軟件定義數(shù)據(jù)中心的安全
當(dāng)今,數(shù)據(jù)中心的幾乎所有組件都是以硬件資源整合庫(kù)的形式運(yùn)作。無(wú)論是計(jì)算、儲(chǔ)存還是網(wǎng)絡(luò)能力,您都可以按照自身要求以最有效的方式配備、運(yùn)作和管理您的資源。這些軟件定義數(shù)據(jù)中心(SDDC)的工作分散到多臺(tái)電腦,甚至多個(gè)地點(diǎn),按需求擴(kuò)展和聯(lián)系。SDDC架構(gòu)包含所有數(shù)據(jù)中心功能:虛擬機(jī)、軟件定義網(wǎng)絡(luò)、軟件定義儲(chǔ)存、云計(jì)算、自動(dòng)化、管理和安全。
隨著各組件的虛擬化,各項(xiàng)支持功能需要適應(yīng)壓力,而安全系統(tǒng)現(xiàn)在正回應(yīng)這種壓力。傳統(tǒng)安全架構(gòu)從預(yù)備、工作和網(wǎng)絡(luò)流中脫離。隨著數(shù)據(jù)中心從一臺(tái)巨型機(jī)器發(fā)展到成百上千臺(tái)機(jī)器,主要依靠周邊防御和機(jī)器、網(wǎng)絡(luò)的分散保障安全,也就是所謂的安全區(qū)。不幸的是,管理這些安全區(qū)非常復(fù)雜,因此大多數(shù)客戶只創(chuàng)建少量安全區(qū)。在這個(gè)模型中,安全地執(zhí)行發(fā)生在周邊,并依據(jù)傳統(tǒng)創(chuàng)建出一個(gè)不可管理的集中化規(guī)則。
保護(hù)SDDC的新方法就是虛擬隔離和微分割。每個(gè)工作負(fù)載現(xiàn)在都擁有自己的周邊防御,與數(shù)據(jù)中心的其他部分隔離,然后再按需要應(yīng)用規(guī)則。這些規(guī)則與應(yīng)用緊密相關(guān)。訪問(wèn)被壓縮到僅提供必要的權(quán)限,限制惡意行動(dòng)。如果虛擬機(jī)轉(zhuǎn)移,其規(guī)則隨之轉(zhuǎn)移。
在以前,數(shù)據(jù)中心中的流通主要是從客戶端到服務(wù)器,也就是所謂的南北流通。建立周邊防御和網(wǎng)絡(luò)碎片是為了按功能或部門分流流量和防御外界威脅。而在今天,數(shù)據(jù)中心有高達(dá)80%的流通是在內(nèi)部進(jìn)行,即東西流通。根據(jù)我們以前的觀察,只要有威脅穿過(guò)了周邊防火墻,數(shù)據(jù)中心就變得毫無(wú)防備。數(shù)據(jù)分區(qū)需要適應(yīng)這種新情況,對(duì)獨(dú)立的流應(yīng)用規(guī)則和引導(dǎo)流量,防御一切有可能的攻擊威脅。規(guī)則的配置和應(yīng)用都是基于邏輯分組而非物理分組。
SDDC的安全系統(tǒng)需要比周邊防火墻更強(qiáng)大的功能,入侵監(jiān)控和預(yù)防,深度文件分析和文件聲譽(yù)管理,行為分析,高級(jí)威脅防御和自動(dòng)程序檢測(cè),這些功能都是必須的。通過(guò)將流量導(dǎo)向適當(dāng)?shù)奶摂M安全引擎,這些功能和其他防護(hù)功能都可以在必要時(shí)發(fā)生功用。
舉例說(shuō)明,在一個(gè)典型的由網(wǎng)絡(luò)層面、應(yīng)用層面和數(shù)據(jù)庫(kù)層面構(gòu)建的三層情景中,SDDC安全會(huì)應(yīng)用到每一個(gè)邊界層,提供各層面的全方位防護(hù)。存放敏感信息的數(shù)據(jù)庫(kù)層會(huì)擁有更先進(jìn)的安全和數(shù)據(jù)丟失防護(hù)功能,而網(wǎng)絡(luò)層面會(huì)更關(guān)注于惡意地址、鏈接和堆棧漏洞。
通過(guò)整合軟件定義安全和軟件定義網(wǎng)絡(luò),您將獲得更敏銳和更高效的安全解決方案,為您的數(shù)據(jù)中心中的所有流量,而非僅南北流量提供先進(jìn)威脅防護(hù)。安全服務(wù)會(huì)根據(jù)規(guī)則,而非物理或階層架構(gòu)注入新的工作流中。安全防護(hù)能力與數(shù)據(jù)中心的其他部分相匹配,減少潛在瓶頸。虛擬安全現(xiàn)在已成為現(xiàn)實(shí)。
保護(hù)軟件定義基礎(chǔ)架構(gòu)
英特爾安全控制器(ISC)會(huì)像管理程序一樣歸納和控制安全功能。與物理安全應(yīng)用嘗試實(shí)時(shí)區(qū)分和保護(hù)多個(gè)虛擬流不同,您的虛擬工作是由虛擬的、分散的安全應(yīng)用所保護(hù),它們會(huì)專注于特定的一些服務(wù)和規(guī)則。這樣就顯著降低了新應(yīng)用或服務(wù)部署安全系統(tǒng)的成本和時(shí)間。
無(wú)論您現(xiàn)在用的是VMWare、Cisco、OpenStack還是OpenDaylight,部署、調(diào)整應(yīng)用、網(wǎng)絡(luò)分區(qū)或其他虛擬架構(gòu)都已變得更加簡(jiǎn)單。ISC會(huì)部署虛擬感應(yīng)器到運(yùn)行環(huán)境下,進(jìn)行監(jiān)控并向安全管理器報(bào)告,由其分析數(shù)據(jù)并指揮采取合適的行動(dòng)。ISC無(wú)需花費(fèi)數(shù)小時(shí)來(lái)配置和整合每臺(tái)虛擬機(jī),其感應(yīng)器的部署是自動(dòng)且動(dòng)態(tài)的。
邁克菲網(wǎng)絡(luò)安全平臺(tái)的智能高性能安全引擎和下一代防火墻提供各種安全功能,在物理和虛擬架構(gòu)上可以達(dá)成規(guī)則一致,提供保護(hù)和執(zhí)行安全。安全功能成為您的服務(wù)和應(yīng)用的另一個(gè)資源庫(kù),在節(jié)省整合到各項(xiàng)工作的成本的前提下滿足各個(gè)工作負(fù)載的特定需求。調(diào)整也很簡(jiǎn)單,如果您需要更高的安全性能,只需在增加計(jì)算或儲(chǔ)存能力的同時(shí),增加安全資源庫(kù)的大小。
軟件定義架構(gòu)需要一種新的安全手段,具有靈活、滲透力強(qiáng)且高效率多功能性的軟件定義安全。結(jié)合最佳物理和虛擬安全性能的英特爾安全控制器就是回答這個(gè)革新問(wèn)題的最佳答案。
.gif)
