جداسازی شبکه اساس بسیاری از موارد امنیتی در شبکه است، چه برای انطباق، مهار یا جدا کردن محیطهای توسعهای و چه آزمایش و تولید. به طور سنتی، ACLها، قوانین فایروال و سیاستهای مسیریابی را برای ایجاد و اجرای انزوا و چند کارایی استفاده میکنند. با مجازیسازی شبکه، پشتیبانی از آن ویژگیها ذاتاً فراهم میشود. با استفاده از فناوری VXLAN، شبکههای مجازی به طور پیشفرض از سایر شبکههای مجازی و از زیرساختهای فیزیکی زیرین جدا میشوند و اصول امنیتی حداقل امتیاز را ارائه میدهند. شبکههای مجازی به صورت جداگانه ایجاد میشوند و جدا میمانند، مگر اینکه صریحاً به هم متصل شوند. برای ایجاد انزوا، هیچ زیرشبکۀ فیزیکی، VLAN، ACL یا فایروال نیاز نیست.
تقسیمبندی شبکه
تقسیمبندی شبکه به انزوا مربوط میشود، اما در یک شبکۀ مجازی چند لایه اعمال میشود. به طور سنتی، تقسیم شبکه تابعی از فایروال فیزیکی یا روتر است که برای اجازه یا رد ترافیک بین بخشهای شبکه یا ردیفها طراحی شده است. هنگام تقسیمبندی ترافیک بین سطوح وب، برنامهها و پایگاه داده، فرایندهای پیکربندی سنتی زمانبر و بسیار مستعد خطاهای انسانی هستند، در نتیجه درصد زیادی از نقض امنیتی را شامل میشود. پیادهسازی به مهارت در نحوۀ پیکربندی دستگاه، آدرسدهی شبکه و پورتها و پروتکلهای برنامه نیاز دارد.
مجازیسازی شبکه ساخت و آزمایش پیکربندی سرویسهای شبکه را ساده میکند تا پیکربندیهای اثباتشدهای را تولید کند که میتوانند به صورت برنامهریزیشده در سراسر شبکه مستقر شوند و برای اعمال تقسیمبندی کپی آن را مورد استفاده قرار دهند. تقسیمبندی شبکه، مانند انزوا، قابلیت اصلی مجازیسازی شبکه NSX است.
ریز تقسیمبندی
ریز تقسیمبندی با استفاده از روترهای توزیع شده و فایروالهای متناسب با آن، ترافیک را در سطح vNIC جدا میکند. کنترلهای دسترسی اعمالشده در vNIC کارایی را نسبت به قوانین اعمال شده در شبکۀ فیزیکی افزایش میدهد. برای پیادهسازی ریز تقسیمبندی یک برنامۀ سه لایه، به عنوان مثال وب سرور، سرور برنامه و پایگاه داده، که در آن چندین سازمان ممکن است از نظر توپولوژی شبکۀ منطقی مشترک باشند، میتوانید از ریز تقسیمبندی با فایروال توزیع شده NSX و اجرای فایروال مورد استفاده بهره ببرید.
مدل اعتماد صفر برای پیکربندی امنیتی در شبکه
برای دستیابی به دقیقترین تنظیمات امنیتی، هنگام پیکربندی سیاستهای امنیتی، از یک مدل اعتماد صفر استفاده کنید. یک مدل با اعتماد صفر دسترسی به منابع و بارهای کاری را منع میکند؛ مگر اینکه به طور خاص یک سیاست مجاز وجود داشته باشد. مطمئن باشید که اجازۀ ترافیک زیرساختهای اساسی را میدهید. به طور پیشفرض، NSX Manager، NSX Controllers و NSX Edge gateways سرویس از فایروال توزیع نمیشوند. سیستمهای سرور vCenter استثنا نیستند و باید قبل از اعمال خط مشی صریحاً اجازۀ جلوگیری از قفل شدن را داشته باشند.
دیدگاه خود را ثبت کنید
تمایل دارید در گفتگوها شرکت کنید؟در گفتگو ها شرکت کنید.