如今的工作負載不再局限于簡單的客戶端-服務(wù)器模型,這種模型依靠傳統(tǒng)的外圍安全性來保護網(wǎng)絡(luò)。服務(wù)器虛擬化、容器化、微服務(wù)和融合基礎(chǔ)設(shè)施等數(shù)據(jù)中心發(fā)展趨勢導(dǎo)致工作負載高度分散和動態(tài),使得內(nèi)部網(wǎng)絡(luò)由于攻擊面更大而更加脆弱。為了保護資產(chǎn),安全團隊越來越多地轉(zhuǎn)向微分段網(wǎng)絡(luò)。
微分段將內(nèi)部網(wǎng)絡(luò)劃分為可以單獨保護的邏輯區(qū)域。VMware公司已將微分段整合到可用于其超融合平臺的VMware NSX軟件定義的網(wǎng)絡(luò)(SDN)中。最近,Nutanix公司推出了自己的SDN產(chǎn)品Flow(集成微分段)。與VMware NSX相似,Nutanix Flow是Nutanix超融合基礎(chǔ)設(shè)施(HCI)平臺的可選附加組件,該平臺使用微分段來保護其虛擬環(huán)境。
盡管VMware NSX和Nutanix Flow有一些相似之處,但它們采用了截然不同的實現(xiàn)方法。在深入研究VMware NSX與Nutanix HCI微分段之前,以下定義什么是微分段網(wǎng)絡(luò)安全,并探討其工作原理。
什么是微分段?
微分段是一種用于跨數(shù)據(jù)中心和云計算環(huán)境創(chuàng)建邏輯區(qū)域的方法,使組織可以在工作負載、應(yīng)用程序、操作系統(tǒng)或虛擬機級別定義區(qū)域。對于每個區(qū)域,管理員都應(yīng)用安全策略來控制對該區(qū)域中資源的訪問,與傳統(tǒng)方法相比,可以對內(nèi)部網(wǎng)絡(luò)提供更精細的控制。
微分段有助于解決數(shù)據(jù)中心東西向流量(在組織的局域網(wǎng)上發(fā)生的服務(wù)器到服務(wù)器通信)中的安全漏洞。近年來,隨著現(xiàn)代應(yīng)用程序和基礎(chǔ)設(shè)施的出現(xiàn),東西向流量有所增加。傳統(tǒng)的網(wǎng)絡(luò)安全機制通常專注于南北向的網(wǎng)絡(luò)流量,以保護客戶端到服務(wù)器的通信,從而使內(nèi)部流量易受攻擊,并且對于IT團隊來說是不可見的。
通過使用虛擬化技術(shù),將內(nèi)部網(wǎng)絡(luò)劃分為微分段,這使安全團隊可以更好地了解東西向流量,并使他們可以通過分配特定于區(qū)域的安全策略來控制每個區(qū)域內(nèi)的網(wǎng)絡(luò)訪問。這些策略確定了允許進入或離開區(qū)域的通信類型,同時阻止了所有未經(jīng)授權(quán)的訪問。例如,其策略可以指定應(yīng)用程序是否可以共享數(shù)據(jù),需要哪些用戶授權(quán)才能建立通信或可以共享數(shù)據(jù)的方向。
通過這種控制級別,安全團隊可以根據(jù)工作負載和其他要求設(shè)計安全策略,同時實現(xiàn)零信任環(huán)境,該環(huán)境只允許經(jīng)過批準的應(yīng)用程序活動。由于這些策略與邏輯區(qū)域相關(guān)聯(lián),因此它們可以在工作負載移動時跟隨工作負載,而不是附加到物理屬性上,這有助于適應(yīng)當今的動態(tài)應(yīng)用程序。
微分段可以更輕松地查看和維護本地網(wǎng)絡(luò),同時減少網(wǎng)絡(luò)攻擊面。它還可以幫助遏止數(shù)據(jù)泄露行為的發(fā)生。即使黑客突破了網(wǎng)絡(luò)的外部防御,微分段也可能阻止他們訪問整個內(nèi)部網(wǎng)絡(luò)。此外,微分段有助于隔離網(wǎng)絡(luò)問題、滿足法規(guī)遵從性要求并實現(xiàn)跨環(huán)境的一致安全性。它還減少了對內(nèi)部防火墻的需要以及隨之而來的維護。
