十年前發(fā)生了什么?
雖然 2011 年看起來并沒有那么久遠(yuǎn)(您應(yīng)該還記得皇家婚禮、Kim Kardashian 離婚,當(dāng)然還有 Charlie Sheen 的人設(shè)崩塌),但 10 年來發(fā)生了很多變化。當(dāng)時,大部分?jǐn)?shù)據(jù)中心都才剛剛開始試用虛擬化。還記得嗎,當(dāng)時人們認(rèn)為只有少量不重要的工作負(fù)載采用虛擬化方式處理才是安全的。
而現(xiàn)在,全球大約一半的服務(wù)器已經(jīng)實現(xiàn)了虛擬化,并且我們已經(jīng)遠(yuǎn)遠(yuǎn)超越了虛擬化范疇。幾乎每個企業(yè)數(shù)據(jù)中心都變?yōu)榱嘶旌檄h(huán)境,混合使用物理和虛擬形式的存儲和計算資源。容器化以及為它提供支持的技術(shù)正在開始站穩(wěn)腳跟。當(dāng)然,云計算已經(jīng)普及到企業(yè)計算的方方面面。
現(xiàn)在,當(dāng)今的軟件定義數(shù)據(jù)中心帶來了許多業(yè)務(wù)優(yōu)勢,尤其是在資源效率和成本節(jié)約方面。但不可否認(rèn)的是,復(fù)雜性也提高了,原因在于企業(yè)需要的所有資源都和原來一樣:計算、存儲、交換、路由。只不過現(xiàn)在,這些資源有多少在本地部署環(huán)境中,有多少在云環(huán)境中,都是不確定的。就管理連接、確保滿足業(yè)務(wù)部門的性能需求,以及跟上業(yè)務(wù)和技術(shù)的變革速度而言,管理當(dāng)今的數(shù)據(jù)中心是一項巨大的挑戰(zhàn)。而除此之外,還有一項董事會、業(yè)務(wù)領(lǐng)導(dǎo)者和 IT 從業(yè)者最關(guān)注的挑戰(zhàn):安全性。
我們來看一看當(dāng)今數(shù)據(jù)中心所面臨的一些安全挑戰(zhàn)
您無法保護(hù)您不了解的環(huán)境
我們首先來看一下可見性。在最近和 Omdia 召開的網(wǎng)絡(luò)會議中,該分析機(jī)構(gòu)談?wù)摿怂麄兯Q的網(wǎng)絡(luò)空間安全運維生命周期,概要介紹了有效的 SecOps 所包含的步驟。在該生命周期中,就像在數(shù)據(jù)中心內(nèi)一樣,一切均始于可見性。畢竟,您無法保護(hù)您并不了解的環(huán)境。
數(shù)據(jù)可見性
指您可以查看有關(guān)工作負(fù)載、用戶、設(shè)備和網(wǎng)絡(luò)的可靠實時信息,并且能夠識別出條件變化、風(fēng)險狀況升級或所出現(xiàn)的新威脅。
尤其現(xiàn)在正值疫情時期(希望疫情很快結(jié)束,那么我們就進(jìn)入后疫情時期),您可能會面臨著高度分散的用戶群從遠(yuǎn)程位置訪問數(shù)據(jù)中心資源的情況,而且這種情況基本上是無限期的。
由于這一點,有多少企業(yè)能夠完全確信自己可以實現(xiàn)充分的數(shù)據(jù)中心可見性?如果不能確信,您便不知道自己能否成功地執(zhí)行安全計劃。最后,您實現(xiàn)的可見性越低,您的安全漏洞就越多。
沒有適用的應(yīng)用
接下來看一下應(yīng)用安全性。這個問題可以單獨寫一篇文章討論了,因為您實在是太需要在應(yīng)用內(nèi)以及圍繞應(yīng)用實現(xiàn)安全控制了。
實現(xiàn)應(yīng)用安全需要采用不同的方法,具體取決于該應(yīng)用是傳統(tǒng)本地部署應(yīng)用,還是 SaaS 應(yīng)用。此外,遵循應(yīng)用策略要求是一項持續(xù)挑戰(zhàn)。隨著許多應(yīng)用日益組件化,您需要通過 DevSecOps 流程來確保將安全性融入到實例中,為容器化的甚至是無服務(wù)器的應(yīng)用功能提供支持。
唯一不變的就是一直在變化——快速變革
接下來看一下變革的節(jié)奏。這聽起來有點兒像老生常談,但幾乎每家企業(yè)都在以某種形式進(jìn)行不同程度的數(shù)字化轉(zhuǎn)型,其中涉及重大的 IT 基礎(chǔ)架構(gòu)轉(zhuǎn)型。
