如今的工作負(fù)載不再局限于簡單的客戶端-服務(wù)器模型,這種模型依靠傳統(tǒng)的外圍安全性來保護(hù)網(wǎng)絡(luò)。服務(wù)器虛擬化、容器化、微服務(wù)和融合基礎(chǔ)設(shè)施等數(shù)據(jù)中心發(fā)展趨勢導(dǎo)致工作負(fù)載高度分散和動(dòng)態(tài),使得內(nèi)部網(wǎng)絡(luò)由于攻擊面更大而更加脆弱。為了保護(hù)資產(chǎn),安全團(tuán)隊(duì)越來越多地轉(zhuǎn)向微分段網(wǎng)絡(luò)。
微分段將內(nèi)部網(wǎng)絡(luò)劃分為可以單獨(dú)保護(hù)的邏輯區(qū)域。VMware公司已將微分段整合到可用于其超融合平臺(tái)的VMware NSX軟件定義的網(wǎng)絡(luò)(SDN)中。最近,Nutanix公司推出了自己的SDN產(chǎn)品Flow(集成微分段)。與VMware NSX相似,Nutanix Flow是Nutanix超融合基礎(chǔ)設(shè)施(HCI)平臺(tái)的可選附加組件,該平臺(tái)使用微分段來保護(hù)其虛擬環(huán)境。
盡管VMware NSX和Nutanix Flow有一些相似之處,但它們采用了截然不同的實(shí)現(xiàn)方法。在深入研究VMware NSX與Nutanix HCI微分段之前,以下定義什么是微分段網(wǎng)絡(luò)安全,并探討其工作原理。
什么是微分段?
微分段是一種用于跨數(shù)據(jù)中心和云計(jì)算環(huán)境創(chuàng)建邏輯區(qū)域的方法,使組織可以在工作負(fù)載、應(yīng)用程序、操作系統(tǒng)或虛擬機(jī)級(jí)別定義區(qū)域。對于每個(gè)區(qū)域,管理員都應(yīng)用安全策略來控制對該區(qū)域中資源的訪問,與傳統(tǒng)方法相比,可以對內(nèi)部網(wǎng)絡(luò)提供更精細(xì)的控制。
微分段有助于解決數(shù)據(jù)中心東西向流量(在組織的局域網(wǎng)上發(fā)生的服務(wù)器到服務(wù)器通信)中的安全漏洞。近年來,隨著現(xiàn)代應(yīng)用程序和基礎(chǔ)設(shè)施的出現(xiàn),東西向流量有所增加。傳統(tǒng)的網(wǎng)絡(luò)安全機(jī)制通常專注于南北向的網(wǎng)絡(luò)流量,以保護(hù)客戶端到服務(wù)器的通信,從而使內(nèi)部流量易受攻擊,并且對于IT團(tuán)隊(duì)來說是不可見的。
通過使用虛擬化技術(shù),將內(nèi)部網(wǎng)絡(luò)劃分為微分段,這使安全團(tuán)隊(duì)可以更好地了解東西向流量,并使他們可以通過分配特定于區(qū)域的安全策略來控制每個(gè)區(qū)域內(nèi)的網(wǎng)絡(luò)訪問。這些策略確定了允許進(jìn)入或離開區(qū)域的通信類型,同時(shí)阻止了所有未經(jīng)授權(quán)的訪問。例如,其策略可以指定應(yīng)用程序是否可以共享數(shù)據(jù),需要哪些用戶授權(quán)才能建立通信或可以共享數(shù)據(jù)的方向。
通過這種控制級(jí)別,安全團(tuán)隊(duì)可以根據(jù)工作負(fù)載和其他要求設(shè)計(jì)安全策略,同時(shí)實(shí)現(xiàn)零信任環(huán)境,該環(huán)境只允許經(jīng)過批準(zhǔn)的應(yīng)用程序活動(dòng)。由于這些策略與邏輯區(qū)域相關(guān)聯(lián),因此它們可以在工作負(fù)載移動(dòng)時(shí)跟隨工作負(fù)載,而不是附加到物理屬性上,這有助于適應(yīng)當(dāng)今的動(dòng)態(tài)應(yīng)用程序。
微分段可以更輕松地查看和維護(hù)本地網(wǎng)絡(luò),同時(shí)減少網(wǎng)絡(luò)攻擊面。它還可以幫助遏止數(shù)據(jù)泄露行為的發(fā)生。即使黑客突破了網(wǎng)絡(luò)的外部防御,微分段也可能阻止他們訪問整個(gè)內(nèi)部網(wǎng)絡(luò)。此外,微分段有助于隔離網(wǎng)絡(luò)問題、滿足法規(guī)遵從性要求并實(shí)現(xiàn)跨環(huán)境的一致安全性。它還減少了對內(nèi)部防火墻的需要以及隨之而來的維護(hù)。
