Formation NSX-Security : microsegmentation & Zero Trust

Programme de notre formation NSX-Security : microsegmentation & Zero Trust

[Jour 1 – Matin]

Fondamentaux NSX Security et approche Zero Trust

• Positionnement de NSX dans l’architecture (NSX Manager, Transport Nodes, segments, T0/T1)
• Principes Zero Trust : moindre privilège, vérification explicite, réduction de la surface d’attaque
• Concepts clés sécurité NSX : Distributed Firewall (DFW), groupes, services, politiques
• Modèles de microsegmentation : par application, par environnement (dev/test/prod), par zone de confiance
• Atelier pratique : Prise en main de l’interface NSX et repérage des objets sécurité (DFW, Groups, Services).

[Jour 1 – Après-midi]

Microsegmentation avec le Distributed Firewall (DFW)

• Comprendre le DFW L2/L3/L4 et les impacts sur les flux Est-Ouest
• Construire des Groupes dynamiques (tags, naming, critères VM) et éviter les règles “IP-based”
• Rédiger des règles efficaces : sources/destinations, services, scope, log, règle par défaut
• Bonnes pratiques : policy structure, priorités, nommage, gestion du changement
• Atelier pratique : Créer une politique DFW “deny by default” et autoriser uniquement les flux applicatifs nécessaires.

[Jour 2 – Matin]

Découverte des flux et sécurisation progressive

• Collecter et interpréter les flux : logs DFW, outils de visibilité, identification des dépendances applicatives
• Approche “observe > model > enforce” pour limiter les interruptions de service
• Stratégies de bascule : monitoring, enforcement partiel, exceptions temporaires
• Gestion des services : ports, protocoles, service groups et standardisation
• Atelier pratique : Établir une matrice de flux (app tiers) et la traduire en règles DFW.

[Jour 2 – Après-midi]

Administration avancée des politiques et dépannage

• Organisation des politiques : sections, policy tiers, règles globales vs applicatives
• Traçabilité et audit : journalisation, justification des règles, gestion des exceptions
• Dépannage : analyse “rule hit”, logs, vérification des groupes, résolution des conflits de règles
• Optimisation : réduction du nombre de règles, réutilisation d’objets, performance et lisibilité
• Atelier pratique : Diagnostiquer un flux bloqué et corriger la politique sans élargir excessivement les accès.

[Jour 3 – Matin]

Zero Trust appliqué : segmentation par zones et contrôle d’accès

• Définir des zones de confiance (users, app, data, management) et leurs règles d’interconnexion
• Modéliser des politiques “default deny” avec exceptions contrôlées
• Gestion des identités d’objets : tags, conventions, intégration avec le cycle de vie VM
• Cas d’usage : isolation d’un environnement sensible (bastion, management, sauvegarde)
• Atelier pratique : Concevoir une segmentation 3 zones (Front/App/DB) et appliquer les règles minimales nécessaires.

[Jour 3 – Après-midi]

Industrialisation, conformité et préparation à l’exploitation

• Standardiser : modèles de politiques, catalogues de services, règles “golden”
• Automatiser : principes d’Infrastructure as Code pour objets et règles (approche API/outil interne)
• Contrôles opérationnels : revues périodiques, nettoyage des règles, gestion des changements
• Reporting sécurité : preuves de conformité, indicateurs (règles actives, exceptions, logs)
• Atelier pratique : Produire un plan d’exploitation (runbook) microsegmentation et une checklist de revue de règles.