但是,數(shù)字化轉(zhuǎn)型有一個不為人知的小秘密,即,它會持續(xù)不斷地加快變革速度,實現(xiàn)更多的云計算基礎(chǔ)架構(gòu)、更多的 SaaS、更多的容器化。在未來十年,您還會面臨著物聯(lián)網(wǎng)和 5G 等方面的挑戰(zhàn)。這意味著,連接到數(shù)據(jù)中心以及向數(shù)據(jù)中心輸入數(shù)據(jù)的設(shè)備呈指數(shù)級增加。因此,數(shù)據(jù)中心安全技術(shù)需要以一種基于策略的自動化驅(qū)動型方法為中心,而且該方法必須能夠適應(yīng)不斷加快的變革速度。
東西向流量呈爆炸式增長是黑客夢寐以求的機(jī)會
最后,我們需要深入了解的一項特定挑戰(zhàn)是東西向流量。隨著數(shù)據(jù)中心的發(fā)展,東西向流量(數(shù)據(jù)中心內(nèi)的流量)呈爆炸式增長。在密度更高、效率更高的數(shù)據(jù)中心內(nèi),工作負(fù)載更多,生成的網(wǎng)絡(luò)流量也更多。在大多數(shù)企業(yè)中,東西向流量現(xiàn)在遠(yuǎn)多于進(jìn)出數(shù)據(jù)中心的南北向流量。東西向流量不會實際離開數(shù)據(jù)中心,但這并不意味著您可以信任它。
對于企圖掩飾惡意橫向移動的攻擊者而言,利用東西向流量是絕好的機(jī)會,可以說,惡意橫向移動是現(xiàn)代數(shù)據(jù)中心環(huán)境內(nèi)最大的問題。不妨想一想橫向移動攻擊的最常見場景,即,盜取有效憑證。如果攻擊者利用合法憑證通過了身份驗證,進(jìn)而進(jìn)入了系統(tǒng),則您需要在網(wǎng)絡(luò)層施加控制,以便能夠識別惡意流量,阻止其遍歷網(wǎng)絡(luò)并加大入侵力度。這樣來看,毫無疑問的是,東西向流量基本上已經(jīng)成為了新的網(wǎng)絡(luò)邊界。
這需要一種新的防火墻
現(xiàn)在公認(rèn)的是:只要具有網(wǎng)絡(luò)邊界,就需要防火墻。因此,企業(yè)現(xiàn)在需要在數(shù)據(jù)中心內(nèi)部實施防火墻保護(hù)。但傳統(tǒng)的邊界防火墻方法不一定適用于東西向流量。
讓我們深入探討一下。
首先,數(shù)據(jù)中心拓?fù)鋾蔀檎系K
尤其是在“軟件定義”已占主導(dǎo)地位的數(shù)據(jù)中心內(nèi),在各個工作負(fù)載之間插入虛擬防火墻保護(hù)并不可行,并且也無法高效地將東西向流量路由到專用防火墻所在的位置。這樣會在虛擬環(huán)境中無端造成物理瓶頸,讓高效、靈活的軟件定義模型從整體上失去了意義。此外,請考慮不同防火墻控制流量的方式以及涉及的流量類型。在邊界處,您主要阻止特定的端口和協(xié)議及 IP 地址范圍,同時,利用新一代防火墻,您是根據(jù)應(yīng)用類型和用戶組控制流量。這非常好,但是需要在東西向流量方面大幅提高控制的精細(xì)度。您可能擁有單個應(yīng)用,但對于該應(yīng)用的 Web 層、應(yīng)用功能層、數(shù)據(jù)庫層等不同功能,均需要執(zhí)行不同的控制。您的防火墻不僅需要能夠了解流量和應(yīng)用,還需要能夠了解應(yīng)用組件以及對什么通信可接受、什么通信不可接受做出規(guī)定的業(yè)務(wù)邏輯。
其次是加密的流量
談及加密的工作負(fù)載內(nèi)流量,若要設(shè)法對這些數(shù)據(jù)包進(jìn)行解密、檢查以及重新加密,需要巨大的開銷,因而通常并不可行。然而,忽略該流量也不是很好的選擇,因為您實際上永遠(yuǎn)不會知道它包含什么內(nèi)容。
因此,您需要東西向防火墻保護(hù)功能,但這并不意味著您需要接受物理和虛擬防火墻的傳統(tǒng)限制?梢圆捎貌煌姆椒,即,引入虛擬邊界的概念,更具體地來說,是微分段的概念。
虛擬邊界:舊概念,新方法
