近年来,企业的IT环境日益复杂,多元化的业务应用对平台和基础架构提出了更高的要求,IT流程和管理也面临着新的挑战。无论是应用还是平台,或是数据中心内部,IT资源和形态从集中式转向分布式,伴随着这些现代化特性而来的是多云的技术架构逐渐成为主流。此时,传统的硬件网络安全方案已不再适用于全面数字化的分布式环境,VMware试图用一种全新的软件定义的云安全基础架构,解决企业的网络安全问题。
作为一个支持VMware云网络解决方案的网络虚拟化和安全性平台,VMware NSX已成为多云基础架构的基石,能够以软件定义的方式构建跨数据中心、云环境和应用框架的网络。借助NSX,无论应用是在虚拟机、容器还是在物理服务器上运行,都能够使应用具备更完善的网络连接和安全能力。用户可以创建多个具有不同要求的虚拟网络,利用由NSX或范围广泛的第三方集成(从新一代防火墙到高性能管理解决方案)生态系统提供的服务组合构建本质上更敏捷、更安全的环境,并将这些服务延展至同一云环境内部或跨多个云环境的各种端点。
今年9月,VMware推出了一系列扩大网络和安全产品组合的创新技术,包括Project Northstar,提供多云网络、安全和端到端可视化服务;将网络检测和可视化扩展至VMware Carbon Black Cloud端点保护平台;Project Trinidad,进一步扩展并推进VMware API安全与分析服务;Project Watch,实现多云网络和安全的新方法,提供先进的应用到应用策略控制。其中,Project Northstar可以提供多云网络、安全、工作负载移动性以及端到端威胁检测和响应,并通过集中式云端控制台实现一致、经过简化的软件即服务消费。该服务系列包括针对私有云环境和VMware Cloud部署的网络和安全策略管理、网络检测和响应(NDR)、网络可视化和分析(NSX Intelligence)、高级负载平衡(ALB)以及工作负载移动性(HCX)。
“我们希望帮助客户以云的方式对数据中心进行智能运维,同时为他们提供多云的解决方案。传统的运维模式下,替换硬件需要较长的时间,而在云模式下就会变得模块化,组件或服务可以灵活扩展,随时按需升级。这些功能都以软件的形式来实现,虚拟化、分布式的架构设计能够快速增减资源。”VMware网络和安全亚太区高级销售总监叶逾健谈到,“如果客户担心软件方案的性能瓶颈,我们还可以将其运行在DPU上,把NSX、防火墙、负载均衡等功能放在DPU内,支持各种现代化的工作负载。”
VMware网络和安全亚太区高级销售总监叶逾健
例如,应用和应用之间东西向流量较大的分布式应用,或是电信运营商的5G边缘云等,都是DPU的落地场景。尽管当前DPU的网卡成本是普通网卡的2-3倍,但随着性比价逐渐显现,会有更多的企业看到DPU在高性能和安全性方面的能力,像是原来在Hypervisor内核为虚拟机容器做隔离,有了DPU之后,相应的安全需求就可以真正实现硬件层面的隔离。针对高级的网络威胁,DPU同样能够较好的抵御。
成立于2000年的华讯网络秉承着数智引领、云网融合、安全可信的理念,通过基础网络、信息安全、协作通信、云计算、智能运维等技术,结合IT综合服务能力,为客户提供定制化的IT解决方案和全生命周期的IT服务,服务着金融、电信、互联网、制造、零售、政府、能源、交通、教育、医疗等领域的企业。华讯网络与VMware的合作始于2017年,使其从硬件为主的集成方式向软件形式发展。“我们与VMware紧密合作,持续探索全新的解决方案,把VMware的产品和技术融入到华讯网络的物联、数联和智联的大战略中。”华讯网络系统有限公司高级副总裁马壮说。例如在安全领域,华讯网络拥有一支经验丰富的团队,以及Seam+平台,可以帮助客户管理安全数据、关联分析和态势感知,并且与VMware的产品进行结合,为企业构建安全运营中心,而VMware也会提供零信任解决方案等方面的助力。
华讯网络系统有限公司高级副总裁马壮
去年,VMware推出了业内首个弹性应用安全边缘(EASE),使数据中心或云边缘的网络和安全基础架构能够随着应用需求的变化而灵活调整。更进一步,VMware又发布了VMware NSX Gateway Firewall和VMware NSX Advanced Load Balancer,以及Project Watch。其中,VMware的新一代防火墙提供了一种新的有状态双活边缘扩展功能,大幅增加了有状态服务的网络吞吐量。VMware NSX Advanced Load Balancer(ALB)在增加全新爬虫管理功能的同时,增强其网络应用防火墙、恶意软件检测、安全分析和DDoS保护等安全功能。这些位于边缘的增强功能可以帮助客户以操作简便的方式保持统一的安全态势,将保护范围从传统应用扩展到跨多云环境部署、基于云原生容器的应用。VMware NSX ALB能够根据应用交付流量执行API安全策略,保护南北向API。Project Watch可以提供高级应用到应用策略控制,帮助进行持续的风险和合规评估,在技术预览中,其会帮助网络安全和合规团队持续观察、评估并动态缓解复合多云应用中的风险与合规问题。
过去,数据中心的硬件DMZ区域是用户访问企业内部网络的安全边界,会有针对不同应用的安全分区,不过随着企业的IT模式发生了比较大的变化,应用所处的环境趋于分布式,此时,VMware通过SASE将DMZ区域分解和软件化,置于移动终端的高速互联网节点,解决了用户的快速接入难题,可以就近访问SaaS应用。如果说SASE替换的是集中式的DMZ,那么EASE替换的就是DMZ内部不同应用安全分区的边界,EASE可以在多云应用边界提供弹性可扩展的能力,以及软件定义负载均衡的Web应用安全、应用之间跨云边界的零信任等。
VMware的零信任安全方案兼容传统的虚拟化应用和容器形态的现代化应用,在EASE架构上提供了多层次的容器安全环境。VMware网络和安全大中华区技术总监何涛介绍称:“现代化容器形态的应用会在VPC的网络边界,首先通过NSX网关防火墙,在EASE里弹性横向扩展,可以做八路全活的网关防火墙资源池,保证应用在跨云入口的防火墙的安全隔离,抵御入侵。在EASE的Project Watch技术预览版上,我们增加了容器形态的API安全防护,当应用转型到现代化应用形态,API已成为下一代的网络终端,我们在服务网格内嵌了API的防攻击、防泄露,以及整个微分段的安全策略,全面的针对虚拟化和现代化应用的全套解决方案都融入在EASE中。”
VMware网络和安全大中华区技术总监何涛
值得一提的是,EASE还支持基于应用证书的跨云边界的加密安全互访,结合了人工智能和大数据分析的能力。当一个微服务部署到多云之后,可以通过模型化的方式了解现代化应用从初始端到目标端的API调用顺序。以电子商务为例,用户在购物时会先在前端界面选商品,放到购物车后结帐,但是受攻击的时候会直接入侵支付的信息系统,如果将这一流程模型化,那么只要行为API的常规调用有差异,就可以立刻进行阻止,识别为恶意攻击流量,整个链条由此就形成了零信任的方式。
浪潮(INSPUR)NF5280M5机架式服务器(2*4210 10核 2.2GHz/64G/4T*3 SATA/双千兆*1/RAID卡/双电550W/3年服务)
戴尔(DELL) PowerEdge R740/R750XS 2U机架式服务器虚拟化主机 R740 1*铜牌3204 6核心6线程 16G内存/1TB硬盘/三年联保
