客户情况
传统网络基础架构限制了广发银行IT架构 , 组织在日益动态化、数字化环境中的适应能力和创新能力。所有工作负载都与物理硬件和拓扑拴在了一起,虚拟机中的虚拟化工作负载也不例外,这限制了其移动性。针对网络连接的封闭黑盒方法虽然可以提供自定义的操作系统、ASIC、CLI 和管理,但进一步将企业禁锢在了现有硬件上。
传统网络硬件严重减缓了置备过程,并限制了工作负载的放置和可移植性。一项研究发现,公司因其网络复杂性而处于不利地位,进而对可在何时、何处部署哪些应用程序和服务造成影响。
面临问题
1. 高级持续性威胁:
攻击一旦进入数据中心边界,就能在各个服务器之间横向扩展,随后就能从这些服务器收集敏感数据并泄露到外部。这些案例突出了现代数据中心存在的一个致命弱点:安全控制有限,不足以阻止高级持续性威胁(APT) 在边界内扩散传播。
边界防火墙必不可少,能够有效阻止 APT。但是,最近的攻击表明,威胁仍可通过合法接入点进入。一旦进入,威胁将在服务器之间成倍扩散,增大损坏的可能性。该问题一直无法解决,因为面临着操作上的难题:所需的物理防火墙数量过多,规则列表过于复杂,实在是任务繁重,成本高昂
2. 出错的人工配置:
使用物理网络,网络管理员每天不得不执行大量重复的人工任务。例如,如果某个业务线或部门请求部署一个全新的应用程序和服务,那么管理员将需要创建 VLAN、跨交换机和上行链路映射 VLAN、创建端口组、更新服务配置文件以及执行大量其他任务。管理员通常会借助CLI 进行配置,但CLI 并不是那么灵活。
人工配置网络基础架构很容易出错。实际上,停机的一个主要原因就是人工错误。
VMware NSX解决方案
NSX:面向 SDDC 的网络虚拟化和安全性
领先企业使用VMware NSX 作为其SDDC 的重要支柱。这些组织将NSX 视作可解决众多IT 挑战和业务计划的战略平台。
NSX 为网络提供了一种类似于虚拟机的运行模式。与服务器虚拟机一样,网络服务独立于基础硬件和拓扑,在软件中以编程方式配置和管理。NSX 使企业可以摆脱传统网络基础架构的束缚。
只需短短数秒,NSX 即可创建并置备具有一致配置和安全性的复杂多层网络。包括逻辑交换机、路由器、防火墙、负载平衡器、VPN 和工作负载安全性在内的所有网络连接元素和服务都在虚拟化管理程序内部。
虚拟网络使用基础物理网络作为简单的IP 转发底板。您可以想想传统网络机箱,底板插在插槽中,线路卡直接连接到底板。没有人会对机箱底板进行配置更改;它只用于在线路卡之间转发数据包。在虚拟化网络中,虚拟化管理程序就类似于线路卡,而物理网络类似于底板。
微分段
目前,NSX 平台的主要用例就是微分段,微分段显著改变了数据中心边界内的网络安全性。如果威胁进入了网络内部,NSX 可以遏制并阻止它横向扩散至其他服务器,这大大缩小了威胁的攻击面,从而降低了业务风险。客户使用微分段解决了一直未能通过传统防火墙从操作上真正解决的一个重大难题,而且成本仅为原来的三分之一左右。
微分段可以针对虚拟化网络中的工作负载实施控制和实现可见性。安全性与每个工作负载紧密关联。在每个虚拟机的虚拟网卡级别都会强制执行防火墙规则。实际上,这将为每个工作负载创建一个单独的“微信任区域”
NSX 可以自动根据虚拟化的相关环境(而不仅仅是物理拓扑)分配相应的安全组和策略。它还可以根据不断变化的环境(包括诸如恶意软件或漏洞评估解决方案这类第三方环境)动态改变安全组和策略。
NSX 采用一些全新的方式来将虚拟机分组和应用安全策略。例如,它可以根据应用程序类型、网络构造和/或基础架构拓扑来确保工作负载的安全。安全策略不再局限于单个分布式虚拟交换机或端口组。
集中编排安全策略,改善了规则散乱的情况并确保准确一致地应用安全策略。此外,置备、移动或删除某个虚拟机后,也会相应地添加、移动或删除其防火墙规则。这些更改自动进行,无需人工干预。这种新的自动化水平显著降低了管理整个工作负载安全策略的操作复杂性和费用
业务价值
功能优势:快速、敏捷、安全、可靠
最大限度降低数据泄露的风险和影响,利用微分段来隔离每个工作负载以及各自的安全策略,限制威胁并阻止其横向移动,启用微分段后,威胁将无法渗入其他应用程序,也不会导致数据外泄。
提高 IT 服务交付和上市速度,企业可以使用NSX 为网络置备实现与虚拟机计算相同的敏捷性、速度和可控性,此外,NSX 的自动化和编排功能可消除出现手动配置错误的风险。
