虚拟化已给IT部门带来了良多礼品。它让不成能不但成为可能,更成为遍及。从办事器整合到云计较,虚拟化是今朝世界范围内占主导地位的计较平台。
除扩大计较能力,虚拟化也被觉得是增加收集安然性的一种编制。VMware运营和发卖成长总监Rod Stuhlmuller觉得,在收集虚拟化中可以经由过程四种编制改良安然性。
收集虚拟化若何进步安然性
在云数据中间,利用法度工作负载随便建设,迁徙和下线,云治理软件按需分派计较、存储和收集容量。
添加收集虚拟化到动态环境,完全改变收集的运作模式。如许的深切改变常常使安然人员严重。但实际上,收集虚拟化包含了几个内置的收集安然优势。这些优势包含隔离和多租户;收集分段;漫衍式防火墙,和办事插进和链接。收集虚拟化平台可以将这些功能与其他安然功能连络,在软件定义的数据中间简化安然运营。
隔离和多租户
收集虚拟化的一个核心功能是隔离(isolation) - 这是大年夜大都收集安然的根本,不管是合规性,安然壳,或只为不闪开辟,测试和出产环境彼此影响。在默许环境下,虚拟收集与其他的虚拟收集从底层物理收集隔离,供给最低权限的安然原则。启用此隔离需要无物理子网,VLAN ,ACL,或防火墙法则。
任何隔离的虚拟收集,可以由漫衍在数据中间任何处所的工作负载构成。不异的虚拟收集中的工作负载,可以驻留在不异的或不合的虚拟机监控法度。在多个彼此隔离的虚拟收集工作负载可以驻留在统一个虚拟机治理法度。虚拟收集之间的隔离承诺堆叠的IP地址,从而可以有自力开辟,测试和出产虚拟收集 - 每个虚拟收集有不合的利用法度版本,但具有不异的IP地址,并且所有的把持在不异的时候不异的底层物理根本举措措施。
虚拟收集也隔离于底层物理根本举措措施。因为虚拟机治理法度之间的流量被封装,物理收集设备运行在一个完全不合的地址空间,而不是连接到虚拟收集的工作负载。例如,一个虚拟收集可以在IPv4物理收集之上撑持IPv6的利用工作负载。这类隔离,可以避免由任何虚拟收集工作负载可能倡议的任何报复打击影响底层物理根本举措措施。
分段简化建设
收集分段(network segmentation)与隔离相干,但利用在一个多层虚拟收集中。传统上,收集分段是物理防火墙或路由器的一个功能,为承诺或拒尽收集段或层之间的通信而设计。定义和建设分段的传统措置编制,耗时且等闲呈现报酬弊端,导致很大年夜比例的安然缝隙。别的,实施还需要在设备建设语法,收集地址,利用端口和和谈等方面具有深挚的专业常识。
像隔离一样,收集分段也是收集虚拟化的核心能力。一个虚拟收集可以撑持多层收集环境,即多个L2分段和L3分段或单个L2段上的微分段(microsegmentation)利用漫衍式防火墙法则。这多是一个 Web层,利用层和数据库层。物理防火墙和拜候节制列表供给一个成熟的分段功能,经由过程收集安然团队和律例顺从审计的信赖。可是,云数据中间对这类编制的决定信念已摆荡,愈来愈多的报复打击,粉碎和停机时候都被回因于报酬弊端,过时的手工建设收集安然,和改变治理流程。
在一个虚拟的收集中,与工作负载建设的收集办事,以编程编制成立并分发到hypervisor vSwitch。收集办事,包含L3分段和防火墙,强迫在虚拟接口履行。虚拟收集内部的通信不会分开虚拟环境,是以消弭为收集分段进行建设和保护物理收集或防火墙的要求。
进步前辈的安然办事插进,链接和转向
收集虚拟化平台供给了根本的防火墙功能,在虚拟收集内交付分段。可是,在某些环境中,你需要更进步前辈的收集安然功能。这时候,客户可以操纵收集虚拟化平台来分发、启用和实施虚拟收集环境中进步前辈的收集安然办事。
收集虚拟化平台分发收集办事到vSwitch上,构成合用于虚拟收集流量的办事逻辑管道。第三方收集办事可以被插进到该逻辑管道,承诺物理的或虚拟的办事在逻辑管道被耗损。
收集虚拟化编制的一个强大年夜优势在于它有能力构建策略,充分操纵办事插进,链接和转向以驱动逻辑办事管道中的办事履行,使调和来自多个供给商的完全不相干的收集安然办事成为可能。
跨物理和虚拟根本架构的一致的安然模型
收集虚拟化供给了一个平台,承诺跨虚拟和物理安然平台的主动建设和上下文共享。传统摆设在物理收集环境中的办事,在虚拟的收集环境中很等闲建设和履行,因为它供给了可视性和安然性一致的模型,不管利用法度在物理或虚拟工作负载。
传统上,这一层级的收集安然将迫使收集和安然团队在机能和功能之间进行决定操纵收集虚拟化平台的能力分发和履行进步前辈的功能集于利用法度的虚拟接口,可以或许同时交付最好的机能与功能。
根本举措措施保护的政策,承诺工作负载在数据中间的任何处所放置和移动,无需人工干涉干与。预先核准的利用法度的安然策略,可以经由过程编程编制利用,实现收集安然办事的自助办事摆设,即便是复杂的收集安然办事。