作者: 王秀慧 张宏
VMWare独立包下两个会场,花了半天时间宣传它的网络虚拟化产品NSX,并从三个方面介绍了虚拟化对安全架构的影响:Network security,Compute security 和Data security。
- 针对Compute security的主要问题是缺少隔离:检测方面缺少边界上下文,防护方面缺少最小权限,响应方面缺少响应机制。针对这三个方面提出了对安全隔离进行了强化的三方面建议:启用最小权限,提供安全上下文(包括应用,架构及控制context)及利用虚拟架构强化安全。
- 针对数据安全,对传统加密的主要挑战是数据流的完整性和机密性的保障。通过一个实验演示NSX如何进行数据安全防护。现场实验模拟wireshark 捕获系统针对DB进行身份认证的明文信息,来获取更改交易数据。NSX UI提供了酷炫的拖拽设计部署网络数据加密策略,达到对网络数据加密的防护效果。
过去,很多用户对应用,数据库,存储设备都进行了虚拟化,但仍旧采用物理方式部署网络。很明显,这种方式造成了网络和服务器之间严重的不匹配。当我们在数据中心里享受着虚拟主机上便捷的管理,灵活的配置,以及高可靠性的时候,过去简洁高效的物理网络却成为了瓶颈。
为了应对这一变化,VMWare通过NSX提供了虚拟化的网络架构,虚拟化了各种网络设备。通过提供与主机虚拟化同步的网络、安全、负载均衡设备虚拟化能力,更好地支持虚拟化技术在用户侧的部署,为用户提供安全、易用、持续演进的全套虚拟化解决方案。
虚拟化产品NSX所关注的网络架构,与实体的物理网络架构相比,主要的变化在于针对东西向流量的防护。如果没有东西向流量防护,当黑客进入某个应用之后,可以在很短的时间内,进入处于同一二层网络下的其它主机,从而给整个数据中心带来安全风险。当前,东西向流量的防护主要有两种方式,一种是通过micro-segment隔离虚拟主机,逐包检查东西向的流量;另一种是对东西向流量做加密。
在本次会议上,VMWare演示了在NSX界面中,可以使用简单的拖拽方式对两个虚拟主机之间的流量做加密。通过东西向流量加密,可以杜绝针对二层网络的嗅探,防止重放攻击,以及控制针对敏感数据的访问,提升整个网络的安全防护能力。
如果您需要了解更多内容,可以
加入QQ群:486207500
直接询问:010-68438880-8669