组织需要探索微分段如何提高网络安全性,以及Nutanix和VMware如何将这项技术引入其软件定义的超融合基础架构。今天的工作负载不再局限于依赖传统边界安全来保护网络的简单客户端-服务器模型。服务器虚拟化、容器化、微服务和融合基础架构等数据中心趋势导致高度分布式和动态的工作负载,由于更大的攻击面,使内部网络更容易受到攻击。为了保护资产,安全团队越来越多地转向微分段网络。微分段将内部网络划分为可以单独保护的逻辑区域。VMware已将微分段整合到VMwareNSX软件定义网络(SDN)中,可用于其超融合平台。最近,Nutanix推出了自己的SDN产品Flow(集成微分段)。与VMwareNSX类似,NutanixFlow是Nutanix超融合基础架构(HCI)平台的可选附加组件,该平台使用微分段来保护其虚拟环境。尽管VMwareNSX和NutanixFlow有一些相似之处,但它们采用截然不同的实施方法。在深入探讨VMwareNSX与NutanixHCI微分段之前,这里先定义一下什么是微分段网络安全,并讨论一下它的工作原理。什么是微细分?微分段是一种跨数据中心和云计算环境创建逻辑区域的方法,允许组织在工作负载、应用程序、操作系统或虚拟机级别定义区域。对于每个区域,管理员应用安全策略来控制对该区域中资源的访问,从而提供比传统方法更精细的内部网络控制。微分段有助于解决数据中心东西向流量(发生在组织LAN上的服务器到服务器通信)中的安全漏洞。近年来,随着现代应用程序和基础设施的出现,东西向流量有所增加。传统的网络安全机制通常侧重于南北向网络流量,以保护客户端到服务器的通信,使内部流量容易受到攻击并且对IT团队不可见。使用虚拟化技术,将内部网络划分为微分段,使安全团队能够更好地了解东西向流量,并允许他们通过分配特定于区域的安全策略来控制每个区域内的网络访问。这些策略确定允许进出该区域的流量类型,同时阻止所有未经授权的访问。例如,它的策略可以指定应用程序是否可以共享数据,建立通信需要哪些用户授权,或者数据可以共享的方向。通过这种级别的控制,安全团队可以根据工作负载和其他要求设计安全策略,同时实现只允许批准的应用程序活动的零信任环境。由于这些策略与逻辑区域相关联,因此它们可以随着工作负载的移动而变化,而不是附加到物理属性,这有助于适应当今的动态应用程序。微分段可以更轻松地查看和维护本地网络,同时减少网络攻击面。它还可以帮助阻止数据泄露的发生。即使黑客突破了网络的外部防御,微分段也可以阻止他们访问整个内部网络。此外,微分段有助于隔离网络问题、满足法规遵从性要求并实现跨环境的一致安全性。它还减少了对内部防火墙及其相关维护的需求。组织经常发现微分段网络在虚拟化环境中特别有效,其中虚拟机根据它们支持的工作负载被分组为微分段。在虚拟化环境中,所有流量都流经管理程序,从而实现对环境网络的完全可见性。这种可见性允许安全团队采用策略驱动的方法来控制虚拟机如何在工作负载或虚拟机级别进行通信和应用这些策略。鉴于虚拟化是超融合基础设施(HCI)的关键,VMware和Nutanix将微分段网络技术集成到他们的SDN平台中也就不足为奇了。管理员可以为其超融合基础设施(HCI)上运行的工作负载创建微分段,并对每个微分段应用精细的安全控制。这样,他们就可以完全控制虚拟机的通信方式和工作流程。VMwareNSX微分段VMwareNSX是一个网络虚拟化平台,包括许多用于创建、保护和管理虚拟网络的组件。其中一个主要组件是NSX数据中心,它提供了一套完整的第2层到第7层网络服务,包括路由器、交换机、防火墙和负载平衡。微分段是NSX数据中心的核心。该技术为安全团队提供了对应用程序、服务和工作负载之间流量的精细控制,无论它们是在虚拟机或容器中运行,还是在多云环境中运行。据VMware称,NSX微分段可保护所有东西向流量并实现零信任安全级别。NSX使用虚拟化来创建越来越精细的区域,隔离它们并单独保护它们。微分段完全在软件中定义和管理,有助于提高灵活性和简化操作。当企业部署新的工作负载时,它们可以自动继承在其整个生命周期中已经实施的安全策略。管理员可以根据对应用程序和基础架构的上下文理解创建NSX策略,同时考虑工作负载属性、用户和身份属性或法规遵从性等因素。NSX还在其微分段中支持自适应安全,它使用现有环境的知识来创建可应用于各个微分段的安全策略。在实施微分段之前,管理员可以运行vRealizeNetworkInsight以全面了解网络流量,为定义微分段做准备。但在部署微分段之前,他们必须安装NSXDataCenter。虽然这不需要更改物理网络,但安装过程可能非常复杂。