軟件定義數據中心的安全
當今,數據中心的幾乎所有組件都是以硬件資源整合庫的形式運作。無論是計算、儲存還是網絡能力,您都可以按照自身要求以最有效的方式配備、運作和管理您的資源。這些軟件定義數據中心(SDDC)的工作分散到多臺電腦,甚至多個地點,按需求擴展和聯系。SDDC架構包含所有數據中心功能:虛擬機、軟件定義網絡、軟件定義儲存、云計算、自動化、管理和安全。
隨著各組件的虛擬化,各項支持功能需要適應壓力,而安全系統現在正回應這種壓力。傳統安全架構從預備、工作和網絡流中脫離。隨著數據中心從一臺巨型機器發展到成百上千臺機器,主要依靠周邊防御和機器、網絡的分散保障安全,也就是所謂的安全區。不幸的是,管理這些安全區非常復雜,因此大多數客戶只創建少量安全區。在這個模型中,安全地執行發生在周邊,并依據傳統創建出一個不可管理的集中化規則。
保護SDDC的新方法就是虛擬隔離和微分割。每個工作負載現在都擁有自己的周邊防御,與數據中心的其他部分隔離,然后再按需要應用規則。這些規則與應用緊密相關。訪問被壓縮到僅提供必要的權限,限制惡意行動。如果虛擬機轉移,其規則隨之轉移。
在以前,數據中心中的流通主要是從客戶端到服務器,也就是所謂的南北流通。建立周邊防御和網絡碎片是為了按功能或部門分流流量和防御外界威脅。而在今天,數據中心有高達80%的流通是在內部進行,即東西流通。根據我們以前的觀察,只要有威脅穿過了周邊防火墻,數據中心就變得毫無防備。數據分區需要適應這種新情況,對獨立的流應用規則和引導流量,防御一切有可能的攻擊威脅。規則的配置和應用都是基于邏輯分組而非物理分組。
SDDC的安全系統需要比周邊防火墻更強大的功能,入侵監控和預防,深度文件分析和文件聲譽管理,行為分析,高級威脅防御和自動程序檢測,這些功能都是必須的。通過將流量導向適當的虛擬安全引擎,這些功能和其他防護功能都可以在必要時發生功用。
舉例說明,在一個典型的由網絡層面、應用層面和數據庫層面構建的三層情景中,SDDC安全會應用到每一個邊界層,提供各層面的全方位防護。存放敏感信息的數據庫層會擁有更先進的安全和數據丟失防護功能,而網絡層面會更關注于惡意地址、鏈接和堆棧漏洞。
通過整合軟件定義安全和軟件定義網絡,您將獲得更敏銳和更高效的安全解決方案,為您的數據中心中的所有流量,而非僅南北流量提供先進威脅防護。安全服務會根據規則,而非物理或階層架構注入新的工作流中。安全防護能力與數據中心的其他部分相匹配,減少潛在瓶頸。虛擬安全現在已成為現實。
保護軟件定義基礎架構
英特爾安全控制器(ISC)會像管理程序一樣歸納和控制安全功能。與物理安全應用嘗試實時區分和保護多個虛擬流不同,您的虛擬工作是由虛擬的、分散的安全應用所保護,它們會專注于特定的一些服務和規則。這樣就顯著降低了新應用或服務部署安全系統的成本和時間。
無論您現在用的是VMWare、Cisco、OpenStack還是OpenDaylight,部署、調整應用、網絡分區或其他虛擬架構都已變得更加簡單。ISC會部署虛擬感應器到運行環境下,進行監控并向安全管理器報告,由其分析數據并指揮采取合適的行動。ISC無需花費數小時來配置和整合每臺虛擬機,其感應器的部署是自動且動態的。
邁克菲網絡安全平臺的智能高性能安全引擎和下一代防火墻提供各種安全功能,在物理和虛擬架構上可以達成規則一致,提供保護和執行安全。安全功能成為您的服務和應用的另一個資源庫,在節省整合到各項工作的成本的前提下滿足各個工作負載的特定需求。調整也很簡單,如果您需要更高的安全性能,只需在增加計算或儲存能力的同時,增加安全資源庫的大小。
軟件定義架構需要一種新的安全手段,具有靈活、滲透力強且高效率多功能性的軟件定義安全。結合最佳物理和虛擬安全性能的英特爾安全控制器就是回答這個革新問題的最佳答案。
