VMware by Broadcom · Infrastruttura · ficha YoctoIT

NSX

La red virtualizada: microsegmentación y firewalling distribuido — la seguridad que viaja con la VM.

FOCUS · LA RED EN LA PLATAFORMAEl firewall delante de CADA VM: la segmentación que el perímetro no puede dar
Material YoctoIT para clientes y partners · VMware, vSphere, vSAN, NSX y los demás productos citados son marcas de Broadcom Inc.
01 · Qué es

NSX, en claro.

NSX mueve la red al hipervisor: switches y routers distribuidos, y sobre todo el firewall delante de cada vNIC — las políticas siguen a la VM dondequiera que viaje (vMotion incluido). La microsegmentación, imposible de hacer con los aparatos físicos, se convierte en una política: el movimiento lateral del ransomware se para ahí.

Distribuito
el firewall en cada host, delante de cada VM: sin cuello, sin rodeo
Micro-seg
apps aisladas entre sí incluso en la misma VLAN: el este-oeste gobernado
Segue la VM
la política pegada a la carga: vMotion sin agujeros de seguridad
NSX
IMAGEN OFICIAL VMWARE · NSX
CONSOLE REALE · NSX MANAGER · FONTE: VMWARE BLOG
CONSOLA REAL · NSX MANAGER · FUENTE: VMWARE BLOG
02 · Cómo usarlo bien

Las cosas que marcan la diferencia.

Dentro del hipervisor

Las aplicaciones (VM & contenedores)lo que hay que proteger
Segmentos
DFW · firewall distribuido
Gateways & LB
redes lógicas · políticas por vNIC · norte-sur
NSX Manager · política centralla intención, distribuida en todas partes
La fabric física, simplificadael hierro hace solo transporte
La red como propiedad de la carga

Mapeo de los flujos

Inteligencia sobre el tráfico real antes de las reglas: la microsegmentación sin romper la producción.

Anillos de protección

Primero las apps críticas (ERP, backup), luego ampliando: el proyecto por prioridad de riesgo.

Zero trust interno

Default-deny entre aplicaciones: el compromiso de UNA máquina se queda en una máquina.

Automatización de red

Segmentos y políticas vía API: la red al paso del aprovisionamiento.

03 · En profundidad

Overlay, DFW y la red como software

NSX construye la red en overlay (Geneve) sobre cualquier fabric física: segmentos, gateways T0/T1 y load balancing definidos por software; el Distributed Firewall aplica reglas stateful en la vNIC de cada VM (este-oeste microsegmentado sin appliances), los grupos dinámicos (por tag, nombre, SO) hacen las políticas vivas; la federation multi-site distribuye las políticas; el IDS/IPS distribuido inspecciona donde nace el tráfico.

  • DFW — el firewall en la vNIC: este-oeste controlado sin hairpin
  • Gruppi dinamici — las políticas por tag: la VM nueva nace ya en el recinto correcto
  • Overlay Geneve — la red lógica sobre cualquier fabric: el cambio de switch no toca las apps
  • T0/T1 — routing distribuido: el gateway cerca de la carga
  • IDS/IPS distribuito — la inspección sin cuello de botella central
  • Federation — las políticas únicas en varios sitios: el multi-DC coherente
04 · Números y ciclo de vida

Los números que cuentan.

0
appliances para el este-oeste: el DFW está en el hipervisor
μs
el overhead del datapath: la seguridad que no ralentiza
100%
de las VM microsegmentables desde el principio
NIS2
la segmentación con evidencias: el requisito cubierto
La microsegmentación es un proyecto de mapas: flujos descubiertos, políticas por olas y enforcement gradual — sin romper la producción.
05 · Casos de uso

Dónde rinde de verdad.

Anti-ransomware

El movimiento lateral bloqueado: el daño confinado.

Compliance de zona

PCI, OT e invitados aislados por política, con evidencias.

Data centers multi-tenant

Redes lógicas separadas sobre la misma fabric.

El perímetro cayó hace años — dentro hace falta la microsegmentación: NSX la convierte en una política.