雖然 2011 年看起來(lái)并沒有那么久遠(yuǎn)（您應(yīng)該還記得皇家婚禮、Kim Kardashian 離婚，當(dāng)然還有 Charlie Sheen 的人設(shè)崩塌），但 10 年來(lái)發(fā)生了很多變化。當(dāng)時(shí)，大部分?jǐn)?shù)據(jù)中心都才剛剛開始試用虛擬化。還記得嗎，當(dāng)時(shí)人們認(rèn)為只有少量不重要的工作負(fù)載采用虛擬化方式處理才是安全的。

　　而現(xiàn)在，全球大約一半的服務(wù)器已經(jīng)實(shí)現(xiàn)了虛擬化，并且我們已經(jīng)遠(yuǎn)遠(yuǎn)超越了虛擬化范疇。幾乎每個(gè)企業(yè)數(shù)據(jù)中心都變?yōu)榱嘶旌檄h(huán)境，混合使用物理和虛擬形式的存儲(chǔ)和計(jì)算資源。容器化以及為它提供支持的技術(shù)正在開始站穩(wěn)腳跟。當(dāng)然，云計(jì)算已經(jīng)普及到企業(yè)計(jì)算的方方面面。

　　現(xiàn)在，當(dāng)今的軟件定義數(shù)據(jù)中心帶來(lái)了許多業(yè)務(wù)優(yōu)勢(shì)，尤其是在資源效率和成本節(jié)約方面。但不可否認(rèn)的是，復(fù)雜性也提高了，原因在于企業(yè)需要的所有資源都和原來(lái)一樣：計(jì)算、存儲(chǔ)、交換、路由。只不過(guò)現(xiàn)在，這些資源有多少在本地部署環(huán)境中，有多少在云環(huán)境中，都是不確定的。就管理連接、確保滿足業(yè)務(wù)部門的性能需求，以及跟上業(yè)務(wù)和技術(shù)的變革速度而言，管理當(dāng)今的數(shù)據(jù)中心是一項(xiàng)巨大的挑戰(zhàn)。而除此之外，還有一項(xiàng)董事會(huì)、業(yè)務(wù)領(lǐng)導(dǎo)者和 IT 從業(yè)者最關(guān)注的挑戰(zhàn)：安全性。

　　我們首先來(lái)看一下可見性。在最近和 Omdia 召開的網(wǎng)絡(luò)會(huì)議中，該分析機(jī)構(gòu)談?wù)摿怂麄兯�稱的網(wǎng)絡(luò)空間安全運(yùn)維生命周期，概要介紹了有效的 SecOps 所包含的步驟。在該生命周期中，就像在數(shù)據(jù)中心內(nèi)一樣，一切均始于可見性。畢竟，您無(wú)法保護(hù)您并不了解的環(huán)境。

　　指您可以查看有關(guān)工作負(fù)載、用戶、設(shè)備和網(wǎng)絡(luò)的可靠實(shí)時(shí)信息，并且能夠識(shí)別出條件變化、風(fēng)險(xiǎn)狀況升級(jí)或所出現(xiàn)的新威脅。

　　尤其現(xiàn)在正值疫情時(shí)期（希望疫情很快結(jié)束，那么我們就進(jìn)入后疫情時(shí)期），您可能會(huì)面臨著高度分散的用戶群從遠(yuǎn)程位置訪問數(shù)據(jù)中心資源的情況，而且這種情況基本上是無(wú)限期的。

　　由于這一點(diǎn)，有多少企業(yè)能夠完全確信自己可以實(shí)現(xiàn)充分的數(shù)據(jù)中心可見性？如果不能確信，您便不知道自己能否成功地執(zhí)行安全計(jì)劃。最后，您實(shí)現(xiàn)的可見性越低，您的安全漏洞就越多。

　　接下來(lái)看一下應(yīng)用安全性。這個(gè)問題可以單獨(dú)寫一篇文章討論了，因?yàn)槟鷮?shí)在是太需要在應(yīng)用內(nèi)以及圍繞應(yīng)用實(shí)現(xiàn)安全控制了。

