组织需要探索微分段如何提高网络安全性,以及Nutanix和VMware如何将这一技术引入其软件定义的超融合基础设施。
如今的工作负载不再局限于简单的客户端-服务器模型,这种模型依靠传统的外围安全性来保护网络。服务器虚拟化、容器化、微服务和融合基础设施等数据中心发展趋势导致工作负载高度分散和动态,使得内部网络由于攻击面更大而更加脆弱。为了保护资产,安全团队越来越多地转向微分段网络。
微分段将内部网络划分为可以单独保护的逻辑区域。VMware公司已将微分段整合到可用于其超融合平台的VMware NSX软件定义的网络(SDN)中。最近,Nutanix公司推出了自己的SDN产品Flow(集成微分段)。与VMware NSX相似,Nutanix Flow是Nutanix超融合基础设施(HCI)平台的可选附加组件,该平台使用微分段来保护其虚拟环境。
尽管VMware NSX和Nutanix Flow有一些相似之处,但它们采用了截然不同的实现方法。在深入研究VMware NSX与Nutanix HCI微分段之前,以下定义什么是微分段网络安全,并探讨其工作原理。
什么是微分段?
微分段是一种用于跨数据中心和云计算环境创建逻辑区域的方法,使组织可以在工作负载、应用程序、操作系统或虚拟机级别定义区域。对于每个区域,管理员都应用安全策略来控制对该区域中资源的访问,与传统方法相比,可以对内部网络提供更精细的控制。
微分段有助于解决数据中心东西向流量(在组织的局域网上发生的服务器到服务器通信)中的安全漏洞。近年来,随着现代应用程序和基础设施的出现,东西向流量有所增加。传统的网络安全机制通常专注于南北向的网络流量,以保护客户端到服务器的通信,从而使内部流量易受攻击,并且对于IT团队来说是不可见的。
通过使用虚拟化技术,将内部网络划分为微分段,这使安全团队可以更好地了解东西向流量,并使他们可以通过分配特定于区域的安全策略来控制每个区域内的网络访问。这些策略确定了允许进入或离开区域的通信类型,同时阻止了所有未经授权的访问。例如,其策略可以指定应用程序是否可以共享数据,需要哪些用户授权才能建立通信或可以共享数据的方向。
通过这种控制级别,安全团队可以根据工作负载和其他要求设计安全策略,同时实现零信任环境,该环境只允许经过批准的应用程序活动。由于这些策略与逻辑区域相关联,因此它们可以在工作负载移动时跟随工作负载,而不是附加到物理属性上,这有助于适应当今的动态应用程序。
微分段可以更轻松地查看和维护本地网络,同时减少网络攻击面。它还可以帮助遏止数据泄露行为的发生。即使黑客突破了网络的外部防御,微分段也可能阻止他们访问整个内部网络。此外,微分段有助于隔离网络问题、满足法规遵从性要求并实现跨环境的一致安全性。它还减少了对内部防火墙的需要以及随之而来的维护。
组织通常发现微分段网络在虚拟化环境中特别有效,在虚拟环境中,虚拟机根据其支持的工作负载被分组为微分段。在虚拟化环境中,所有流量都流经管理程序,从而可以完全了解环境网络。这种可见性使安全团队可以采取策略驱动的方法来控制虚拟机的通信方式,并在工作负载或虚拟机级别应用这些策略。
鉴于虚拟化是超融合基础设施(HCI)的关键,因此VMware和Nutanix将微分段网络技术集成到其SDN平台中也就不足为奇了。管理员可以为在其超融合基础设施(HCI)上运行的工作负载创建微分段,并将精细的安全控制应用于每个微分段。这样,他们可以完全控制虚拟机的通信方式和工作流程。
VMware NSX微分段
VMware NSX是一个网络虚拟化平台,它包括许多用于创建、保护和管理虚拟网络的组件。其中一个主要组件是NSX数据中心,它提供了一整套第二层到第七层的网络服务,包括路由器、交换机、防火墙、负载平衡。
微分段是NSX数据中心的核心。该技术为安全团队提供了对应用程序、服务和工作负载之间的流量进行精细控制的能力,无论它们是在虚拟机中运行还是在容器中运行,还是在多云环境中运行。
根据VMware的说法,NSX微分段可以保护所有东西向流量并实现零信任级别的安全性。NSX使用虚拟化技术创建越来越精细的区域,将其隔离并分别保护它们。微分段完全由软件定义和管理,有助于提高灵活性和简化操作。当企业部署新的工作负载时,它们可以自动继承在其整个生命周期中始终存在的安全策略。
管理员可以基于对应用程序和基础架构的场景了解来创建NSX策略,并考虑诸如工作负载属性、用户和身份属性或法规遵从性等因素。NSX在其微分段中还支持自适应安全性,它利用现有环境的知识来创建可应用于各个微分段的安全策略。
在实施微分段之前,管理员可以运行vRealize Network Insight以获取网络流量的全面视图,以准备定义微分段。但是在他们可以部署微分段之前,他们必须安装NSX数据中心。虽然这不需要更改物理网络,但安装过程可能会非常复杂。
