傳統(tǒng)的網絡安全采取以安全域為邊界的方式,主要的安全保護措施放在了邊界防火墻上,如今的數據中心網絡安全依舊采取了以安全域劃分的方式。然而,實踐證明,以安全域為邊界的網絡安全不能有效防護網絡攻擊,基于SDN技術,采取NSX微分段安全技術已成必須。
“現已證明基于邊界的網絡安全保護是無效的,超過70%的黑客借助丟失、被盜或薄弱的認證信息成功入侵企業(yè)內部網絡。建立一個有組織的系統(tǒng)框架成為當務之急。這將是一個適用于所有行業(yè)領先企業(yè),深入整合網絡安全的真正架構。通過改變我們在脆弱的基礎架構上提供可靠服務的方式,IT安全行業(yè)極有可能開辟一條全新的發(fā)展道路。”VMware公司全球副總裁、大中華區(qū)總裁郭尊華先生表示。
“虛擬機+分布式虛擬防火墻”成趨勢
過去數據中心采取邊界防火墻的方式保護網絡安全,所有的安全策略都放在邊界防火墻上,如果邊界防護措施不夠,黑客就會進入網絡內部。因此每個防火墻上都有幾萬條策略,當出現變化時,僅是調整這上萬條策略就令人感到頭疼。
VMware大中華區(qū)軟件定義數據中心產品品牌總監(jiān)林世偉表示,VMware的方法是利用軟件定義數據中心的方法定義信任關系,把安全構建在虛擬機上,當虛擬機在不同的物理機上移動時,安全策略可以隨之移動。
VMware軟件定義數據中心品牌總監(jiān) 林世偉先生
物理基礎設施與應用之間的網絡層對企業(yè)查明并應對利用新缺口或暴露前端的網絡黑客必不可少。虛擬化現已成為覆蓋計算、網絡、存儲、云和設備最通用的基礎架構層,并且為綜合架構奠定了基礎,從而使安全融入并覆蓋各個底層。
林世偉認為,傳統(tǒng)數據中心的防火墻采取虛機模式,未來則將向“虛擬機+分布式虛擬防火墻”的方向演進。“傳統(tǒng)的防火墻放在網絡邊界,后來逐步往里遷移,再進一步會旁路虛擬防火墻,把原來傳統(tǒng)防火墻的功能打包成虛機的形式放在數據中心內部,但是這一方式也存在瓶頸。分布式防火墻則把傳統(tǒng)虛機模式的防火墻直接建構在虛擬化防火墻中,保證以最小的顆粒度做安全防護。”林世偉表示。
兼容靈活性和安全性兩大需求
鑒于數字化業(yè)務環(huán)境的復雜性,當前的安全措施可能很難滿足需求。在企業(yè)機構努力滿足員工對移動辦公的需求、并持續(xù)推進數字化轉型的進程中,應用和用戶數據分散在越來越多的地點和設備。在企業(yè)日益外延的網絡中,網絡黑客可以輕易找到無數個潛在的侵入點。
綜上所述,采用“虛擬機+分布式虛擬防火墻”的方式不僅重新定義了數據中心的安全邊界,而且可以給不同賬號提供不同的安全策略,在容安全性和靈活性之間達到平衡,這在傳統(tǒng)安全網絡架構下很難實現。“靈活性與可管控性相結合,是一次革命性的創(chuàng)新。”
此外,新的方法把網上的所有動作都當作攻擊,把顆粒度做到最小。
VMware公司全球副總裁、大中華區(qū)總裁郭尊華先生認為:“目光遠大的企業(yè)清楚的知道,如今被動安全防護已不再奏效。如果企業(yè)未能擁有橫跨計算、網絡、存儲、云和設備等各個層面的普適性IT架構方案,黑客很容易繞開員工和系統(tǒng)或直接對其進行攻擊。通過采用可確保整個架構安全的軟件定義IT方式,企業(yè)將獲得數字業(yè)務成功所必需的靈活性。”