NSX Intelligence ist eine neue Software von VMware. Sie bietet etliche Vorteile, etwa in den Bereichen Zero-Trust Security, Mikrosegmentierung, Analytics und Load Balancing.
NSX Intelligence ist nicht einfach ein aufgebohrtes NSX, VMwares Produkt für Software-defined Networking (SDN) und Security-Virtualisierung. Es ist eine Weiterentwicklung der Netzwerksicherheit als Ganzes und erfüllt ein Bedürfnis, das NSX alleine nicht abdecken kann.
Ganz gleich, ob Sie Ihr Data Center in der Cloud oder On-Premises betreiben, Networking bildet den Dreh- und Angelpunkt der meisten Unternehmen – von Sicherheit bis Application Delivery. Doch wenn sich Workloads ändern, migrieren und sich weiterentwickeln, muss das die Networking-Technologie ebenfalls. Dieser Umstand stellt die heutigen Admins vor einige Herausforderungen.
Probleme mit Ransomware, Datenverlust und Datendiebstählen bedeuten, dass viele Firmen ihren Fokus vermehrt auf Sicherheit legen. Aber das traditionelle Modell der Perimetersicherheit – mit Firewalls am Rande einer Umgebung – hat gravierende Schwachstellen offenbart, sobald es einmal überwunden ist. Ost-West-Angriffe können verheerende Auswirkungen für Organisationen haben – und nicht nur theoretisch.
Mit NSX führte VMware das Konzept der Mikrosegmentierung ein und verwandelte Perimetersicherheit in der gesamten Umgebung in Zero-Trust-Sicherheit. Um den Unterschied zwischen Perimetersicherheit und Zero-Trust Security zu verstehen, denken Sie an ein rohes und ein hart gekochtes Ei. Wie stark ist das Ei beschädigt, wenn Sie die Schale aufgebrochen haben? Obwohl NSX gut darin war, die Fähigkeiten von verteilen Firewalls zu erweitern, löste es nur einen Teil des gesamten Sicherheitsproblems.
Inwiefern können Sie von NSX Intelligence profitieren?
Viele Unternehmen nutzen eine Kombination aus Intrusion Detection Systems (IDS), Intrusion Prevention Systems (IDS) und anderen Analyse-Engines, um Daten auf dem Weg zu zentralen Punkten zu untersuchen. Obwohl dies oft notwendig ist, entstehen so Herausforderungen mit Blick auf die Skalierung von Bandbreite und Standort.
Wenn Netzwerke schneller werden, gehen die Kosten für Intrusion Detection Systems und Intrusion Prevention Systems durch die Decke. Und die Ressourcen, die für die Untersuchung des Traffics benötigt werden, wachsen exponentiell. Es besteht infolgedessen das Risiko, dass kontrollpunktbasierte Systeme Gefahr laufen, zu sehr teuren Engpässen zu werden.
NSX Intelligence ist eine analytische Sicherheits-Policy-Engine, die NSX in einem verteilten Ansatz auf alle Hosts anwendet. Das unterscheidet ihn vom monolithischen Ansatz bei Intrusion Detection. Dies beseitigt die Nadelöhre und ermöglicht es allen Hosts, die Analyselast zu teilen. Das heißt, Sie können den gesamten Traffic über alle Hosts untersuchen, ohne einen speziellen Host oder Workload zu beeinträchtigen.
Mikrosegmentierung
NSX Intelligence führt Mikrosegmentierung auf eine neue Ebene. Es diktiert nicht einfach die Regeln, welche virtuelle Maschine (VM) mit welchem Host reden darf, sondern untersucht, worüber sie sprechen. Obwohl NSX Intelligence erst in Release 1.0 vorliegt, kann das Produkt die Zero-Trust Security Frameworks vieler Organisationen verbessern.
Wegen der frühen Version zögern Sie möglicherweise noch und warten lieber erst einmal ab, um zu sehen, welche Auswirkungen NSX Intelligence auf Hosts und Ressourcen hat. Doch der Umstand, dass NSX Intelligence horizontal statt vertikal skaliert, bedeutet, dass es ohne Beschränkung oder Beeinträchtigung des Produktions-Traffics skalieren kann und dennoch für viele Unternehmen erschwinglich bleibt.
Application Delivery und Load Balancing
Zwei weitere zentrale Aspekte für heutige Netzwerkumgebungen sind Application Delivery und Load Balancing. Anwendungen haben sich von einem monolithischen Stack zu einem verteilten Stack gewandelt, was Anpassungen bei Application Scaling und Application Delivery auf Anforderung ermöglicht hat.
NSX Intelligence und der NSX Advanced Load Balancer haben ihre Ursprünge in grundlegender Netzwerktechnologie und Load Balancing.
Physische und virtualisierte Networking Load Balancer gibt es seit Jahren, aber viele sind vom Umfang her eingeschränkt. Sie untersuchen Traffic über die Anzahl der Verbindungen oder in einem Round-Robin-Verfahren. Nun, da sowohl On-Premises als auch in der Cloud betriebene Anwendungen bei Bedarf skalieren, ist es nicht mehr sinnvoll, den Traffic einfach aufzuteilen. Heute wird eine Verbindung zu dem benötigt, was Load Balancer in puncto Bedarf und Automatisierung sehen, um detaillierte Analytics-Einblicke zu liefern und eine ausreichende Sicherheit und Performance zu gewährleisten.
Die modernen Anwendungs-Stacks sind nicht mehr unveränderlich. Von der Anzahl Ihrer Workloads bis zu dem Ort, wo sich diese Workloads befinden, besitzen die meisten Komponenten eines Stacks ein gewisses Maß an Flexibilität. Bei einem Load Balancer, der über mehrere Umgebungen hinweg Anwendungs-Stacks intelligent mit Automatisierung versorgt, entfällt die Notwendigkeit für ein manuelles Management. Das spart Zeit und Geld.
NSX Advanced Load Balancer
VMware kündigte auf der VMworld 2019 weiteren Zuwachs für die NSX-Familie an: den NSX Advanced Load Balancer. VMware nutzt als Unterbau für den NSX Advanced Load Balancer Technologie, die das Unternehmen von AVI Networks im Juni 2019 erworben hat. Die Software-defined Plattform bietet Multi-Cloud Load Balancing, Anwendungsbeschleunigung und Caching auf Bare-Metal-Servern, in VMs und Containern.
NSX Intelligence und der NSX Advanced Load Balancer haben ihre Ursprünge in grundlegender Netzwerktechnologie und Load Balancing. Allerdings virtualisiert keines der beiden Produkte ein zuvor nicht virtuelles Element des Data Centers. Sie verfolgen einfach einen SDN-Ansatz für Load Balancing. Das verschafft ihnen einen Vorteil gegenüber hardwarebasierten Plattformen oder virtualisierten Hardwareplattformen.
Diese neuen NSX-Tools veranschaulichen, wie viel sich beim Networking geändert hat. Netzwerktechnologien wie Automatisierung und verteilte Policy Analytics sind nicht länger bloße Zugaben für virtuelle Umgebungen und Anwendungen. Stattdessen sind sie für Netzwerke insgesamt zur unverzichtbaren Grundlage geworden.
Nächste Schritte
Mit Mikrosegmentierung zu mehr Netzwerksicherheit
Gratis-eBook: Grundlagen der Netzwerk-Virtualisierung
Gratis-eBook: Ratgeber Intrusion Detection und Prevention