　　實(shí)現(xiàn)應(yīng)用安全需要采用不同的方法，具體取決于該應(yīng)用是傳統(tǒng)本地部署應(yīng)用，還是 SaaS 應(yīng)用。此外，遵循應(yīng)用策略要求是一項(xiàng)持續(xù)挑戰(zhàn)。隨著許多應(yīng)用日益組件化，您需要通過(guò) DevSecOps 流程來(lái)確保將安全性融入到實(shí)例中，為容器化的甚至是無(wú)服務(wù)器的應(yīng)用功能提供支持。

　　接下來(lái)看一下變革的節(jié)奏。這聽起來(lái)有點(diǎn)兒像老生常談，但幾乎每家企業(yè)都在以某種形式進(jìn)行不同程度的數(shù)字化轉(zhuǎn)型，其中涉及重大的 IT 基礎(chǔ)架構(gòu)轉(zhuǎn)型。

　　但是，數(shù)字化轉(zhuǎn)型有一個(gè)不為人知的小秘密，即，它會(huì)持續(xù)不斷地加快變革速度，實(shí)現(xiàn)更多的云計(jì)算基礎(chǔ)架構(gòu)、更多的 SaaS、更多的容器化。在未來(lái)十年，您還會(huì)面臨著物聯(lián)網(wǎng)和 5G 等方面的挑戰(zhàn)。這意味著，連接到數(shù)據(jù)中心以及向數(shù)據(jù)中心輸入數(shù)據(jù)的設(shè)備呈指數(shù)級(jí)增加。因此，數(shù)據(jù)中心安全技術(shù)需要以一種基于策略的自動(dòng)化驅(qū)動(dòng)型方法為中心，而且該方法必須能夠適應(yīng)不斷加快的變革速度。

　　最后，我們需要深入了解的一項(xiàng)特定挑戰(zhàn)是東西向流量。隨著數(shù)據(jù)中心的發(fā)展，東西向流量（數(shù)據(jù)中心內(nèi)的流量）呈爆炸式增長(zhǎng)。在密度更高、效率更高的數(shù)據(jù)中心內(nèi)，工作負(fù)載更多，生成的網(wǎng)絡(luò)流量也更多。在大多數(shù)企業(yè)中，東西向流量現(xiàn)在遠(yuǎn)多于進(jìn)出數(shù)據(jù)中心的南北向流量。東西向流量不會(huì)實(shí)際離開數(shù)據(jù)中心，但這并不意味著您可以信任它。

　　對(duì)于企圖掩飾惡意橫向移動(dòng)的攻擊者而言，利用東西向流量是絕好的機(jī)會(huì)，可以說(shuō)，惡意橫向移動(dòng)是現(xiàn)代數(shù)據(jù)中心環(huán)境內(nèi)最大的問題。不妨想一想橫向移動(dòng)攻擊的最常見場(chǎng)景，即，盜取有效憑證。如果攻擊者利用合法憑證通過(guò)了身份驗(yàn)證，進(jìn)而進(jìn)入了系統(tǒng)，則您需要在網(wǎng)絡(luò)層施加控制，以便能夠識(shí)別惡意流量，阻止其遍歷網(wǎng)絡(luò)并加大入侵力度。這樣來(lái)看，毫無(wú)疑問的是，東西向流量基本上已經(jīng)成為了新的網(wǎng)絡(luò)邊界。

　　現(xiàn)在公認(rèn)的是：只要具有網(wǎng)絡(luò)邊界，就需要防火墻。因此，企業(yè)現(xiàn)在需要在數(shù)據(jù)中心內(nèi)部實(shí)施防火墻保護(hù)。但傳統(tǒng)的邊界防火墻方法不一定適用于東西向流量。