微分段是指使用軟件和策略實施精細(xì)的網(wǎng)絡(luò)分段,精細(xì)到應(yīng)用和工作負(fù)載級別。這并不是全新的概念,但許多企業(yè)仍然還沒有采納它。雖然微分段具有許多和傳統(tǒng)防火墻相同的功能,但它會將防火墻保護(hù)轉(zhuǎn)變?yōu)樘摂M實例中的一項功能。換言之,安全控制內(nèi)置在工作負(fù)載級別,這對數(shù)據(jù)中心防火墻而言是非常重要的一大進(jìn)步。展望未來,防火墻保護(hù)將越來越多地從專用的物理和虛擬設(shè)備轉(zhuǎn)變?yōu)閼?yīng)用、工作負(fù)載或容器中的一項功能。
數(shù)據(jù)中心安全性提高簡單性和高效性
在大多數(shù)企業(yè)中,網(wǎng)絡(luò)空間安全是業(yè)務(wù)部門的重中之重,但安全性需要能夠推動業(yè)務(wù)發(fā)展。長時間生活在這種環(huán)境中的安全領(lǐng)導(dǎo)者知道管理層不希望發(fā)生最糟糕的安全事件,但也不希望由于安全體系架構(gòu)導(dǎo)致人員、流程或技術(shù)和創(chuàng)新速度放緩而阻礙其業(yè)務(wù)發(fā)展。
現(xiàn)在,微服務(wù)和基于功能的防火墻保護(hù)的出色之處是,可以更加輕松地在業(yè)務(wù)流程中靈活地融入安全保護(hù),甚至是在這些流程快速調(diào)整和改變時。不妨看一看下圖顯示的傳統(tǒng)虛擬防火墻模型。
其中,唯一可行的方法是在各工作負(fù)載和工作負(fù)載組之間注入虛擬防火墻實例。防火墻供應(yīng)商將會告訴您:要正確進(jìn)行網(wǎng)絡(luò)分段,您需要許多防火墻,這沒什么大不了的。但是,部署和管理此模型的流程都非常復(fù)雜。它效率低下,成本效益不佳,無疑,也無法促進(jìn)提升業(yè)務(wù)敏捷性。
現(xiàn)在來看一看下圖顯示的微分段模型。
在這種模型中,您仍會獲得相同的防火墻功能,但它們內(nèi)置到每個工作負(fù)載中,并且都具有對防火墻和其他網(wǎng)絡(luò)安全設(shè)置做出規(guī)定的相應(yīng)策略,因此,只要創(chuàng)建了工作負(fù)載,便已經(jīng)實施了安全策略。
從業(yè)務(wù)角度來看,將安全保護(hù)內(nèi)置到重要的數(shù)據(jù)中心資產(chǎn)中有很大的價值。利用這種基于策略的微分段,只要您部署工作負(fù)載,便可以實現(xiàn)工作負(fù)載所需的額外安全控制。您可以阻止橫向移動的威脅,限制應(yīng)用流量,并實現(xiàn)所有零信任訪問優(yōu)勢。此外,您還能夠?qū)Ψ阑饓ΡWo(hù)所實現(xiàn)的那些額外安全功能進(jìn)行分層,例如 IDS/IPS、網(wǎng)絡(luò)流量分析以及虛擬修補(bǔ)。
防火墻保護(hù)不會消失!
不要相信任何人所說的“防火墻保護(hù)將會消失”的說辭,尤其是在數(shù)據(jù)中心內(nèi),防火墻保護(hù)更不會消失。您仍然需要防火墻提供的控制力。然而,傳統(tǒng)的獨立防火墻實例越來越多地開始讓位給作為功能實施的新式防火墻保護(hù)。現(xiàn)在,是時候開始研究這些技術(shù)如何發(fā)揮作用以及它們?yōu)槟钠髽I(yè)提供的好處了。
我希望您能觀看此按需網(wǎng)絡(luò)會議:數(shù)據(jù)中心未來將如何發(fā)展?以便更加深入地了解此主題,包括如何讓該技術(shù)在您的環(huán)境發(fā)中揮作用。
在此會議中,VMware 的核心 IT 基礎(chǔ)架構(gòu)解決方案工程和設(shè)計總監(jiān)將向您講述現(xiàn)實經(jīng)歷,介紹 VMware 自己實現(xiàn)這種全新數(shù)據(jù)中心安全方法的旅程。該總監(jiān)正是實現(xiàn)這些數(shù)據(jù)中心轉(zhuǎn)型場景的實際參與者。如果您不相信我的話,不妨聽聽他說的吧。
掃描下方二維碼立即觀看網(wǎng)絡(luò)會議