一旦安装了NSX数据中心,管理员就可以再次使用Network Insight来定义应用程序边界,并确定从哪个应用程序开始。他们还可以使用其他NSX工具来帮助识别微分段并应用安全策略,以确保他们能够完全控制超融合基础设施(HCI)环境中的网络通信。
Nutanix Flow微分段
Nutanix公司出售软件定义网络Nutanix Flow,作为Nutanix Acropolis平台的可选附件。Nutanix Flow的主要功能之一是微分段,它支持对进出虚拟机或虚拟机组的所有流量进行粒度控制和治理。使用微分段,只有允许的通信才能在应用层或其他逻辑边界之间发生。管理员可以通过Prism Central管理流的所有方面,包括微分段。
Nutanix Flow微分段作为一种分布式虚拟机防火墙,完全集成到AHV虚拟化平台和Prism管理服务中,这两种服务都包含在所有的Acropolis版本中。通过微分段,流量保证保护所有进出虚拟机的东西向流量。安全团队可以利用他们对每个应用程序的预期状态和行为的了解来优化其超聚合环境中的网络安全。
所有Nutanix Flow微分段操作都在AHV虚拟基础设施内部进行,其中使用微分段将虚拟网络划分为逻辑边界,这取决于开发人员如何构建他们的应用程序。与NSX数据中心一样,分段过程与底层物理网络无关。创建微分段之后,管理员可以应用控制虚拟机和应用程序通信的安全策略。
Nutanix Flow支持三种类型的策略:应用程序、孤立和隔离。管理员可以使用Prism Central中的Nutanix Flow可视化将这些策略组合起来,以创建复杂的保护方案。可视化极大地简化了策略管理,并易于理解它们的应用方式。Nutanix Flow还提供了一种特殊的测试模式,用于在将策略应用于微分段之前验证是否已正确配置了策略。
VMware NSX与Nutanix Flow微分段网络
Nutanix公司进入微分段市场比VMware晚得多,但是它创建了易于启用和管理的服务。由于Nutanix Flow内置在管理程序中,因此无需完成复杂的设置任务。管理员只需单击几下即可启用该服务,他们也可以通过Prism Central轻松管理和分配策略。
在最基本的层面上,Flow和NSX微分段相似。最大的区别在于复杂性。建立和维护NSX数据中心的过程要复杂得多,但这是有原因的。NSX平台也是一个更广泛和完整的软件定义平台。它不仅提供场景感知和自适应微分段等功能,还包括与微分段相结合的工具,以更好地控制网络环境。
例如,NSX提供服务定义的防火墙,它收集和分析有关应用程序及其通信的信息。通过这个分析,该服务将创建应用程序拓扑的综合地图,并根据观察到的流量生成建议。
另一个区别是Nutanix Flow只为虚拟机提供微分段,而NSX为虚拟机和容器都提供微分段。 Kubernetes平台或Cloud Foundry平台都可以托管容器,这些容器可以在虚拟机或裸机上运行。NSX还可以跨数据中心、公共云和私有云扩展虚拟网络。
Nutanix Flow和NSX不同的另一个方面是版本数量。NSX有多个版本,并非所有功能都可用。例如,标准版不支持微分段。Nutanix Flow仅提供一个作为AHV附加组件提供的版本,并且易于启用。
选择HCI微分段
寻求支持微分段的超融合基础设施的决策者必须确定他们获得的系统实际上包含微分段功能。例如,Dell EMC公司特别声明Dell EMC VxRail上的VMware Cloud Foundation包括对NSX和微分段的支持。富士通的Primeflex for VMware Cloud Foundation也是如此。
但是对于VMware而言,供应商只是说其平台包括NSX是不够的,必须明确表明支持微分段,否则可能会获得NSX数据中心标准版。
Nutanix Flow的情况并非如此严格,因为只有一个版本,并且这一版本支持微分段。如果套件中包含Nutanix Flow,则微分段也是包含。但是仍然需要采用一些工具。例如,Lenovo ThinkAgile HX2320 Appliance包含Nutanix HCI软件,但Nutanix Flow被认为是可选组件,不属于基本套件。
组织可能不会仅基于微分段的实现方式在VMware与Nutanix超融合基础设施之间进行选择。如果这样做的话,他们可能会权衡Nutanix Flow的简单性与NSX广泛的功能集。在大多数情况下,决策者将重点放在更大的范围上,同时考虑到超融合基础设施(HCI)平台的所有方面,包括SDN组件。但是,无论选择哪种平台(VMware、Nutanix或其他平台),他们都应该权衡包括微分段在内的价值。