Если вы задумались о микросегментации ЦОДа, контейнеров, публичных или приватных облаков (или даже всех этих сред сразу), вы наверняка обратили внимание на несколько лидирующих решений, в том числе VMware NSX и Guardicore — это одни из самых популярных продуктов в этой области. Рассмотрим подробнее эти два решения.
Решение Guardicore Centra было разработано для обеспечения легкой и непрерывной защиты любых приложений в любых ИТ-инфраструктурах, и имеет множество преимуществ по сравнению с VMware NSX. Centra предоставляет унифицированный подход микро- и наносегментации, который работает как с решениями VMware, так и с другими технологиями, от ЦОДов до публичных облаков.
Рассмотрим подробнее отличия двух продуктов.
Совместимость с ИТ-инфраструктурой
| Функционал | Guardicore | VMware NSX |
|---|---|---|
| Микросегментация на гипервизоре VMware | Да | Да |
| Микросегментация на современных и legacy аппаратных серверах (1) | Да | Нет |
| Совместимость с другими гипервизорами (Hyper-V, KVM, Xen, KVM, Acropolis и т.д.) (2) (3) | Да | Частично |
| Широкая совместимость с публичными облаками (AWS, GCP, Azure, Oracle Cloud и т.д.) (4) | Да | Частично |
| Поддержка Openshift / Kubernetes (5) | Да | Да |
- (1) Агент NSX-T ограничен поддержкой Windows Server 2012 и более новых версий и последними версиями Linux. Guardicore поддерживает широкий спектр старых дистрибутивов Windows и Linux, а также традиционные операционные системы, такие как Solaris, AIX и HP-UX.
- (2) VMware предлагает два варианта NSX: NSX-V для сегментации в пределах одного экземпляра vSphere и NSX-T для гибридных облачных сред. Это сравнение сосредоточено на NSX-T, который является более практичным вариантом NSX для большинства организаций и наиболее близким сопоставимым предложением VMware для Guardicore Centra.
- (3) Агенты NSX-T могут работать на гипервизорах, отличных от VMware, но те же ограничения операционной системы, которые применяются к аппаратным серверам, ограничивают доступность NSX для гипервизоров, отличных от VMware.
- (4) Guardicore Centra обеспечивает мониторинг на уровне процессов и интегрированные политики безопасности. VMware NSX-T не обеспечивает мониторинг на уровне процессов и обеспечивает применение 60 предопределенных протоколов с использованием распределенного межсетевого экрана VMware. Использование распределенного межсетевого экрана VMware ограничено локальными гипервизорами VMware и проприетарным облаком VMware для AWS, в то время как Centra может обеспечить принудительное применение на уровне процессов в нативных инстансах AWS, GCP, Azure и Oracle Cloud.
- (5) Поддержка контейнеров в VMware NSX требует установки проприетарного контейнерного сетевого интерфейса (CNI) на каждом узле.
Политики микросегментации
| Функционал | Guardicore | VMware NSX |
|---|---|---|
| Базовая сегментация (географии, среды, зоны) | Да | Да |
| Сетевая микросегментация (уровень, workload, порт) | Да | Да |
| Микросегментация на уровне процессов (в том числе с динамическими портами) на площадке и в облаке (1) | Да | Частично |
| Инструменты мониторинга приложений и сетевых коммуникаций, встроенные в процесс создания политик сегментации (2) | Да | Нет |
| Исторический мониторинг приложений и сетевых коммуникаций | Да | Нет |
| Алгоритмы автоматической генерации политик сегментации (на основе шаблонов и исторических данных) | Да | Нет |
- (1) Поддержка VMware NSX может обеспечить применение 60 предопределенных протоколов для любого локального порта или с использованием проприетарного предложения VMware Cloud для AWS. Guardicore включает микросегментацию на уровне процессов на любой локальной или облачной платформе.
- (2) Возможности визуализации Guardicore полностью интегрированы и предоставляются в рамках стандартной лицензии на продукт. VMware требует отдельной покупки vRealize Network Insight (vRNI), которая не интегрирована с рабочим процессом создания политики NSX и ограничена видимостью на уровне 4 (на уровне портов).
Выявление угроз
| Функционал | Guardicore | VMware NSX |
|---|---|---|
| Встроенный анализ репутации для файлов, IP-адрсов и доменных имен | Да | Нет |
| Динамические ханипоты | Да | Нет |
| Мониторинг целостности файлов | Да | Нет |
| Обнаружение сканирования сети | Да | Нет |
| Процессы реагирования на инциденты | Да | Нет |
Вы можете скачать пакет документации, состоящий из полной версии таблицы сравнения и подробного анализа подходов Guardicore и VMware NSX к микросегментации, а также заказать демо и тестирование Guardicore по ссылке ниже.
