数据中心微分段

数据中心微分段针对“零信任”安全策略的软件定义数据中心方法白皮书白皮书/2目录内容提要...................................................................................................................................3软件定义的数据中心就是未来...............................................................................................4SDDC更敏捷、更灵活且更安全............................................................................................5SDDC–武器，而非目标.........................................................................................................5真正微分段数据中心网络的曙光............................................................................................6性能......................................................................................................................................6自动化..................................................................................................................................6由NSX提供支持的SDDC中的原生安全功能隔离和分段.................................................7隔离......................................................................................................................................7分段......................................................................................................................................7通过高级安全服务插入、串联和流向引导实现的分段..........................................................7成本..........................................................................................................................................8更加安全的数据中心–软件定义的新常态............................................................................8白皮书/3内容提要虽然软件定义的数据中心(SDDC)的体系结构已得到充分了解，但随着组织逐渐部署并发现其他需要改进的方面，它正开始显露出其敏捷性、速度和效率以外的一些优势。组织正在推进SDDC部署的一个关键领域是安全性。当企业和公共部门IT组织采用SDDC并虚拟化计算、网络和存储后，他们可以自动执行调配，并大幅缩短IT应用和服务的销售就绪时间。他们还可以简化基础架构的迁移、添加和变更过程，同时消除相应风险。这种全新的运营模式可提供一些额外的优势。在客户利用VMwareNSX平台的自动化和“嵌入式”安全功能来构建其SDDC的过程中，他们意外发现了一些显著的安全优势。随着黑客在组织数据中心边界内自由移动日益频繁，为了解决这一问题，许多企业在尝试针对数据中心网络采用一种越来越精细的分段方法（如ForresterResearch的“零信任”网络体系结构）。这些方法能够将安全控制功能打包成小得多的资源组，通常可以小到一小组虚拟化资源或单个虚拟机。尽管从安全角度来看，微分段这种方法是一种昀佳实践，但它却很难应用到传统环境中。凭借NSX平台固有的安全和自动化功能，微分段第一次在企业数据中心范围内在操作上变得可行。VMwareNSX可针对数据中心网络部署三种安全模式：完全隔离的虚拟网络、分段的虚拟网络（通过NSX平台自带的高性能、全自动防火墙），以及我们的安全合作伙伴提供的高级安全服务实现的分段。合作伙伴集成的示例包括PaloAltoNetworks通过新一代防火墙提供的网络分段或Rapid7提供的漏洞扫描。在业务案例方面，使用VMwareNSX提供的网络微分段不仅在操作上可行，而且经济高效，只需硬件成本的一小部分即可在数据中心网络内部部署安全控制功能。许多大型数据中心都将安全性视为软件定义数据中心的首要优势之一。在不久的将来，安全性更高的数据中心将成为新常态。白皮书/4软件定义的数据中心就是未来软件定义的数据中心(SDDC)是数据中心设计的一种体系结构方法，它利用了计算机科学的一个基本原理：抽象化。操作系统、更高级别的编程语言、网络连接协议以及昀近的服务器虚拟化都是抽象化的示例，在过去25年中，抽象化的引入导致了主要行业创新周期的产生。