軟件定義數(shù)據(jù)中心的安全
當今,數(shù)據(jù)中心的幾乎所有組件都是以硬件資源整合庫的形式運作。無論是計算、儲存還是網(wǎng)絡(luò)能力,您都可以按照自身要求以最有效的方式配備、運作和管理您的資源。這些軟件定義數(shù)據(jù)中心(SDDC)的工作分散到多臺電腦,甚至多個地點,按需求擴展和聯(lián)系。SDDC架構(gòu)包含所有數(shù)據(jù)中心功能:虛擬機、軟件定義網(wǎng)絡(luò)、軟件定義儲存、云計算、自動化、管理和安全。
隨著各組件的虛擬化,各項支持功能需要適應壓力,而安全系統(tǒng)現(xiàn)在正回應這種壓力。傳統(tǒng)安全架構(gòu)從預備、工作和網(wǎng)絡(luò)流中脫離。隨著數(shù)據(jù)中心從一臺巨型機器發(fā)展到成百上千臺機器,主要依靠周邊防御和機器、網(wǎng)絡(luò)的分散保障安全,也就是所謂的安全區(qū)。不幸的是,管理這些安全區(qū)非常復雜,因此大多數(shù)客戶只創(chuàng)建少量安全區(qū)。在這個模型中,安全地執(zhí)行發(fā)生在周邊,并依據(jù)傳統(tǒng)創(chuàng)建出一個不可管理的集中化規(guī)則。
保護SDDC的新方法就是虛擬隔離和微分割。每個工作負載現(xiàn)在都擁有自己的周邊防御,與數(shù)據(jù)中心的其他部分隔離,然后再按需要應用規(guī)則。這些規(guī)則與應用緊密相關(guān)。訪問被壓縮到僅提供必要的權(quán)限,限制惡意行動。如果虛擬機轉(zhuǎn)移,其規(guī)則隨之轉(zhuǎn)移。
在以前,數(shù)據(jù)中心中的流通主要是從客戶端到服務器,也就是所謂的南北流通。建立周邊防御和網(wǎng)絡(luò)碎片是為了按功能或部門分流流量和防御外界威脅。而在今天,數(shù)據(jù)中心有高達80%的流通是在內(nèi)部進行,即東西流通。根據(jù)我們以前的觀察,只要有威脅穿過了周邊防火墻,數(shù)據(jù)中心就變得毫無防備。數(shù)據(jù)分區(qū)需要適應這種新情況,對獨立的流應用規(guī)則和引導流量,防御一切有可能的攻擊威脅。規(guī)則的配置和應用都是基于邏輯分組而非物理分組。
SDDC的安全系統(tǒng)需要比周邊防火墻更強大的功能,入侵監(jiān)控和預防,深度文件分析和文件聲譽管理,行為分析,高級威脅防御和自動程序檢測,這些功能都是必須的。通過將流量導向適當?shù)奶摂M安全引擎,這些功能和其他防護功能都可以在必要時發(fā)生功用。
舉例說明,在一個典型的由網(wǎng)絡(luò)層面、應用層面和數(shù)據(jù)庫層面構(gòu)建的三層情景中,SDDC安全會應用到每一個邊界層,提供各層面的全方位防護。存放敏感信息的數(shù)據(jù)庫層會擁有更先進的安全和數(shù)據(jù)丟失防護功能,而網(wǎng)絡(luò)層面會更關(guān)注于惡意地址、鏈接和堆棧漏洞。
通過整合軟件定義安全和軟件定義網(wǎng)絡(luò),您將獲得更敏銳和更高效的安全解決方案,為您的數(shù)據(jù)中心中的所有流量,而非僅南北流量提供先進威脅防護。安全服務會根據(jù)規(guī)則,而非物理或階層架構(gòu)注入新的工作流中。安全防護能力與數(shù)據(jù)中心的其他部分相匹配,減少潛在瓶頸。虛擬安全現(xiàn)在已成為現(xiàn)實。
保護軟件定義基礎(chǔ)架構(gòu)
英特爾安全控制器(ISC)會像管理程序一樣歸納和控制安全功能。與物理安全應用嘗試實時區(qū)分和保護多個虛擬流不同,您的虛擬工作是由虛擬的、分散的安全應用所保護,它們會專注于特定的一些服務和規(guī)則。這樣就顯著降低了新應用或服務部署安全系統(tǒng)的成本和時間。
無論您現(xiàn)在用的是VMWare、Cisco、OpenStack還是OpenDaylight,部署、調(diào)整應用、網(wǎng)絡(luò)分區(qū)或其他虛擬架構(gòu)都已變得更加簡單。ISC會部署虛擬感應器到運行環(huán)境下,進行監(jiān)控并向安全管理器報告,由其分析數(shù)據(jù)并指揮采取合適的行動。ISC無需花費數(shù)小時來配置和整合每臺虛擬機,其感應器的部署是自動且動態(tài)的。
邁克菲網(wǎng)絡(luò)安全平臺的智能高性能安全引擎和下一代防火墻提供各種安全功能,在物理和虛擬架構(gòu)上可以達成規(guī)則一致,提供保護和執(zhí)行安全。安全功能成為您的服務和應用的另一個資源庫,在節(jié)省整合到各項工作的成本的前提下滿足各個工作負載的特定需求。調(diào)整也很簡單,如果您需要更高的安全性能,只需在增加計算或儲存能力的同時,增加安全資源庫的大小。
軟件定義架構(gòu)需要一種新的安全手段,具有靈活、滲透力強且高效率多功能性的軟件定義安全。結(jié)合最佳物理和虛擬安全性能的英特爾安全控制器就是回答這個革新問題的最佳答案。
.gif)
