您当前的位置是:  首页 > 技术 > 企业通信 > 技术 > 云计算 > 技术动态 >
  首页 > 技术 > 企业通信 > 技术 > 云计算 > 技术动态 > 大咖博闻荟 | VMware云化环境安全微分段功能及实现

大咖博闻荟 | VMware云化环境安全微分段功能及实现

2020-03-17 10:13:14   作者:   来源:CTI论坛   评论:0  点击:


  在疫情时期,为了避免新冠病毒的传播,口罩几乎成了每个人的标配,这关乎着每个人的生命安全和健康,每个人的安全隔离是减少疫情传播最有效的手段。同样,在数字化时代,企业IT云基础架构安全也是一个不容忽视的主题。
  随着企业IT数字化转型的进程,网络和安全的复杂性给企业带来了很多的挑战,企业的目标是从集中的数据中心转移到超分布式的应用和数据中心,通常情况下跨越多个地理位置,同时应用架构和部署方式发生了巨大的变化,从传统的单体应用向多层应用转变,甚至对于某些应用开始采用微服务架构,这给管理和维护带来了挑战。而传统的安全只是边界安全,在边界内部VM没有“戴口罩”,其中某个VM受到病毒的威胁,它可能会把病毒传播到其它的VM,甚至传播到数据中心内部所有的VM,为了防止病毒的传播,需要为每一个VM“戴口罩”,而为每一个VM“戴口罩“并不是一件容易的事情。
  VMware NSX Data Center(以下简称NSX)有非常多的应用场景,其中一个非常重要应用场景就是云安全应用场景,它可以非常方便的为每一个VM“戴口罩”,实现VM之间的安全隔离和自我隔离,以防止病毒的传播,同时能够自动排除受病毒威胁的VM,实现零信任的安全模型。
  NSX微分段技术好比“口罩”一样,微分段的安全策略可以应用到每个VM或pod容器上,同时可以提供异构环境下安全策略管理,它除了为vsphere平台提供微分段,也可以为KVM、容器以及公有云上的VM或容器,甚至裸金属服务器提供微分段能力,如下图所示:
  通过NSX Manager控制台统一将安全策略下发到应用运行的地方,实现应用微分段技术,进而实现东西向安全隔离。
  • NSX微分段功能一:在异构环境下为工作负载提供东西向安全防护能力,实现零信任的安全模型,为每个VM、容器Pod、祼金属服务器“戴口罩”,安全策略下发到Hypervisor内核,防止威胁的传播,精细化网络安全管理。
  •  
  • NSX微分段功能二:在不改变现网架构的基础上,灵活插入微分段安全策略,不中断业务,提供VM或容器pod东西向安全隔离。
  •  
  • NSX微分段功能三:环境感知,基于应用环境动态安全分组,可以基于虚拟机的属性,包括不限于虚拟机名称、虚拟机标记、虚拟操作系统类型实现动态安全分组,简化安全策略的运维管理。
  •  
  • NSX微分段功能四:与微软AD集成,实现基于身份的分布式防火墙,通常用于VDI环境和RDSH环境。数据中心的安全管理员可以通过调用登陆到AD的用户信息设定这一用户能够访问业务范围,真正做到使用者到业务的安全防护。一方面,同一服务器上的不同业务间也可以实现了安全隔离。另一方面,直接对业务的访问者进行认证,完全脱离传统的IP和位置的繁琐的安全部署方法论,增强了数据中心的防御体系。
  •  
  • NSX微分段功能五:NSX内置NSX Intelligence,它是一个分布式分析引擎,它利用NSX特有的工作负载和网络上下文,提供了融合的安全策略管理、分析和合规性,并具有数据中心范围内的可视性。提供自动安全策略和安全组推荐,并根据策略推荐结果一键应用至NSX分布式防火墙,这在大规模安全策略部署中非常有用,简化了策略(“口罩”)的部署和人为的错误。
  •  
  • NSX微分段功能六:NSX分布式防火墙微分段支持7层特性,能够识别应用,它内置了企业级应用的APP-ID,安全规则的配置可以基于上下文配置文件实现。可以基于7层APP-ID,仅允许匹配APP-ID的流量通过,而不依赖于端口号。除了 APP-ID,还可以在上下文配置文件中设置完全限定域名 (FQDN) 或 URL 来将 FQDN 加入白名单。可以在上下文配置文件中与 APP-ID 一起配置 FQDN,或者可以在不同的上下文配置文件中设置每个 FQDN。定义上下文配置文件后,即可将其应用于一个或多个分布式防火墙规则。
  •  
  • NSX微分段功能七:在应用的源端直接安全策略匹配,贴近应用执行安全策略,仅授权的流量才能进入物理网络,同一主机内部不同虚拟机之间的安全流量不需要经过物理网络,减轻了物理网络的压力,提升了业务之间的端到端延时。
  •   NSX分布式防火墙微分段实现原理如下图所示:
      NSX分布式防火墙采用控制转发分离的架构,管理和控制合一,管理平面通过NSX Manager实现,通常部署为3个节点的集群,提供GUI或者Restful API配置安全策略,NSX Manager将用户发布的策略推送到NSX manager中的控制平面服务进而推送到数据平面,为了监控和排错,NSX manager通过MPA检索DFW的状态和流的统计数据。
      控制平面包括两个组件,一个集中的控制平面(CCP),另外一个是本地控制平面(LCP)。CCP部署在NSX manager集群中,通过CCP与LCP之间的通信,将安全策略推送到数据平面。
      数据平面部署LCP,接收配置的安全策略并在Hypervisor内核执行安全策略。
      最后,总结一下,NSX微分段提供了非常细粒度的安全防护能力,粒度可以细化到虚拟机的虚拟网卡级,提供异构环境和多云环境下一致的网络安全策略,并且提供了丰富的功能,为每个虚拟机“戴口罩”,保护自身,也保护它人,同时提供L2-L7的东西向安全防护能力,有效的阻止了安全威胁在云环境下的传播。
    【免责声明】本文仅代表作者本人观点,与CTI论坛无关。CTI论坛对文中陈述、观点判断保持中立,不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考,并请自行承担全部责任。

    专题

     远程办公 高效协同,效率抗“疫”
    远程办公 高效...
    抗击疫情战役进入攻坚阶段,在家远程办公将成为近日工作...[详细]
    韦德国际1946始于1946中心远程座席 随时随地的服务接入
    韦德国际1946始于1946中心远程座席...
    2020年一场突如其来的新冠肺炎,牵动着每个人的心,疫情...[详细]
    同心抗疫 防疫机器人在行动!
    同心抗疫 防疫机...
    2月4日,工信部发出倡议,进一步发挥人工智能赋能效用,...[详细]
    预测外呼18大误解
    预测外呼18大误解
    外呼是韦德国际1946始于1946中心行业的重点应用领域,场景覆盖信息通知、...[详细]

    CTI论坛会员企业