組織通常發(fā)現(xiàn)微分段網(wǎng)絡(luò)在虛擬化環(huán)境中特別有效,在虛擬環(huán)境中,虛擬機(jī)根據(jù)其支持的工作負(fù)載被分組為微分段。在虛擬化環(huán)境中,所有流量都流經(jīng)管理程序,從而可以完全了解環(huán)境網(wǎng)絡(luò)。這種可見性使安全團(tuán)隊(duì)可以采取策略驅(qū)動(dòng)的方法來控制虛擬機(jī)的通信方式,并在工作負(fù)載或虛擬機(jī)級(jí)別應(yīng)用這些策略。
鑒于虛擬化是超融合基礎(chǔ)設(shè)施(HCI)的關(guān)鍵,因此VMware和Nutanix將微分段網(wǎng)絡(luò)技術(shù)集成到其SDN平臺(tái)中也就不足為奇了。管理員可以為在其超融合基礎(chǔ)設(shè)施(HCI)上運(yùn)行的工作負(fù)載創(chuàng)建微分段,并將精細(xì)的安全控制應(yīng)用于每個(gè)微分段。這樣,他們可以完全控制虛擬機(jī)的通信方式和工作流程。
VMware NSX微分段
VMware NSX是一個(gè)網(wǎng)絡(luò)虛擬化平臺(tái),它包括許多用于創(chuàng)建、保護(hù)和管理虛擬網(wǎng)絡(luò)的組件。其中一個(gè)主要組件是NSX數(shù)據(jù)中心,它提供了一整套第二層到第七層的網(wǎng)絡(luò)服務(wù),包括路由器、交換機(jī)、防火墻、負(fù)載平衡。
微分段是NSX數(shù)據(jù)中心的核心。該技術(shù)為安全團(tuán)隊(duì)提供了對應(yīng)用程序、服務(wù)和工作負(fù)載之間的流量進(jìn)行精細(xì)控制的能力,無論它們是在虛擬機(jī)中運(yùn)行還是在容器中運(yùn)行,還是在多云環(huán)境中運(yùn)行。
根據(jù)VMware的說法,NSX微分段可以保護(hù)所有東西向流量并實(shí)現(xiàn)零信任級(jí)別的安全性。NSX使用虛擬化技術(shù)創(chuàng)建越來越精細(xì)的區(qū)域,將其隔離并分別保護(hù)它們。微分段完全由軟件定義和管理,有助于提高靈活性和簡化操作。當(dāng)企業(yè)部署新的工作負(fù)載時(shí),它們可以自動(dòng)繼承在其整個(gè)生命周期中始終存在的安全策略。
管理員可以基于對應(yīng)用程序和基礎(chǔ)架構(gòu)的場景了解來創(chuàng)建NSX策略,并考慮諸如工作負(fù)載屬性、用戶和身份屬性或法規(guī)遵從性等因素。NSX在其微分段中還支持自適應(yīng)安全性,它利用現(xiàn)有環(huán)境的知識(shí)來創(chuàng)建可應(yīng)用于各個(gè)微分段的安全策略。
在實(shí)施微分段之前,管理員可以運(yùn)行vRealize Network Insight以獲取網(wǎng)絡(luò)流量的全面視圖,以準(zhǔn)備定義微分段。但是在他們可以部署微分段之前,他們必須安裝NSX數(shù)據(jù)中心。雖然這不需要更改物理網(wǎng)絡(luò),但安裝過程可能會(huì)非常復(fù)雜。
一旦安裝了NSX數(shù)據(jù)中心,管理員就可以再次使用Network Insight來定義應(yīng)用程序邊界,并確定從哪個(gè)應(yīng)用程序開始。他們還可以使用其他NSX工具來幫助識(shí)別微分段并應(yīng)用安全策略,以確保他們能夠完全控制超融合基礎(chǔ)設(shè)施(HCI)環(huán)境中的網(wǎng)絡(luò)通信。
Nutanix Flow微分段
Nutanix公司出售軟件定義網(wǎng)絡(luò)Nutanix Flow,作為Nutanix Acropolis平臺(tái)的可選附件。Nutanix Flow的主要功能之一是微分段,它支持對進(jìn)出虛擬機(jī)或虛擬機(jī)組的所有流量進(jìn)行粒度控制和治理。使用微分段,只有允許的通信才能在應(yīng)用層或其他邏輯邊界之間發(fā)生。管理員可以通過Prism Central管理流的所有方面,包括微分段。
Nutanix Flow微分段作為一種分布式虛擬機(jī)防火墻,完全集成到AHV虛擬化平臺(tái)和Prism管理服務(wù)中,這兩種服務(wù)都包含在所有的Acropolis版本中。通過微分段,流量保證保護(hù)所有進(jìn)出虛擬機(jī)的東西向流量。安全團(tuán)隊(duì)可以利用他們對每個(gè)應(yīng)用程序的預(yù)期狀態(tài)和行為的了解來優(yōu)化其超聚合環(huán)境中的網(wǎng)絡(luò)安全。
