欧美,精品,综合,亚洲,好吊妞视频免新费观看,免费观看三级吃奶,一级a片女人自慰免费看

您當(dāng)前的位置是:  首頁 > 資訊 > 國內(nèi) >
 首頁 > 資訊 > 國內(nèi) >

大咖博聞薈 | VMware云化環(huán)境安全微分段功能及實(shí)現(xiàn)

2020-03-17 10:13:14   作者:   來源:CTI論壇   評(píng)論:0  點(diǎn)擊:


  在疫情時(shí)期,為了避免新冠病毒的傳播,口罩幾乎成了每個(gè)人的標(biāo)配,這關(guān)乎著每個(gè)人的生命安全和健康,每個(gè)人的安全隔離是減少疫情傳播最有效的手段。同樣,在數(shù)字化時(shí)代,企業(yè)IT云基礎(chǔ)架構(gòu)安全也是一個(gè)不容忽視的主題。
  隨著企業(yè)IT數(shù)字化轉(zhuǎn)型的進(jìn)程,網(wǎng)絡(luò)和安全的復(fù)雜性給企業(yè)帶來了很多的挑戰(zhàn),企業(yè)的目標(biāo)是從集中的數(shù)據(jù)中心轉(zhuǎn)移到超分布式的應(yīng)用和數(shù)據(jù)中心,通常情況下跨越多個(gè)地理位置,同時(shí)應(yīng)用架構(gòu)和部署方式發(fā)生了巨大的變化,從傳統(tǒng)的單體應(yīng)用向多層應(yīng)用轉(zhuǎn)變,甚至對(duì)于某些應(yīng)用開始采用微服務(wù)架構(gòu),這給管理和維護(hù)帶來了挑戰(zhàn)。而傳統(tǒng)的安全只是邊界安全,在邊界內(nèi)部VM沒有“戴口罩”,其中某個(gè)VM受到病毒的威脅,它可能會(huì)把病毒傳播到其它的VM,甚至傳播到數(shù)據(jù)中心內(nèi)部所有的VM,為了防止病毒的傳播,需要為每一個(gè)VM“戴口罩”,而為每一個(gè)VM“戴口罩“并不是一件容易的事情。
  VMware NSX Data Center(以下簡稱NSX)有非常多的應(yīng)用場(chǎng)景,其中一個(gè)非常重要應(yīng)用場(chǎng)景就是云安全應(yīng)用場(chǎng)景,它可以非常方便的為每一個(gè)VM“戴口罩”,實(shí)現(xiàn)VM之間的安全隔離和自我隔離,以防止病毒的傳播,同時(shí)能夠自動(dòng)排除受病毒威脅的VM,實(shí)現(xiàn)零信任的安全模型。
  NSX微分段技術(shù)好比“口罩”一樣,微分段的安全策略可以應(yīng)用到每個(gè)VM或pod容器上,同時(shí)可以提供異構(gòu)環(huán)境下安全策略管理,它除了為vsphere平臺(tái)提供微分段,也可以為KVM、容器以及公有云上的VM或容器,甚至裸金屬服務(wù)器提供微分段能力,如下圖所示:
  通過NSX Manager控制臺(tái)統(tǒng)一將安全策略下發(fā)到應(yīng)用運(yùn)行的地方,實(shí)現(xiàn)應(yīng)用微分段技術(shù),進(jìn)而實(shí)現(xiàn)東西向安全隔離。
  • NSX微分段功能一:在異構(gòu)環(huán)境下為工作負(fù)載提供東西向安全防護(hù)能力,實(shí)現(xiàn)零信任的安全模型,為每個(gè)VM、容器Pod、祼金屬服務(wù)器“戴口罩”,安全策略下發(fā)到Hypervisor內(nèi)核,防止威脅的傳播,精細(xì)化網(wǎng)絡(luò)安全管理。
 
  • NSX微分段功能二:在不改變現(xiàn)網(wǎng)架構(gòu)的基礎(chǔ)上,靈活插入微分段安全策略,不中斷業(yè)務(wù),提供VM或容器pod東西向安全隔離。
 
  • NSX微分段功能三:環(huán)境感知,基于應(yīng)用環(huán)境動(dòng)態(tài)安全分組,可以基于虛擬機(jī)的屬性,包括不限于虛擬機(jī)名稱、虛擬機(jī)標(biāo)記、虛擬操作系統(tǒng)類型實(shí)現(xiàn)動(dòng)態(tài)安全分組,簡化安全策略的運(yùn)維管理。
 