組織通常發(fā)現(xiàn)微分段網(wǎng)絡(luò)在虛擬化環(huán)境中特別有效,在虛擬環(huán)境中,虛擬機根據(jù)其支持的工作負載被分組為微分段。在虛擬化環(huán)境中,所有流量都流經(jīng)管理程序,從而可以完全了解環(huán)境網(wǎng)絡(luò)。這種可見性使安全團隊可以采取策略驅(qū)動的方法來控制虛擬機的通信方式,并在工作負載或虛擬機級別應(yīng)用這些策略。
鑒于虛擬化是超融合基礎(chǔ)設(shè)施(HCI)的關(guān)鍵,因此VMware和Nutanix將微分段網(wǎng)絡(luò)技術(shù)集成到其SDN平臺中也就不足為奇了。管理員可以為在其超融合基礎(chǔ)設(shè)施(HCI)上運行的工作負載創(chuàng)建微分段,并將精細的安全控制應(yīng)用于每個微分段。這樣,他們可以完全控制虛擬機的通信方式和工作流程。
VMware NSX微分段
VMware NSX是一個網(wǎng)絡(luò)虛擬化平臺,它包括許多用于創(chuàng)建、保護和管理虛擬網(wǎng)絡(luò)的組件。其中一個主要組件是NSX數(shù)據(jù)中心,它提供了一整套第二層到第七層的網(wǎng)絡(luò)服務(wù),包括路由器、交換機、防火墻、負載平衡。
微分段是NSX數(shù)據(jù)中心的核心。該技術(shù)為安全團隊提供了對應(yīng)用程序、服務(wù)和工作負載之間的流量進行精細控制的能力,無論它們是在虛擬機中運行還是在容器中運行,還是在多云環(huán)境中運行。
根據(jù)VMware的說法,NSX微分段可以保護所有東西向流量并實現(xiàn)零信任級別的安全性。NSX使用虛擬化技術(shù)創(chuàng)建越來越精細的區(qū)域,將其隔離并分別保護它們。微分段完全由軟件定義和管理,有助于提高靈活性和簡化操作。當企業(yè)部署新的工作負載時,它們可以自動繼承在其整個生命周期中始終存在的安全策略。
管理員可以基于對應(yīng)用程序和基礎(chǔ)架構(gòu)的場景了解來創(chuàng)建NSX策略,并考慮諸如工作負載屬性、用戶和身份屬性或法規(guī)遵從性等因素。NSX在其微分段中還支持自適應(yīng)安全性,它利用現(xiàn)有環(huán)境的知識來創(chuàng)建可應(yīng)用于各個微分段的安全策略。
在實施微分段之前,管理員可以運行vRealize Network Insight以獲取網(wǎng)絡(luò)流量的全面視圖,以準備定義微分段。但是在他們可以部署微分段之前,他們必須安裝NSX數(shù)據(jù)中心。雖然這不需要更改物理網(wǎng)絡(luò),但安裝過程可能會非常復(fù)雜。
一旦安裝了NSX數(shù)據(jù)中心,管理員就可以再次使用Network Insight來定義應(yīng)用程序邊界,并確定從哪個應(yīng)用程序開始。他們還可以使用其他NSX工具來幫助識別微分段并應(yīng)用安全策略,以確保他們能夠完全控制超融合基礎(chǔ)設(shè)施(HCI)環(huán)境中的網(wǎng)絡(luò)通信。
Nutanix Flow微分段
Nutanix公司出售軟件定義網(wǎng)絡(luò)Nutanix Flow,作為Nutanix Acropolis平臺的可選附件。Nutanix Flow的主要功能之一是微分段,它支持對進出虛擬機或虛擬機組的所有流量進行粒度控制和治理。使用微分段,只有允許的通信才能在應(yīng)用層或其他邏輯邊界之間發(fā)生。管理員可以通過Prism Central管理流的所有方面,包括微分段。
Nutanix Flow微分段作為一種分布式虛擬機防火墻,完全集成到AHV虛擬化平臺和Prism管理服務(wù)中,這兩種服務(wù)都包含在所有的Acropolis版本中。通過微分段,流量保證保護所有進出虛擬機的東西向流量。安全團隊可以利用他們對每個應(yīng)用程序的預(yù)期狀態(tài)和行為的了解來優(yōu)化其超聚合環(huán)境中的網(wǎng)絡(luò)安全。
所有Nutanix Flow微分段操作都在AHV虛擬基礎(chǔ)設(shè)施內(nèi)部進行,其中使用微分段將虛擬網(wǎng)絡(luò)劃分為邏輯邊界,這取決于開發(fā)人員如何構(gòu)建他們的應(yīng)用程序。與NSX數(shù)據(jù)中心一樣,分段過程與底層物理網(wǎng)絡(luò)無關(guān)。創(chuàng)建微分段之后,管理員可以應(yīng)用控制虛擬機和應(yīng)用程序通信的安全策略。
