CloudVision宏观细分服务MSSTM-Arista.PDF

ARISTA 解决方案简报 利用宏观细分服务解决安全问题 内容提要 网络威胁愈演愈烈，信息安全跟不上商业需求的步伐，这已不 是什么秘密。数据中心日益虚拟化和分区化，变得更动态化， 将基于网络的安全视作一个资源 池，把安全缝合到应用程序和事 支持在共享的私有、公共和混合云中即时部署新应用程序。与 务中，按需扩展，自动化部署和 此同时，网络安全仍是静态且有界限的，无法保护云环境并抵 缓解，支持透明运用安全策略； 御越来越严重的威胁。 所有这些都是无缝进行，对于物 理资源和虚拟化资源，都不会引 当今的云环境需要更灵活的方法来部署安全服务，以便适应工作复杂的不断 变化、增添和移动。安全解决方案的容量需要升级，以匹配多租户共享云环 起无端的相互依赖性： 境更宽的攻击表面。基础结构需要提供不受限制的安全技术选择，而不能像 • 微观细分：将服务插入VM 间 过去的孤立生态系统那样限制灵活性并阻碍自由选择。 流量的路径中，在重叠/虚拟化 控制器中对各工作负载定义策 宏观细分服务介绍 略，由应用程序、工作负载或 Arista Networks™为CloudVision® 推出了一项新的“宏观细分服务”(MSS) 能力，它 其他标记在虚拟机监控程序的 允许各种平台（如新一代防火墙）自动部署以处理任何网络拓扑（包括第2 虚拟交换机中实施。 等、第3 层和重叠网络虚拟化框架）上的特定工作负载和工作流程。 • 宏观细分(Macro-SegmentationTM)： 将服务插入物理网络的工作组 之间（租户间或设备间），定 义段间服务策略，由Arista 云 网络基础架构实施。 • Arista 宏观细分服务(MSSTM) ： Arista EOS® 软件的扩展，利用 Arista CloudVision® 将安全服务 自动插入新一代防火墙和其他 联网设备中。 Macro-Segmentation™ 和MSS™ 是Arista Networks, Inc. 的商标。 图 1.Arista CloudVision 服务 弥合安全部署模型中越来越大的鸿沟 宏观细分服务是Arista CloudVision 的一项新能力，用于弥合安全部署模型中越来越大的鸿沟，即虚拟机监控程序的嵌入式 安全性处理 VM 间通信，而物理防火墙提供对离开数据中心的南北流量的深层保护。但是，目前还没有解决方案能将针 对东西流量的先进安全服务动态插入混合数据中心—— 即组合利用多种虚拟机监控程序，包含大数据和存储之类的非虚 拟化工作负载，或者将旧系统连接到与新的云应用程序相同的网络的数据中心。 图2. 向软件驱动的云网络演化 旧应用程序和网络基础架构对云数据中心运营商和应用程序使用者提出的各种设计考虑，则使当前状况更加复杂化。从 旧的三层架构迁移到叶子-骨干两层网络架构可以改善网络性能，但安全风险几乎没有任何缓解，因为不再有防火墙的 自然插入点。在宏观和微观上更强调整体性的全网络细分方法，现在渐渐成为缓解安全威胁的强制措施。在联网和计算 虚拟机监控程序内实现分布式细粒度安全服务，即所谓“微观细分”，部分地解决了这个问题。 当前不健全的安全部署模型必须改变，以支持在云内和周围动态设置安全服务和设备，保护工作负载和数据免受外部威 胁和已侵入边界的威胁影响，同时实现云数据中心原本就应该有的敏捷性。 工作负载/工作流程 要求 解决方案 有状态的启发式保护，防范外部网络威胁 云的入口/ 出口