  • NSX微分段功能四:與微軟AD集成,實(shí)現(xiàn)基于身份的分布式防火墻,通常用于VDI環(huán)境和RDSH環(huán)境。數(shù)據(jù)中心的安全管理員可以通過調(diào)用登陸到AD的用戶信息設(shè)定這一用戶能夠訪問業(yè)務(wù)范圍,真正做到使用者到業(yè)務(wù)的安全防護(hù)。一方面,同一服務(wù)器上的不同業(yè)務(wù)間也可以實(shí)現(xiàn)了安全隔離。另一方面,直接對(duì)業(yè)務(wù)的訪問者進(jìn)行認(rèn)證,完全脫離傳統(tǒng)的IP和位置的繁瑣的安全部署方法論,增強(qiáng)了數(shù)據(jù)中心的防御體系。
 
  • NSX微分段功能五:NSX內(nèi)置NSX Intelligence,它是一個(gè)分布式分析引擎,它利用NSX特有的工作負(fù)載和網(wǎng)絡(luò)上下文,提供了融合的安全策略管理、分析和合規(guī)性,并具有數(shù)據(jù)中心范圍內(nèi)的可視性。提供自動(dòng)安全策略和安全組推薦,并根據(jù)策略推薦結(jié)果一鍵應(yīng)用至NSX分布式防火墻,這在大規(guī)模安全策略部署中非常有用,簡化了策略(“口罩”)的部署和人為的錯(cuò)誤。
 
  • NSX微分段功能六:NSX分布式防火墻微分段支持7層特性,能夠識(shí)別應(yīng)用,它內(nèi)置了企業(yè)級(jí)應(yīng)用的APP-ID,安全規(guī)則的配置可以基于上下文配置文件實(shí)現(xiàn)?梢曰7層APP-ID,僅允許匹配APP-ID的流量通過,而不依賴于端口號(hào)。除了 APP-ID,還可以在上下文配置文件中設(shè)置完全限定域名 (FQDN) 或 URL 來將 FQDN 加入白名單?梢栽谏舷挛呐渲梦募信c APP-ID 一起配置 FQDN,或者可以在不同的上下文配置文件中設(shè)置每個(gè) FQDN。定義上下文配置文件后,即可將其應(yīng)用于一個(gè)或多個(gè)分布式防火墻規(guī)則。
 
  • NSX微分段功能七:在應(yīng)用的源端直接安全策略匹配,貼近應(yīng)用執(zhí)行安全策略,僅授權(quán)的流量才能進(jìn)入物理網(wǎng)絡(luò),同一主機(jī)內(nèi)部不同虛擬機(jī)之間的安全流量不需要經(jīng)過物理網(wǎng)絡(luò),減輕了物理網(wǎng)絡(luò)的壓力,提升了業(yè)務(wù)之間的端到端延時(shí)。
  NSX分布式防火墻微分段實(shí)現(xiàn)原理如下圖所示:
  NSX分布式防火墻采用控制轉(zhuǎn)發(fā)分離的架構(gòu),管理和控制合一,管理平面通過NSX Manager實(shí)現(xiàn),通常部署為3個(gè)節(jié)點(diǎn)的集群,提供GUI或者Restful API配置安全策略,NSX Manager將用戶發(fā)布的策略推送到NSX manager中的控制平面服務(wù)進(jìn)而推送到數(shù)據(jù)平面,為了監(jiān)控和排錯(cuò),NSX manager通過MPA檢索DFW的狀態(tài)和流的統(tǒng)計(jì)數(shù)據(jù)。
  控制平面包括兩個(gè)組件,一個(gè)集中的控制平面(CCP),另外一個(gè)是本地控制平面(LCP)。CCP部署在NSX manager集群中,通過CCP與LCP之間的通信,將安全策略推送到數(shù)據(jù)平面。
  數(shù)據(jù)平面部署LCP,接收配置的安全策略并在Hypervisor內(nèi)核執(zhí)行安全策略。
  最后,總結(jié)一下,NSX微分段提供了非常細(xì)粒度的安全防護(hù)能力,粒度可以細(xì)化到虛擬機(jī)的虛擬網(wǎng)卡級(jí),提供異構(gòu)環(huán)境和多云環(huán)境下一致的網(wǎng)絡(luò)安全策略,并且提供了豐富的功能,為每個(gè)虛擬機(jī)“戴口罩”,保護(hù)自身,也保護(hù)它人,同時(shí)提供L2-L7的東西向安全防護(hù)能力,有效的阻止了安全威脅在云環(huán)境下的傳播。
【免責(zé)聲明】本文僅代表作者本人觀點(diǎn),與CTI論壇無關(guān)。CTI論壇對(duì)文中陳述、觀點(diǎn)判斷保持中立,不對(duì)所包含內(nèi)容的準(zhǔn)確性、可靠性或完整性提供任何明示或暗示的保證。請(qǐng)讀者僅作參考,并請(qǐng)自行承擔(dān)全部責(zé)任。

專題

CTI論壇會(huì)員企業(yè)