ook de op gedrag gebaseerde patronen in het netwerkverkeer. Preventief kunnen malware of ransomware aanvallen hierdoor voorkomen worden. In NSX-T 3.2.1 is de IDS/IPS functie beschikbaar op de Gateway Firewall. Om deze functies te gebruiken is er een advanced threat prevention licentie nodig. Malware Prevention zorgt voor het detecteren en voorkomen van bekende en onbekende kwaadaardige bestanden.

NSX Application Platform, NSX Intelligence & Network Detection and Response (NDR)

NSX Intelligence was voorheen een OVA gebaseerde appliance die via de NSX Manager werd geïmplementeerd. Het is een tool waarmee netwerk flows geanalyseerd worden met betrekking tot de implementatie voor micro-segmentatie in de NSX DFW. Naast NSX Intelligence wordt ook vRealize Network Insight (vRNI) gebruikt om netwerkverkeer te analyseren.

Sinds NSX-T 3.2 maakt NSX Intelligence deel uit van het NSX Application Platform (NAPP). NAPP vereist een Kubernetes cluster om een aantal NSX security functies te implementeren. Dit kan een op VMware Tanzu gebaseerde Kubernetes cluster zijn, maar ook een standaard Kubernetes cluster. NSX Intelligence is een functie die alleen met de NSX Data Center Enterprise Plus licentie gebruikt kan worden.

De volgende security functies kunnen geïmplementeerd worden in NAPP:

  • NSX Intelligence;
  • Network Detection and Response;
  • NSX Malware Prevention.

Network Detection & Response (NDR) is een security functie binnen het NAPP platform. In samenwerking met NSX Intellegence analyseert NDR signalen van IDS/IPS, NTA en Sandbox. Ook worden inbraken gedetecteerd en voorkomen. De NDR functie maakt deel uit van de advanced threat prevention licentie.

Er zijn nog meer security functionaliteiten, zoals:

  • URL Filtering;
  • URL Analysis;
  • Service Insertion;
  • Guest Introspection.

Met service insertion en guest introspection ontstaan er integratie mogelijkheden met producten buiten NSX.

Introductie van Project Northstar

Vorig jaar heeft VMware ‘Project Northstar’ aangekondigd. Dit brengt het beheer van de NSX netwerk functionaliteiten naar een SaaS gebaseerde oplossing van VMware. Het doel is om vanuit een management interface netwerkfuncties over meerdere Clouds te beheren. Dit om een multi-cloud netwerkarchitectuur verder door te ontwikkelen.

Meer informatie

Fondo | PQR is als partner van VMware continu op de hoogte van de nieuwste ontwikkelingen binnen NSX. Onze collega’s bieden organisaties alle benodigde expertise voor implementatie en beheerwensen.

Wilt u extra informatie over NSX of wilt u sparren over uw mogelijkheden voor een modern datacenter en/of het implementeren van een multi-cloud architectuur voor uw organisatie? Neem contact op.

Geplaatst door

Marc van de Logt

Technical Architect Datacenter & Cloud