安装NSXDataCenter后,管理员可以再次使用NetworkInsight来定义应用程序边界并确定从哪个应用程序开始。他们还可以使用其他NSX工具来帮助识别微分段并应用安全策略,以确保他们能够完全控制超融合基础架构(HCI)环境中的网络通信。NutanixFlow微分段Nutanix将软件定义网络NutanixFlow作为NutanixAcropolis平台的可选附加组件进行销售。NutanixFlow的一项关键功能是微分段,它可以对进出一个虚拟机或一组虚拟机的所有流量进行精细控制和治理。使用微分段,只有允许的通信才能跨应用程序层或其他逻辑边界发生。管理员可以通过PrismCentral管理流媒体的所有方面,包括微分段。NutanixFlow微分段充当分布式虚拟机防火墙,完全集成到AHV虚拟化平台和Prism管理服务中,这两者都包含在所有Acropolis版本中。通过微分段,流量保障可以保护进出虚拟机的所有东西向流量。安全团队可以利用他们对每个应用程序的预期状态和行为的了解来优化其超融合环境中的网络安全性。所有NutanixFlow微分段操作都发生在AHV虚拟基础架构内,其中微分段用于将虚拟网络划分为逻辑边界,具体取决于开发人员构建其应用程序的方式。与NSX数据中心一样,分段过程独立于底层物理网络。创建微分段后,管理员可以应用控制虚拟机和应用程序通信的安全策略。NutanixFlow支持三种类型的策略:应用、隔离和隔离。管理员可以结合这些策略,使用PrismCentral中的NutanixFlow可视化来创建复杂的保护场景。可视化极大地简化了策略管理,并使其易于理解它们是如何应用的。NutanixFlow还提供了一种特殊的测试模式,用于在将策略应用于微分段之前验证策略是否已正确配置。VMwareNSX和NutanixFlow微分段网络Nutanix进入微分段市场的时间比VMware晚得多,但它创建了易于启用和管理的服务。由于NutanixFlow内置于管理程序中,因此无需完成复杂的设置任务。管理员只需单击几下即可启用该服务,他们还可以通过PrismCentral轻松管理和分配策略。在最基本的层面上,Flow和NSX微分段是相似的。最大的区别是复杂性。构建和维护NSX数据中心是一个复杂得多的过程,但这是有原因的。NSX平台还是一个更广泛、更完整的软件定义平台。它不仅提供场景感知和自适应微分段等功能,还包括与微分段相结合的工具,以更好地控制网络环境。例如,NSX提供了一个服务定义的防火墙,用于收集和分析有关应用程序及其通信的信息。通过此分析,该服务创建了应用程序拓扑的综合图,并根据观察到的流量生成建议。另一个区别是NutanixFlow只为VM提供微分段,而NSX为VM和容器提供微分段。无论是Kubernetes平台还是CloudFoundry平台都可以托管容器,这些容器可以运行在虚拟机或裸机上。NSX还可以跨数据中心、公有云和私有云扩展虚拟网络。NutanixFlow与NSX的另一个不同之处在于版本数量。NSX有多个版本,并非所有功能都可用。例如,标准版不支持微分段。只有一个版本的NutanixFlow可作为AHV附加组件使用,而且很容易启用。选择HCI微分段寻找支持微分段的超融合基础设施的决策者必须确定他们正在购买的系统实际上包括微分段功能。例如,DellEMC特别指出DellEMCVxRail上的VMwareCloudFoundation包括对NSX和微分段的支持。富士通的PrimeflexforVMwareCloudFoundation也是如此。但对于VMware来说,供应商仅仅说其平台包括NSX是不够的,必须明确说明微分段,否则它可能会获得NSXDataCenterStandardEdition。NutanixFlow的情况并没有那么严格,因为只有一个版本并且该版本支持微分段。如果套件中包含NutanixFlow,微分段也包含在内。但是仍然需要采用一些工具。例如,LenovoThinkAgileHX2320Appliance包括NutanixHCI软件,但NutanixFlow被视为可选组件,而不是基础套件的一部分。组织可能不会仅根据微分段的实施方式在VMware和Nutanix超融合基础架构之间进行选择。如果他们这样做,他们可能会权衡NutanixFlow的简单性和NSX的广泛功能集。在大多数情况下,决策者关注的是大局,考虑到超融合基础设施(HCI)平台的所有方面,包括SDN组件。然而,无论他们选择哪个平台(VMware、Nutanix或其他),他们都应该权衡包含微分段的价值。