所有Nutanix Flow微分段操作都在AHV虛擬基礎(chǔ)設(shè)施內(nèi)部進(jìn)行,其中使用微分段將虛擬網(wǎng)絡(luò)劃分為邏輯邊界,這取決于開發(fā)人員如何構(gòu)建他們的應(yīng)用程序。與NSX數(shù)據(jù)中心一樣,分段過程與底層物理網(wǎng)絡(luò)無關(guān)。創(chuàng)建微分段之后,管理員可以應(yīng)用控制虛擬機(jī)和應(yīng)用程序通信的安全策略。
Nutanix Flow支持三種類型的策略:應(yīng)用程序、孤立和隔離。管理員可以使用Prism Central中的Nutanix Flow可視化將這些策略組合起來,以創(chuàng)建復(fù)雜的保護(hù)方案。可視化極大地簡化了策略管理,并易于理解它們的應(yīng)用方式。Nutanix Flow還提供了一種特殊的測試模式,用于在將策略應(yīng)用于微分段之前驗(yàn)證是否已正確配置了策略。
VMware NSX與Nutanix Flow微分段網(wǎng)絡(luò)
Nutanix公司進(jìn)入微分段市場比VMware晚得多,但是它創(chuàng)建了易于啟用和管理的服務(wù)。由于Nutanix Flow內(nèi)置在管理程序中,因此無需完成復(fù)雜的設(shè)置任務(wù)。管理員只需單擊幾下即可啟用該服務(wù),他們也可以通過Prism Central輕松管理和分配策略。
在最基本的層面上,F(xiàn)low和NSX微分段相似。最大的區(qū)別在于復(fù)雜性。建立和維護(hù)NSX數(shù)據(jù)中心的過程要復(fù)雜得多,但這是有原因的。NSX平臺(tái)也是一個(gè)更廣泛和完整的軟件定義平臺(tái)。它不僅提供場景感知和自適應(yīng)微分段等功能,還包括與微分段相結(jié)合的工具,以更好地控制網(wǎng)絡(luò)環(huán)境。
例如,NSX提供服務(wù)定義的防火墻,它收集和分析有關(guān)應(yīng)用程序及其通信的信息。通過這個(gè)分析,該服務(wù)將創(chuàng)建應(yīng)用程序拓?fù)涞木C合地圖,并根據(jù)觀察到的流量生成建議。
另一個(gè)區(qū)別是Nutanix Flow只為虛擬機(jī)提供微分段,而NSX為虛擬機(jī)和容器都提供微分段。 Kubernetes平臺(tái)或Cloud Foundry平臺(tái)都可以托管容器,這些容器可以在虛擬機(jī)或裸機(jī)上運(yùn)行。NSX還可以跨數(shù)據(jù)中心、公共云和私有云擴(kuò)展虛擬網(wǎng)絡(luò)。
Nutanix Flow和NSX不同的另一個(gè)方面是版本數(shù)量。NSX有多個(gè)版本,并非所有功能都可用。例如,標(biāo)準(zhǔn)版不支持微分段。Nutanix Flow僅提供一個(gè)作為AHV附加組件提供的版本,并且易于啟用。
選擇HCI微分段
尋求支持微分段的超融合基礎(chǔ)設(shè)施的決策者必須確定他們獲得的系統(tǒng)實(shí)際上包含微分段功能。例如,Dell EMC公司特別聲明Dell EMC VxRail上的VMware Cloud Foundation包括對NSX和微分段的支持。富士通的Primeflex for VMware Cloud Foundation也是如此。
但是對于VMware而言,供應(yīng)商只是說其平臺(tái)包括NSX是不夠的,必須明確表明支持微分段,否則可能會(huì)獲得NSX數(shù)據(jù)中心標(biāo)準(zhǔn)版。
Nutanix Flow的情況并非如此嚴(yán)格,因?yàn)橹挥幸粋€(gè)版本,并且這一版本支持微分段。如果套件中包含Nutanix Flow,則微分段也是包含。但是仍然需要采用一些工具。例如,Lenovo ThinkAgile HX2320 Appliance包含Nutanix HCI軟件,但Nutanix Flow被認(rèn)為是可選組件,不屬于基本套件。
組織可能不會(huì)僅基于微分段的實(shí)現(xiàn)方式在VMware與Nutanix超融合基礎(chǔ)設(shè)施之間進(jìn)行選擇。如果這樣做的話,他們可能會(huì)權(quán)衡Nutanix Flow的簡單性與NSX廣泛的功能集。在大多數(shù)情況下,決策者將重點(diǎn)放在更大的范圍上,同時(shí)考慮到超融合基礎(chǔ)設(shè)施(HCI)平臺(tái)的所有方面,包括SDN組件。但是,無論選擇哪種平臺(tái)(VMware、Nutanix或其他平臺(tái)),他們都應(yīng)該權(quán)衡包括微分段在內(nèi)的價(jià)值。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號(hào)