在2015年4月的復活節期間，英國倫敦高端珠寶商業區哈頓花園的一家保險箱公司發生一起驚天大劫案。犯罪分子冒充工人，通過電梯進入大樓，用工業電鉆鉆開了50cm厚的混凝土墻，而后關閉了金庫大門上的警報裝置，利用重型切割設備在18英寸厚的金屬門上切開了一個洞。在成功進入金庫后，他們用切割設備割開眾多的保險箱，盜走箱內的貴重物品。據該公司估計損失了價值一億美元珠寶首飾。

更重要的是，盡管竊賊最初觸發了報警，而警方卻回應公司的金庫沒有發現入室盜竊的現象。因此，犯罪分子繼續實施他們的搶劫行為。換句話說，該團伙的搶劫行為并沒有受到打擾，有人猜測這可能有內部人員進行配合。

而對大多數企業來說，他們最寶貴的資產不是黃金和鉆石，而是數據。只是他們的數據沒有存儲在金庫中，而在數據中心里。然而在許多情況下，金庫和數據中心的安保的策略和措施有些類似，組織經常把重點放在加強外部和周邊的安全上，而較少關注內部安全。

如果攻擊者能夠突破外部防線，在他們被發現之前的一段時間中，他們往往可以采用應用程序在竊取數據中心內部數據，并中斷業務流程。就像哈頓花園搶劫金庫的歹徒一樣能夠自由出入而并不被發現。在最近的一些數據中心的漏洞事件中，由于缺乏可見性和內部安全措施，黑客已經訪問數據中心的應用程序和數據長達幾個月之久。

虛擬化環境中的安全挑戰

隨著企業的業務從物理數據中心網絡遷移到虛擬化網絡，加快應用程序的配置和部署，并降低硬件成本和管理時間，這一情況變得更加普遍。在這個新的數據中心環境中，所有的基礎設施元素，其中包括網絡，存儲，計算和安全性都是虛擬化的，并作為服務交付。這種根本的變化意味著保護網絡外圍安全的傳統的方法和措施已經不再適用于解決動態的虛擬化環境。

目前企業面臨的主要安全挑戰是：流量行為的轉變。從歷史上看，大部分的流量是“南北”流量，主要聚焦在數據中心內外網之間邊界，并由傳統的邊界進行安全控制管理?，F在，數據中心的“東西”的流量急劇增加，隨著應用程序的數量成倍增加，這些應用程序需要功能互連和共享數據。隨著應用程序的數量越來越多，黑客有一個更廣泛的目標選擇：他們可以專注于一個單一的低優先級的應用程序，然后使用它開始啟動內部的數據中心的流量橫向流動，而不被發現。因此，周邊安全是遠遠不夠的。

人工配置和政策的變化。在這些新的動態數據中心中，傳統的人為安全管理流程太慢，耗費了IT團隊太多的時間，這意味著安全可能是一個瓶頸，并減緩新的應用交付。人為管理過程也容易出現人為錯誤，并有可能存在安全漏洞。因此，實施自動化的安全管理是必要的，使應用程序進行自動化的配置，并全面地支持數據中心的靈活性。

直到最近，在數據中心內提供先進的威脅防御和安全技術將涉及管理大量不同的VLAN，保持復雜網絡圖，并使用手工流程不斷更新配置?？傊蠖鄶到M織的管理任務都是不切實際的，并且實施困難，價格昂貴。

微分段：金庫內的武裝警衛

但是，如果我們能為保險庫中的每一個保險箱配置一名保安的話，那么，即使攻擊者突破了外圍安全，其內部每一個有價值的資產都會有保護的措施。隨著數據中心日趨軟件定義化，所有的功能管理實質上可以在軟件定義的數據中心（SDDC）使用微分段完成。

微分段的工作原理是數據中心內的資源進行識別和分組，那些群體之間的通信采用特定動態安全策略。然后將數據中心內的流量引導到虛擬安全網關，采用先進的威脅防護技術含量檢測流量的內容，以阻止攻擊者試圖使用攻擊和偵察技術將一個應用程序橫向移動到另一個應用程序。

當一個虛擬機或服務器被檢測到使用上述技術實施攻擊時，它可以被標記為感染，并立即被數據中心的“保安”安全網關自動隔離。這種方式中，即使一個系統遭遇攻擊，也不會危及整個基礎設施。

而一旦應用程序被添加，可能會隨時間的推移得以演變，當務之急是要立即應用其安全策略，并自動適應動態變化。使用集成的云管理和流程控制工具，加強軟件定義的數據中心的安全性，了解有關應用程序的作用、規模，以及其位置。其結果是執行正確的策略，使數據中心內的應用程序安全地相互通信。例如，當服務器添加或修改IP地址，則該對象已經提供和繼承的相關的安全策略，消除了人工流程的需要。

正如虛擬化技術推動了可擴展的、靈活的、易于管理的數據中心的發展，它也提高了下一代數據中心的安全性。通過使用一個集成的、虛擬化的安全平臺，提供SDDC微分段這個先進的安全和威脅防御服務，可動態在軟件定義的數據中心環境中任何需要的地方進行部署。這使組織金庫的外圍有了武裝警衛，保護每個保險箱和他們持有有價值的資產，這有助于阻止數據中心遭遇哈頓花園式的內部攻擊行為。