实现数据中心改造的三大必备安全措施-Cisco.PDFVIP

实现数据中心改造的三大 必备安全措施 白皮书 执行摘要 鉴于数据中心的枢纽地位和在业务运营中至关重要的作用 ，越来越多的 “传统”数据中心工作负荷正逐渐转移到虚拟 和非传统的云计算环境中。因此，企业需要专业的手段和更多的控制 ，来实现安全的数据中心创新。 安全策略需做到灵活变通且响应迅速 ，既能区分物理和虚拟资源、检测问题并实施策略 ，又能保障边界安全。在处理 工作负荷 （例如数据存档迁移到云）时，需要 “严格遵守”综合策略，并以方便审计的报告方式证明合规性。 随着数据中心的虚拟化和云的应用 ，高层管理人员和数据中心团队能够把安全性作为可编程元素，无缝植入到底层数 据中心交换矩阵中。而这种架构和功能只有思科才能提供。思科平台可在设计阶段就方便地将安全性嵌入其中 ，无需 在实施之后再进行弥补。使用思科的安全架构，业务需求与安全性之间最常见的失衡问题就可以得到解决。 为了安全地实现数据中心创新并快速地开展业务 ，IT 部门必须采取以下措施： 1. 在物理、虚拟和云基础设施中实施一致的安全和策略，满足不可预见且快速变化的业务需求。 2. 实施符合业务要求的基于情景的安全控制，全面支持实时且复杂的信息处理方式。 3. 对应用环境施加高容量保护，支持业务采用新的功能更强的服务。 “安全是客户关心的首要问题。我们会持续改进安全并将其融入到每个 ASIC 、 每个产品和每个软件功能中，并以独特的方式将它们全部融合到一起。” - 思科董事长兼首席执行官钱伯斯 © 2012 思科和/或其附属公司。版权所有。本文档所含内容为思科公开发布的信息。 图 1. 在快速变化的基础设施中实现业务创新的三大必备安全措施 物理 虚拟 云 每台服务器运行一个应用 每台服务器运行多个应用 每台服务器承载多个租户 虚拟机监控程序 1. 使用统一的安全策略支持业务需求 2. 通过高容量应用保护拓展新型业务 3. 利用情景控制满足复杂业务需求 为什么安全性必须与时俱进才能满足关键任务需求？ 1 根据思科全球云指数 (2011–2016) ，到 2016 年，云流量在数据中心流量中的比例会接近三分之二。此外，企业战 略集团 (ESG)2 的研究预计，数据中心的服务器虚拟化和整合程度会大幅度提高，产生更多的多租户设施。企业将不 再对商品工作负荷实施虚拟化 ，而是开始将重点放在任务关键型工作负荷上 ，以确保规模最大的最重要的应用能够更 高效地运行。 然而，常规安全手段面临的一些挑战会限制这些措施的快速执行 ： • 虚拟化的应用已与其使用的底层物理资源分离。因此，使用传统安全手段会造成流量瓶颈、网络策略不一致、管理 盲点和安全漏洞。 • 云计算的基础是共享的虚拟化资源 ，所以它会遭遇与虚拟化相同的问题。此外，云设计、独立人员和共享虚拟物理 资源的多个未知租户还会带来其他风险。 正因如此，许多 IT 团队选择使用混合方法 ，由组织通过物理、虚拟和私有云部署组成的内部平台提供并管理大部分资 源，其余部分则使用安全风险最低的其他资源，包括公共云等外部提供的资源。 1 思科全球云指数 (2011–2016) 2 数据中心环境变化将在 2012 年为诸如交换矩阵架构、SDN 和 OpenFlow 等技术创造机会，Jon Oltsik ，Network World ，Data Center Networking Discontinuity （数据中心网络不连续），2012 年 1 月 © 2012 思科和/或其附属公司。版权所有。本文档所含内容为思科公开发布的信息。 保障安全性的策略和架构方法 利用思科技术，客户能够为任何类型的物理、虚拟或混合数据中心实施做好准备。 思科凭借在整个基础设施、网络和安全方面的核心优势 ，可提供独特的安全保障方法。在这种方法中，安全性成为一种 可编程的元素，不仅可以利用底层网络基础设施 ，还可以覆盖多种设备形式，通过更多的网络实施点加快制定安全决 策 ，满足业务需求，而且不会产生任何延迟 3 。此外 ，安全性还成为一种统一因素，可保证端点到服务器以及用户到应 用的信息流顺畅无阻且安全可靠。此方法与一些分析师所说的“过时的”网络功能 4 以及其他网