Microsegmentierung mit VMware NSX und vRealize Automation

Unternehmen können durch Microsegmentierung den Netzwerkverkehr innerhalb des Rechenzentrums einfach und effizient überprüfen und sogar applikationsspezifischen Workload-Traffic steuern. Dies ist selbst dann möglich, wenn Quell- und Zielmaschine im gleichen Layer-2-Netzwerk sind. Derartiger Netzwerkverkehr wird auch als East-West Datenverkehr bezeichnet und macht ungefähr 80 Prozent des gesamten Netzwerkverkehrs aus. In herkömmlichen Umgebungen ohne NSX muss dieser Verkehr zur Kontrolle über zentrale Security-Komponenten umgeleitet werden, die oftmals als physische Appliances vorliegen und neben Anschaffungskosten einen hohen Pflegeaufwand nach sich ziehen und geringe Flexibilität aufweisen. Neben der Fähigkeit, eine solche Microsegmentierung zwischen virtuellen Maschinen durchzuführen, ist die zentrale Verwaltung von Security-Regeln und die Integration in den ESXi-Hypervisor selbst – sodass der Verkehr dort analysiert werden kann, wo er anfällt – eine große Stärke von NSX.

NSX erlaubt zudem die automatische Erstellung von logischen, in Software auf VXLAN-Basis getrennten Netzwerken und Netzwerk-Komponenten wie Firewalls, Routern, Gateways oder VPN-Endpunkten. Dies ist in dynamischen Umfeldern von Relevanz, in denen es nicht reicht, nur virtuelle Maschinen zu deployen, sondern vielmehr komplexe Applikationen samt zugrundeliegenden Netzwerkstack auf die Ebenen 2 bis 7 des OSI- Modells und Firewall-Regeln zu verteilen sind. Automatisierte Lösungen schaffen es heute, die Bereitstellungszeit derartiger Applikationen von mehreren Tagen auf wenige Minuten zu reduzieren – und das mit weniger Fehlern, da eine manuelle Konfiguration entfällt.

Umfangreiche Rüstzeit

Um sowohl Microsegmentierung als auch Netzwerkautomatisierung im VMware-Umfeld bereitzustellten, sind neben NSX die Produkte vSphere in der Enterprise-Plus-Edition (um Distributed Switche einsetzen zu können),

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.