通过引入抽象层，抽象层上方和下方的系统和服务能够独立地运行和实施创新，同时通过完善的接口在各层之间维持商定的通信路径并推出服务。SDDC方法采用了抽象化原则，以软件形式交付整个数据中心架构，从而将服务交付与底层物理基础架构分离开来。这样一来，用户就可以将底层硬件作为一般化的计算、网络和存储容量池使用，并能够以编程方式对其进行组合、使用并重新调整其用途，而无需修改硬件。SDDC方法已经过全球众多昀大型、昀敏捷且昀高效的数据中心的验证，包括Google、Facebook和Amazon。在过去10年中，这些“巨型数据中心”运营商已通过设计将SDDC抽象层整合到其自定义应用和平台中，这使他们能够实现数据中心运营几乎每个方面的自动化，同时与底层计算、网络和存储硬件完全分离。这种分离可显著降低其物理基础架构的资金和运营开销，并使他们能够以比大多数企业IT组织快出许多的速度来交付客户订购的服务。如今，企业IT部门可在其数据中心内实现与“巨型数据中心”相同级别的敏捷性和效率，而无需修改其现有硬件基础架构。图1-将智能转移到软件中，以便在软件和底层物理基础架构之间创建抽象层。通过将智能应用到其自定义应用或平台软件中，大型数据中心十年以来一直采用这种方法。如今，企业数据中心可通过利用数据中心虚拟层中的软件来实现相同的分离。VMware已将数据中心抽象层内置到其NSX网络虚拟化平台中。该平台基于传统虚拟化管理程序和虚拟交换机相结合的分布式系统控制器，可使整个数据中心架构忠实地无中断重现在软件中，且独立于现有的物理基础架构。VMwareNSX平台已在大量生产部署中得到验证，其中一些部署已超过三年，目前正在部署的单位包括全球三大服务提供商中的两家、全球五大金融服务公司中的四家以及几乎每个行业（包括医疗保健业、制造业、零售业、消费类产品业、银行业、保险业、交通运输业、联邦政府、州政府和地方政府以及高科技业）中超过100个企业级数据中心。白皮书/5SDDC更敏捷、更灵活且更安全SDDC方法充分利用了虚拟化和自动化的优势，并将这些优势延展到整个数据中心架构内。在软件中以编程方式针对虚拟机执行创建、快照拍摄、移动、删除和还原操作的能力转变了IT计算的运维模式。现在，借助SDDC方法，IT能够以编程方式在软件中对计算、存储和网络方面的整个数据中心架构执行创建、快照拍摄、移动、删除和还原操作。数据中心自动实施的自助式IT以及网络运维模式的全面转型均已成为SDDC方法公认的巨大优势。在部署中，业务与IT领导均同意，SDDC方法可在IT速度、敏捷性和竞争优势方面提供可衡量的优势。IT运维主管可快速从自动执行的变更管理以及简化的底层硬件配置和管理中受益。而昀深远的影响可能是，SDDC方法可让基础架构和安全团队在数据中心内实现投资灵活性（可构建普通云，并快速扩展为混合云）和保护（利用现有硬件）、提高利用率并实现前所未有的安全性。事实上，安全功能被证实是SDDC平台昀具吸引力的应用之一。SDDC–武器，而非目标乍看之下，大多数IT网络安全专业人士会将诸如SDDC之类的新方法视为新的潜在目标。实际上，与对需要保护的内容所做的变更相比，这种方法对IT实施安全功能的方式所造成的影响要大得多（更加积极）。换句话说，对于IT安全团队来说，与其说SDDC是目标，不如说它是武器。SDDC方法可以实际交付一个平台，该平台能够从本质上解决数据中心设计中的某些基本体系结构局限性，几十年以来，这些局限性对安全专业人士造成了限制。思考一下在传统安全方法中，人们通常会在知情程度和隔离之间进行的权衡。通常，为了做到知情，我们会将控制功能放置在主机操作系统中。借助这种方法，我们能够查看正在访问的应用和数据以及正在使用系统的用户，从而实现良好的知情程度。但是，由于控制功能位于攻击域，因此攻击者首先会禁用控制功能。这就是失败的隔离。这种方法相当于将家庭警报系统的开关安装在房屋外部。还一种重视隔离而非知情程度的替代方法，就是将控制功能放置在物理基础架构中。这种方法可将控制功能与其所保护的资源隔离，但知情程度较差，因为IP地址、端口和协议对用户、应用或事务上下文而言是非常糟糕的代理。此外，到目前为止，从未出现过内置在基础架构中且无所不在的强制实施层。SDDC使用的数据中心虚拟层与无所不在的强制实施层相结合，可提供理想的位置，从而同时实现知情与隔离。数据中心虚拟层中运行的控制功能可利用安全的主机自检，能够提供无代理且高清晰的主机上下文，同时在虚拟化管理程序中保持隔离，免受攻击者尝试发出的攻击。数据中心虚拟层在应用和物理基础架构之间的理想位置，再加上自动化调配和网络与安全策略管理、嵌入在内核中的性能、分布式实施以及横向扩展容量，正使得数据中心安全性面临完全转型的边缘，并使数据中心安全专业人士能够实现过去在操作上无法实现的安全级别。白皮书/6真正微分段数据中心网络的曙光针对企业数据中心的以边界为中心的网络安全策略经证实存在不足。新型攻击可以突破仅限于边界的防御体系，随授权用户混入，然后在数据中心边界内的各个工作负载之间横向扩散，并且很少有或没有控制功能来阻止其传播。昀近公布的许多违规情况都证明了这一点：从钓鱼式攻击或社交工程攻击开始，在数据中心内产生恶意软件、利用漏洞、发出命令和控制以及不受拘束地横向扩散，直到攻击者找到他们的目标，然后再撤出。数据中心网络的微分段可提供巨大帮助来限制这种未经授权的横向扩散，但它无法在传统数据中心网络中操作。究竟是什么原因呢？传统防火墙以及高级的新一代防火墙在网络上以物理或虚拟“瓶颈点”的形式实施控制功能。由于应用工作负载流量肯定会流经这些控制点，因此可以强制实施防火墙规则，并且能够阻止或允许数据包通过。如果使用传统防火墙方法来实现微分段，将很快遇到两个主要运维障碍：吞吐容量和运维/变更管理。首先，容量障碍可以通过投入一定的成本来克服。用户可以购买足够的物理或虚拟防火墙来交付所需的容量，从而实现微分段。但其次，运维障碍会随着工作负载的数量以及当今数据中心日渐动态化的特性呈指数增加。如果每次添加、移动