企業活用 VMware NSX 微分段功能以自動化和彈性規則令軟件定義數據中心更安全

隨著虛擬化和雲端計算技術日漸成熟,近年不少企業為了提升效率和降低成本,在數據中心內透過軟件將大量伺服器虛擬化,但是由於未能將當中的防火牆、路由器、負載平衡和 VPN 等功能以軟件虛擬化,令網絡和保安設定無法自動化部署,大大加重網絡管理員的工作壓力。

VMware NSX 發揮 SDDC 最大效能

VMware NSX 網絡虛擬化平台透過軟件部署虛擬機器內的網絡組件,協助正在架設軟件定義數據中心 (Software Defined DataCenterSDDC) 的企業解決上述問題,發揮SDDC 最大效能。企業可以隨時按需求進行配置,甚至馬上複製不同的數據中心,令網絡和儲存配置時間由數天大幅縮短到數分鐘,除此以外更可因應個別要求自動部署不同的網絡功能和保安政策,大幅提升軟件定義數據中心的安全。

傳統數據中心保安機制可分為主機 (Host based) 和網絡 (Network based) 兩部份,主機保安主要由內置的防毒和反惡意程式負責,網絡保安則由防火牆和入侵防禦系統(Intrusion Prevention SystemIPS) 等裝置提供對外防禦,因主機之間只會透過交換器直接溝通,負責網絡保安的外部防火牆無法為主機間提供保護。當黑客利用防火牆漏洞入侵,或透過惡意程式感染主機電腦系統,再突破防火牆保護時,就可輕易攻擊數據中心內的主機和虛擬機器。

SDDC 的安全區保安考慮

雖然根據金融、證券和政府等不同行業的資訊安全管理規範,已將數據中心分成資料儲存區和備份區等安全區區隔(Segmentation) 提供保護,但每個安全區通常在相同網絡網段 (Network Segment) 內,在防火牆以網段進行安全區區分情況下,只能做到安全區之間的保護,而無法做到同網段的安全區內保護。

由於防火牆安全規則跟 IP 位址等網絡設定掛勾,因而產生大量管理和維護問題,例如需要設定大量規則才可為特定作業系統和用戶群組提供不同程度保護;IP 位址被修改後需同步更改相應設定才能繼續提供防護;在私有雲、虛擬化和自動化環境下變更或部署虛擬機器時,令保安設定欠彈性並大幅增加企業配置網絡安全政策的難度。雖然在不同安全區加入防火牆可提升網絡安全度,但安全區之間的傳輸速度將受制於防火牆處理能力 (Throughput),配置大量防火牆除大增數據中心營運成本外,更會導致網絡效能下降。

NSX 微分段為 VM 提供分散式防火牆

VMware NSX 的推出,正好解決了上述 SDDC 正面對的保安難題。VMware NSX 為軟件定義數據中心提供一個凌駕於實體網絡上的虛擬網絡層,並提供具邏輯交換、路由、服務品質 (QoS)、負載平衡、VPN、防火牆保護和監控等功能的跨平台 Layer 2 Layer 3 網絡,協助企業在虛擬化環境下進行管理及監控。數據中心內的主機雖可透過內置防火牆,防禦主機之間的網絡攻擊,但企業往往為了方便管理和控制,很多時僅將防火牆設定為不同屬性、用戶或業務的安全區間提供防護,沒有細緻劃分。而 VMware NSX 則將分散式防火牆 (Distributed Firewall) 嵌入 Hypervisor 核心內,由於每台虛擬機器均受 Hypervisor 內的分散式防火牆保護,令受保護範圍的安全區區隔延伸至每台虛擬機器,為同網段內的每個安全區提供獨立保護 ( Micro-Segmentation 功能 )

VMware NSX 將分散式防火牆 (Distributed Firewall) 嵌入 Hypervisor 核心內,令每台虛擬機器均受防火牆保護。
VMware NSX 將分散式防火牆 (Distributed Firewall) 嵌入 Hypervisor 核心內,令每台虛擬機器均受防火牆保護。

強化數據中心網絡安全、簡化管理與維護工作

以往企業規劃數據中心網絡保安時,需要花費大量時間針對不同系統、用戶群組和應用程式設定防火牆規則,而且部署時極易受環境、設定複雜度和人為疏失等因素影響,導致網絡出現安全漏洞。由於 VMware NSX 已內置防火牆功能,企業使用該方案部署數據中心網絡保安政策時,只需利用當中的管理程式定義,設定用戶群組和應用程式的防火牆規則,再將不同主機中同類型服務歸納在相同的虛擬交換器上,就可輕易透過虛擬交換器進行網絡分割和隔離。以往企業在數據中心增加伺服器或虛擬機器時,均需新增相應的防火牆規則,但改用 VMware NSX 方案後,新增虛擬機器時可依照其屬性自動被加入對應的安全群組,自動套用之前設定好的對應防火牆規則,大幅減低配置複雜度及人為疏失的可能性。

一直以來防火牆都是數據中心的網絡效能瓶頸,VMware NSX 內置的防火牆可在每個分散式虛擬路由器上並行處理,解決防火牆成工作過度集中所引致的網絡瓶頸問題。除此以外 VMware NSX 支援整合第三方公司提供的安全功能,透過它集中部署合作廠商的進階防火牆、惡意軟體防護、漏洞管理、資料外洩防護 (DLP) 和入侵偵測與防禦系統 (IDS/IPS ) 平台,並可將網絡存取資訊及流量健康狀況進行整合再作分析。

VMware
查詢:3696 6151
網址:http://www.vmware.com

你可能有興趣的內容

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *