VCF 9 – NSX VPC Part 3 – Security

Wie VMware NSX 9 und VCF 9 die VPC-Sicherheit durch Isolierung, flexible Firewalls und erweiterten Schutz verbessern

In seinem Blogpost zeigt Daniel Krieger von evoila, wie man mit NSX 9 und VCF 9 eine solide Sicherheitsgrundlage aufbaut.

Er beginnt mit NSX Projects (Tenants), die eine einfache Möglichkeit bieten, den Datenverkehr zwischen verschiedenen Umgebungen vollständig zu isolieren. Anschließend richtet er Distributed Firewalls so ein, dass sie externen Zugriff standardmäßig blockieren, während die interne Kommunikation weiterhin erlaubt ist – am besten direkt bei der Erstellung des Projekts. Für Datenverkehr, der in die VPC hinein- oder aus ihr herausfließt (North–South), setzt er zusätzlich eine Gateway Firewall ein; dafür braucht er jedoch Edge Nodes.

Daniel erläutert außerdem das rollenbasierte Modell mit Enterprise Admin, Project Admin und VPC Admin und erklärt, warum die Reihenfolge der Firewall-Regeln und ihre Kategorien (z. B. Environment, Application usw.) für die Durchsetzung sowohl in Distributed- als auch in Gateway-Firewalls relevant sind.

Einer der interessantesten Teile des Beitrags ist der Blick auf TCP Strict. Diese Funktion prüft den TCP-Handshake strenger. Anhand von hping3-Flood-Tests zeigt er: Mit Standardrichtlinien (ohne TCP Strict) können VMs schnell überlastet werden, während das Aktivieren von TCP Strict in benutzerdefinierten Regeln unaufgeforderte ACK-Floods wirkungsvoll stoppt.

Im gesamten Blogpost finden sich zahlreiche Praxisbeispiele:

• Screenshots der Standard-DFW-Regeln und Security-Group-Setups
• CLI-Ausgaben (vsipioctl getrules), die die Regelprioritäten zeigen
• hping3-Testläufe und btop-Ausgaben zur Visualisierung von CPU- und Netzwerklast
• Gegenüberstellungen des Firewall-Verhaltens mit und ohne TCP Strict

Sein Fazit ist klar: Das Standard-Regelwerk bietet eine solide Basis zur Isolierung von VPCs. Echten Schutz liefern jedoch maßgeschneiderte Policies, der kluge Einsatz von Apply To Scoping, gegebenenfalls zusätzliche Perimeter-Firewalls – und vor allem regelmäßige Tests. Dazu gehört auch, eigene Penetrationstests durchzuführen, um genau zu wissen, wie die eigene Umgebung unter realen Bedingungen standhält.

👉 Hier gehts zum Artikel