Nutanix Flow支持三種類型的策略:應(yīng)用程序、孤立和隔離。管理員可以使用Prism Central中的Nutanix Flow可視化將這些策略組合起來,以創(chuàng)建復(fù)雜的保護方案??梢暬瘶O大地簡化了策略管理,并易于理解它們的應(yīng)用方式。Nutanix Flow還提供了一種特殊的測試模式,用于在將策略應(yīng)用于微分段之前驗證是否已正確配置了策略。
VMware NSX與Nutanix Flow微分段網(wǎng)絡(luò)
Nutanix公司進入微分段市場比VMware晚得多,但是它創(chuàng)建了易于啟用和管理的服務(wù)。由于Nutanix Flow內(nèi)置在管理程序中,因此無需完成復(fù)雜的設(shè)置任務(wù)。管理員只需單擊幾下即可啟用該服務(wù),他們也可以通過Prism Central輕松管理和分配策略。
在最基本的層面上,F(xiàn)low和NSX微分段相似。最大的區(qū)別在于復(fù)雜性。建立和維護NSX數(shù)據(jù)中心的過程要復(fù)雜得多,但這是有原因的。NSX平臺也是一個更廣泛和完整的軟件定義平臺。它不僅提供場景感知和自適應(yīng)微分段等功能,還包括與微分段相結(jié)合的工具,以更好地控制網(wǎng)絡(luò)環(huán)境。
例如,NSX提供服務(wù)定義的防火墻,它收集和分析有關(guān)應(yīng)用程序及其通信的信息。通過這個分析,該服務(wù)將創(chuàng)建應(yīng)用程序拓撲的綜合地圖,并根據(jù)觀察到的流量生成建議。
另一個區(qū)別是Nutanix Flow只為虛擬機提供微分段,而NSX為虛擬機和容器都提供微分段。 Kubernetes平臺或Cloud Foundry平臺都可以托管容器,這些容器可以在虛擬機或裸機上運行。NSX還可以跨數(shù)據(jù)中心、公共云和私有云擴展虛擬網(wǎng)絡(luò)。
Nutanix Flow和NSX不同的另一個方面是版本數(shù)量。NSX有多個版本,并非所有功能都可用。例如,標準版不支持微分段。Nutanix Flow僅提供一個作為AHV附加組件提供的版本,并且易于啟用。
選擇HCI微分段
尋求支持微分段的超融合基礎(chǔ)設(shè)施的決策者必須確定他們獲得的系統(tǒng)實際上包含微分段功能。例如,Dell EMC公司特別聲明Dell EMC VxRail上的VMware Cloud Foundation包括對NSX和微分段的支持。富士通的Primeflex for VMware Cloud Foundation也是如此。
但是對于VMware而言,供應(yīng)商只是說其平臺包括NSX是不夠的,必須明確表明支持微分段,否則可能會獲得NSX數(shù)據(jù)中心標準版。
Nutanix Flow的情況并非如此嚴格,因為只有一個版本,并且這一版本支持微分段。如果套件中包含Nutanix Flow,則微分段也是包含。但是仍然需要采用一些工具。例如,Lenovo ThinkAgile HX2320 Appliance包含Nutanix HCI軟件,但Nutanix Flow被認為是可選組件,不屬于基本套件。
組織可能不會僅基于微分段的實現(xiàn)方式在VMware與Nutanix超融合基礎(chǔ)設(shè)施之間進行選擇。如果這樣做的話,他們可能會權(quán)衡Nutanix Flow的簡單性與NSX廣泛的功能集。在大多數(shù)情況下,決策者將重點放在更大的范圍上,同時考慮到超融合基礎(chǔ)設(shè)施(HCI)平臺的所有方面,包括SDN組件。但是,無論選擇哪種平臺(VMware、Nutanix或其他平臺),他們都應(yīng)該權(quán)衡包括微分段在內(nèi)的價值。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。