在2015年4月的復活節(jié)期間，英國倫敦高端珠寶商業(yè)區(qū)哈頓花園的一家保險箱公司發(fā)生一起驚天大劫案。犯罪分子冒充工人，通過電梯進入大樓，用工業(yè)電鉆鉆開了50cm厚的混凝土墻，而后關(guān)閉了金庫大門上的警報裝置，利用重型切割設(shè)備在18英寸厚的金屬門上切開了一個洞。在成功進入金庫后，他們用切割設(shè)備割開眾多的保險箱，盜走箱內(nèi)的貴重物品。據(jù)該公司估計損失了價值一億美元珠寶首飾。

更重要的是，盡管竊賊最初觸發(fā)了報警，而警方卻回應公司的金庫沒有發(fā)現(xiàn)入室盜竊的現(xiàn)象。因此，犯罪分子繼續(xù)實施他們的搶劫行為。換句話說，該團伙的搶劫行為并沒有受到打擾，有人猜測這可能有內(nèi)部人員進行配合。

而對大多數(shù)企業(yè)來說，他們最寶貴的資產(chǎn)不是黃金和鉆石，而是數(shù)據(jù)。只是他們的數(shù)據(jù)沒有存儲在金庫中，而在數(shù)據(jù)中心里。然而在許多情況下，金庫和數(shù)據(jù)中心的安保的策略和措施有些類似，組織經(jīng)常把重點放在加強外部和周邊的安全上，而較少關(guān)注內(nèi)部安全。

如果攻擊者能夠突破外部防線，在他們被發(fā)現(xiàn)之前的一段時間中，他們往往可以采用應用程序在竊取數(shù)據(jù)中心內(nèi)部數(shù)據(jù)，并中斷業(yè)務(wù)流程。就像哈頓花園搶劫金庫的歹徒一樣能夠自由出入而并不被發(fā)現(xiàn)。在最近的一些數(shù)據(jù)中心的漏洞事件中，由于缺乏可見性和內(nèi)部安全措施，黑客已經(jīng)訪問數(shù)據(jù)中心的應用程序和數(shù)據(jù)長達幾個月之久。

虛擬化環(huán)境中的安全挑戰(zhàn)

隨著企業(yè)的業(yè)務(wù)從物理數(shù)據(jù)中心網(wǎng)絡(luò)遷移到虛擬化網(wǎng)絡(luò)，加快應用程序的配置和部署，并降低硬件成本和管理時間，這一情況變得更加普遍。在這個新的數(shù)據(jù)中心環(huán)境中，所有的基礎(chǔ)設(shè)施元素，其中包括網(wǎng)絡(luò)，存儲，計算和安全性都是虛擬化的，并作為服務(wù)交付。這種根本的變化意味著保護網(wǎng)絡(luò)外圍安全的傳統(tǒng)的方法和措施已經(jīng)不再適用于解決動態(tài)的虛擬化環(huán)境。

目前企業(yè)面臨的主要安全挑戰(zhàn)是：流量行為的轉(zhuǎn)變。從歷史上看，大部分的流量是“南北”流量，主要聚焦在數(shù)據(jù)中心內(nèi)外網(wǎng)之間邊界，并由傳統(tǒng)的邊界進行安全控制管理?，F(xiàn)在，數(shù)據(jù)中心的“東西”的流量急劇增加，隨著應用程序的數(shù)量成倍增加，這些應用程序需要功能互連和共享數(shù)據(jù)。隨著應用程序的數(shù)量越來越多，黑客有一個更廣泛的目標選擇：他們可以專注于一個單一的低優(yōu)先級的應用程序，然后使用它開始啟動內(nèi)部的數(shù)據(jù)中心的流量橫向流動，而不被發(fā)現(xiàn)。因此，周邊安全是遠遠不夠的。

人工配置和政策的變化。在這些新的動態(tài)數(shù)據(jù)中心中，傳統(tǒng)的人為安全管理流程太慢，耗費了IT團隊太多的時間，這意味著安全可能是一個瓶頸，并減緩新的應用交付。人為管理過程也容易出現(xiàn)人為錯誤，并有可能存在安全漏洞。因此，實施自動化的安全管理是必要的，使應用程序進行自動化的配置，并全面地支持數(shù)據(jù)中心的靈活性。

直到最近，在數(shù)據(jù)中心內(nèi)提供先進的威脅防御和安全技術(shù)將涉及管理大量不同的VLAN，保持復雜網(wǎng)絡(luò)圖，并使用手工流程不斷更新配置?？傊?，大多數(shù)組織的管理任務(wù)都是不切實際的，并且實施困難，價格昂貴。

微分段：金庫內(nèi)的武裝警衛(wèi)

但是，如果我們能為保險庫中的每一個保險箱配置一名保安的話，那么，即使攻擊者突破了外圍安全，其內(nèi)部每一個有價值的資產(chǎn)都會有保護的措施。隨著數(shù)據(jù)中心日趨軟件定義化，所有的功能管理實質(zhì)上可以在軟件定義的數(shù)據(jù)中心（SDDC）使用微分段完成。

微分段的工作原理是數(shù)據(jù)中心內(nèi)的資源進行識別和分組，那些群體之間的通信采用特定動態(tài)安全策略。然后將數(shù)據(jù)中心內(nèi)的流量引導到虛擬安全網(wǎng)關(guān)，采用先進的威脅防護技術(shù)含量檢測流量的內(nèi)容，以阻止攻擊者試圖使用攻擊和偵察技術(shù)將一個應用程序橫向移動到另一個應用程序。

當一個虛擬機或服務(wù)器被檢測到使用上述技術(shù)實施攻擊時，它可以被標記為感染，并立即被數(shù)據(jù)中心的“保安”安全網(wǎng)關(guān)自動隔離。這種方式中，即使一個系統(tǒng)遭遇攻擊，也不會危及整個基礎(chǔ)設(shè)施。

而一旦應用程序被添加，可能會隨時間的推移得以演變，當務(wù)之急是要立即應用其安全策略，并自動適應動態(tài)變化。使用集成的云管理和流程控制工具，加強軟件定義的數(shù)據(jù)中心的安全性，了解有關(guān)應用程序的作用、規(guī)模，以及其位置。其結(jié)果是執(zhí)行正確的策略，使數(shù)據(jù)中心內(nèi)的應用程序安全地相互通信。例如，當服務(wù)器添加或修改IP地址，則該對象已經(jīng)提供和繼承的相關(guān)的安全策略，消除了人工流程的需要。

正如虛擬化技術(shù)推動了可擴展的、靈活的、易于管理的數(shù)據(jù)中心的發(fā)展，它也提高了下一代數(shù)據(jù)中心的安全性。通過使用一個集成的、虛擬化的安全平臺，提供SDDC微分段這個先進的安全和威脅防御服務(wù)，可動態(tài)在軟件定義的數(shù)據(jù)中心環(huán)境中任何需要的地方進行部署。這使組織金庫的外圍有了武裝警衛(wèi)，保護每個保險箱和他們持有有價值的資產(chǎn)，這有助于阻止數(shù)據(jù)中心遭遇哈頓花園式的內(nèi)部攻擊行為。