應對網絡攻擊 VMware呼籲建構分布式虛拟防火牆

傳統的網絡安全采取以安全域為邊界的方式，主要的安全保護措施放在了邊界防火牆上，如今的資料中心網絡安全依舊采取了以安全域劃分的方式。然而，實踐證明，以安全域為邊界的網絡安全不能有效防護網絡攻擊，基于sdn技術，采取nsx微分段安全技術已成必須。

“現已證明基于邊界的網絡安全保護是無效的，超過70%的黑客借助丢失、被盜或薄弱的認證資訊成功入侵企業内部網絡。建立一個有組織的系統架構成為當務之急。這将是一個适用于所有行業領先企業，深入整合網絡安全的真正架構。通過改變我們在脆弱的基礎架構上提供可靠服務的方式，it安全行業極有可能開辟一條全新的發展道路。”vmware公司全球副總裁、大中華區總裁郭尊華先生表示。

“虛拟機+分布式虛拟防火牆”成趨勢

過去資料中心采取邊界防火牆的方式保護網絡安全，所有的安全政策都放在邊界防火牆上，如果邊界防護措施不夠，黑客就會進入網絡内部。是以每個防火牆上都有幾萬條政策，當出現變化時，僅是調整這上萬條政策就令人感到頭疼。

vmware大中華區軟體定義資料中心産品品牌總監林世偉表示，vmware的方法是利用軟體定義資料中心的方法定義信任關系，把安全建構在虛拟機上，當虛拟機在不同的實體機上移動時，安全政策可以随之移動。

vmware軟體定義資料中心品牌總監 林世偉先生

實體基礎設施與應用之間的網絡層對企業查明并應對利用新缺口或暴露前端的網絡黑客必不可少。虛拟化現已成為覆寫計算、網絡、存儲、雲和裝置最通用的基礎架構層，并且為綜合架構奠定了基礎，進而使安全融入并覆寫各個底層。

林世偉認為，傳統資料中心的防火牆采取虛機模式，未來則将向“虛拟機+分布式虛拟防火牆”的方向演進。“傳統的防火牆放在網絡邊界，後來逐漸往裡遷移，再進一步會旁路虛拟防火牆，把原來傳統防火牆的功能打包成虛機的形式放在資料中心内部，但是這一方式也存在瓶頸。分布式防火牆則把傳統虛機模式的防火牆直接建構在虛拟化防火牆中，保證以最小的顆粒度做安全防護。”林世偉表示。

相容靈活性和安全性兩大需求

鑒于數字化業務環境的複雜性，目前的安全措施可能很難滿足需求。在企業機構努力滿足員工對移動辦公的需求、并持續推進數字化轉型的程序中，應用和使用者資料分散在越來越多的地點和裝置。在企業日益外延的網絡中，網絡黑客可以輕易找到無數個潛在的侵入點。

綜上所述，采用“虛拟機+分布式虛拟防火牆”的方式不僅重新定義了資料中心的安全邊界，而且可以給不同賬号提供不同的安全政策，在容安全性和靈活性之間達到平衡，這在傳統安全網絡架構下很難實作。“靈活性與可管控性相結合，是一次革命性的創新。”

此外，新的方法把網上的所有動作都當作攻擊，把顆粒度做到最小。

vmware公司全球副總裁、大中華區總裁郭尊華先生認為：“目光遠大的企業清楚的知道，如今被動安全防護已不再奏效。如果企業未能擁有橫跨計算、網絡、存儲、雲和裝置等各個層面的普适性it架構方案，黑客很容易繞開員工和系統或直接對其進行攻擊。通過采用可確定整個架構安全的軟體定義it方式，企業将獲得數字業務成功所必需的靈活性。”

本文轉自d1net（轉載）