產品訊息

→新聞中心

 

轉向軟體定義的數據中心及其對安全性的影響

作者: Wayne Anderson 2018 年8月30日

在我們最新的雲採用調查中,57%的企業組織採用混合雲的形式,即公共雲基礎架構即服務(IaaS)和某種形式的私有云數據中心。在McAfee,我們花了很多時間談論使用AWS和Azure等公共雲基礎架構提供商的好處。我們花在討論私有云上的時間較少,而私有云現在越來越多地被軟件定義,因此獲得了“軟件定義數據中心”或SDDC的名稱。

旨在作為SDDC運行的基礎架構提供了雲的靈活性,可以通過IT資源實現最大程度的控制。這種控制能夠實現定義明確的安全控制,並且有可能超越許多團隊在傳統數據中心中使用的能力,尤其是在微觀細分政策方面。

首先,軟件定義數據中心的概念描述了一種環境,其中計算,網絡和存儲都在其運行的物理硬件之上進行虛擬化和抽象化。VMware處理這些虛擬化部署中最大的份額,這是他們將單用途服務器轉變為更具成本效益的虛擬服務器基礎架構的悠久歷史的自然延伸。這裡的重大變化是通過其NSX技術添加網絡虛擬化,從而使網絡免受物理限制,並允許其進行軟件定義。

在物理網絡中,您的基礎架構有一個允許流量進出的邊界。這會將您的控制限制在可以攔截該流量的物理點。在軟件定義的網絡(軟件定義的數據中心的關鍵部分)中,可以在虛擬基礎架構中的每個邏輯點控製網絡。舉一個簡單的例子,假設你有3個運行在3個基於合規性的分組中的VM。以下是您在SDDC中如何構建高級策略:

  1. 第1組:PCI兼容存儲。該組中的每個VM都標記為組1,網絡流量僅限於內部IP。
  2. 第2組:符合GDPR標準的應用程序與客戶數據。同樣,每個VM都標記為其組以共享相同的策略,這次強制執行加密和只讀訪問。
  3. 第3組:具有不同合規性要求的混合使用的通用VM。在這種情況下,每個VM都需要自己的策略。有些可能僅限於單IP訪問,有些則可以訪問互聯網。每個VM策略有效地為您的基礎架構引入了微細分。

這些基本示例的要點是澄清軟件定義數據中心必須微調內部部署資產的策略的機會。如果您還在AWS或Azure中運行,那麼您在內部部署的內容可能包含最敏感的資產,這些資產需要最嚴格的保護。將策略控製到單個VM可為您提供這種靈活性。一旦您在VM級別控制策略,您還可以監視和控制這些VM(即東西或VM內)之間的通信,從而阻止數據中心內從一個VM到另一個VM的橫向威脅移動。

如果您處於某些資產根本無法進入公共雲的狀態,並且您希望改進資源效率和保護策略,則應考慮制定計劃以完全虛擬化您的數據中心,包括網絡。為了幫助您實現這一戰略,我們與VMware和研究公司IDC合作撰寫了一篇關於採用軟件定義數據中心的安全優勢的簡短論文。您可以在此處閱讀以深入了解此主題。

資料來源:https://securingtomorrow.mcafee.com/business/cloud-security/moving-to-a-software-defined-data-center-and-its-impact-on-security/?eid=18CN_AWGLQ1_NL_EM&contactid=1205829&smcid=EM