传统的网络安全采取以安全域为边界的方式,主要的安全保护措施放在了边界防火墙上,如今的数据中心网络安全依旧采取了以安全域划分的方式。然而,实践证明,以安全域为边界的网络安全不能有效防护网络攻击,基于SDN技术,采取NSX微分段安全技术已成必须。
“现已证明基于边界的网络安全保护是无效的,超过70%的黑客借助丢失、被盗或薄弱的认证信息成功入侵企业内部网络。建立一个有组织的系统框架成为当务之急。这将是一个适用于所有行业领先企业,深入整合网络安全的真正架构。通过改变我们在脆弱的基础架构上提供可靠服务的方式,IT安全行业极有可能开辟一条全新的发展道路。”VMware公司全球副总裁、大中华区总裁郭尊华先生表示。
“虚拟机+分布式虚拟防火墙”成趋势
过去数据中心采取边界防火墙的方式保护网络安全,所有的安全策略都放在边界防火墙上,如果边界防护措施不够,黑客就会进入网络内部。因此每个防火墙上都有几万条策略,当出现变化时,仅是调整这上万条策略就令人感到头疼。
VMware大中华区软件定义数据中心产品品牌总监林世伟表示,VMware的方法是利用软件定义数据中心的方法定义信任关系,把安全构建在虚拟机上,当虚拟机在不同的物理机上移动时,安全策略可以随之移动。
VMware软件定义数据中心品牌总监 林世伟先生
物理基础设施与应用之间的网络层对企业查明并应对利用新缺口或暴露前端的网络黑客必不可少。虚拟化现已成为覆盖计算、网络、存储、云和设备最通用的基础架构层,并且为综合架构奠定了基础,从而使安全融入并覆盖各个底层。
林世伟认为,传统数据中心的防火墙采取虚机模式,未来则将向“虚拟机+分布式虚拟防火墙”的方向演进。“传统的防火墙放在网络边界,后来逐步往里迁移,再进一步会旁路虚拟防火墙,把原来传统防火墙的功能打包成虚机的形式放在数据中心内部,但是这一方式也存在瓶颈。分布式防火墙则把传统虚机模式的防火墙直接建构在虚拟化防火墙中,保证以最小的颗粒度做安全防护。”林世伟表示。
兼容灵活性和安全性两大需求
鉴于数字化业务环境的复杂性,当前的安全措施可能很难满足需求。在企业机构努力满足员工对移动办公的需求、并持续推进数字化转型的进程中,应用和用户数据分散在越来越多的地点和设备。在企业日益外延的网络中,网络黑客可以轻易找到无数个潜在的侵入点。
综上所述,采用“虚拟机+分布式虚拟防火墙”的方式不仅重新定义了数据中心的安全边界,而且可以给不同账号提供不同的安全策略,在容安全性和灵活性之间达到平衡,这在传统安全网络架构下很难实现。“灵活性与可管控性相结合,是一次革命性的创新。”
此外,新的方法把网上的所有动作都当作攻击,把颗粒度做到最小。
VMware公司全球副总裁、大中华区总裁郭尊华先生认为:“目光远大的企业清楚的知道,如今被动安全防护已不再奏效。如果企业未能拥有横跨计算、网络、存储、云和设备等各个层面的普适性IT架构方案,黑客很容易绕开员工和系统或直接对其进行攻击。通过采用可确保整个架构安全的软件定义IT方式,企业将获得数字业务成功所必需的灵活性。”
本文转自d1net(转载)
