数据中心微分段.PDF

数据中心微分段 针对 “零信任”安全策略的软件定义数据中心方法 白 皮书 目录 内容提要3 软件定义的数据中心就是未来 4 SDDC 更敏捷、更灵活且更安全 5 SDDC – 武器，而非目标 5 真正微分段数据中心网络的曙光 6 性能6 自动化6 由 NSX 提供支持的 SDDC 中的原生安全功能 隔离和分段 7 隔离7 分段7 通过高级安全服务插入、串联和流向引导实现的分段 7 成本 8 更加安全的数据中心 – 软件定义的新常态 8 白 皮 书 / 2 内容提要 虽然软件定义的数据中心 (SDDC) 的体系结构已得到充分了解，但随着组织逐渐部署并发现其他需要 改进的方面，它正开始显露出其敏捷性、速度和效率以外的一些优势。组织正在推进 SDDC 部署的 一个关键领域是安全性。 当企业和公共部门 IT 组织采用 SDDC 并虚拟化计算、网络和存储后，他们可以自动执行调配，并大 幅缩短 IT 应用和服务的销售就绪时间。他们还可以简化基础架构的迁移、添加和变更过程，同时消 除相应风险。这种全新的运营模式可提供一些额外的优势。在客户利用 VMware NSX 平台的自动化 和 “嵌入式”安全功能来构建其 SDDC 的过程中，他们意外发现了一些显著的安全优势。随着黑客 在组织数据中心边界内自由移动日益频繁，为了解决这一问题，许多企业在尝试针对数据中心网络采 用一种越来越精细的分段方法（如 Forrester Research 的 “零信任”网络体系结构）。这些方法能 够将安全控制功能打包成小得多的资源组，通常可以小到一小组虚拟化资源或单个虚拟机。尽管从安 全角度来看，微分段这种方法是一种最佳实践，但它却很难应用到传统环境中。凭借 NSX 平台固有 的安全和自动化功能，微分段第一次在企业数据中心范围内在操作上变得可行。 VMware NSX 可针对数据中心网络部署三种安全模式：完全隔离的虚拟网络、分段的虚拟网络（通 过 NSX 平台自带的高性能、全自动防火墙），以及我们的安全合作伙伴提供的高级安全服务实现的 分段。合作伙伴集成的示例包括 Palo Alto Networks 通过新一代防火墙提供的网络分段或 Rapid7 提 供的漏洞扫描。 在业务案例方面，使用 VMware NSX 提供的网络微分段不仅在操作上可行，而且经济高效，只需硬 件成本的一小部分即可在数据中心网络内部部署安全控制功能。 许多大型数据中心都将安全性视为软件定义数据中心的首要优势之一。在不久的将来，安全性更高的 数据中心将成为新常态。 白 皮 书 / 3 软件定义的数据中心就是未来 软件定义的数据中心 (SDDC) 是数据中心设计的一种体系结构方法，它利用了计算机科学的一个基本 原理：抽象化。操作系统、更高级别的编程语言、网络连接协议以及最近的服务器虚拟化都是抽象化 的示例，在过去 25 年中，抽象化的引入导致了主要行业创新周期的产生。通过引入抽象层，抽象层 上方和下方的系统和服务能够独立地运行和实施创新，同时通过完善的接口在各层之间维持商定的通 信路径并推出服务。SDDC 方法采用了抽象化原则，以软件形式交付整个数据中心架构，从而将服务 交付与底层物理基础架构分离开来。这样一来，用户就可以将底层硬件作为一般化的计算、网络和存 储容量池使用，并能够以编程方式对其进行组合、使用并重新调整其用途，而无需修改硬件。 SDDC 方法已经过全球众多最大型、最敏捷且最高效的数据中心的验证，包括 Google 、Facebook 和 Amazon 。在过去 10 年中，这些 “巨型数据中心”运营商已通过设计将 SDDC 抽象层整合到其自 定义应用和平台中，这使他们能够实现数据中心运营几乎每个方面的自动化，同时与底层计算、网络 和存储硬件完全分离。这种分离可显著降低其物理基础架构的资金和运营开销，并使他们能够以比大 多数企业 IT 组织快出许多的速度来交付客户订购的服务。 如今，企业 IT 部门可在其数据中心内实现与 “巨型数据中心”相同级别的敏捷性和效率，而无需修 改其现有硬件基础架构。