　　讓我們深入探討一下。

　　尤其是在“軟件定義”已占主導(dǎo)地位的數(shù)據(jù)中心內(nèi)，在各個(gè)工作負(fù)載之間插入虛擬防火墻保護(hù)并不可行，并且也無(wú)法高效地將東西向流量路由到專用防火墻所在的位置。這樣會(huì)在虛擬環(huán)境中無(wú)端造成物理瓶頸，讓高效、靈活的軟件定義模型從整體上失去了意義。此外，請(qǐng)考慮不同防火墻控制流量的方式以及涉及的流量類型。在邊界處，您主要阻止特定的端口和協(xié)議及 IP 地址范圍，同時(shí)，利用新一代防火墻，您是根據(jù)應(yīng)用類型和用戶組控制流量。這非常好，但是需要在東西向流量方面大幅提高控制的精細(xì)度。您可能擁有單個(gè)應(yīng)用，但對(duì)于該應(yīng)用的 Web 層、應(yīng)用功能層、數(shù)據(jù)庫(kù)層等不同功能，均需要執(zhí)行不同的控制。您的防火墻不僅需要能夠了解流量和應(yīng)用，還需要能夠了解應(yīng)用組件以及對(duì)什么通信可接受、什么通信不可接受做出規(guī)定的業(yè)務(wù)邏輯。

　　談及加密的工作負(fù)載內(nèi)流量，若要設(shè)法對(duì)這些數(shù)據(jù)包進(jìn)行解密、檢查以及重新加密，需要巨大的開銷，因而通常并不可行。然而，忽略該流量也不是很好的選擇，因?yàn)槟鷮?shí)際上永遠(yuǎn)不會(huì)知道它包含什么內(nèi)容。

　　因此，您需要東西向防火墻保護(hù)功能，但這并不意味著您需要接受物理和虛擬防火墻的傳統(tǒng)限制�？梢圆捎貌煌�的方法，即，引入虛擬邊界的概念，更具體地來(lái)說(shuō)，是微分段的概念。

　　微分段是指使用軟件和策略實(shí)施精細(xì)的網(wǎng)絡(luò)分段，精細(xì)到應(yīng)用和工作負(fù)載級(jí)別。這并不是全新的概念，但許多企業(yè)仍然還沒有采納它。雖然微分段具有許多和傳統(tǒng)防火墻相同的功能，但它會(huì)將防火墻保護(hù)轉(zhuǎn)變?yōu)樘摂M實(shí)例中的一項(xiàng)功能。換言之，安全控制內(nèi)置在工作負(fù)載級(jí)別，這對(duì)數(shù)據(jù)中心防火墻而言是非常重要的一大進(jìn)步。展望未來(lái)，防火墻保護(hù)將越來(lái)越多地從專用的物理和虛擬設(shè)備轉(zhuǎn)變?yōu)閼?yīng)用、工作負(fù)載或容器中的一項(xiàng)功能。

　　在大多數(shù)企業(yè)中，網(wǎng)絡(luò)空間安全是業(yè)務(wù)部門的重中之重，但安全性需要能夠推動(dòng)業(yè)務(wù)發(fā)展。長(zhǎng)時(shí)間生活在這種環(huán)境中的安全領(lǐng)導(dǎo)者知道管理層不希望發(fā)生最糟糕的安全事件，但也不希望由于安全體系架構(gòu)導(dǎo)致人員、流程或技術(shù)和創(chuàng)新速度放緩而阻礙其業(yè)務(wù)發(fā)展。

　　現(xiàn)在，微服務(wù)和基于功能的防火墻保護(hù)的出色之處是，可以更加輕松地在業(yè)務(wù)流程中靈活地融入安全保護(hù)，甚至是在這些流程快速調(diào)整和改變時(shí)。不妨看一看下圖顯示的傳統(tǒng)虛擬防火墻模型。

　　其中，唯一可行的方法是在各工作負(fù)載和工作負(fù)載組之間注入虛擬防火墻實(shí)例。防火墻供應(yīng)商將會(huì)告訴您：要正確進(jìn)行網(wǎng)絡(luò)分段，您需要許多防火墻，這沒什么大不了的。但是，部署和管理此模型的流程都非常復(fù)雜。它效率低下，成本效益不佳，無(wú)疑，也無(wú)法促進(jìn)提升業(yè)務(wù)敏捷性。

　　現(xiàn)在來(lái)看一看下圖顯示的微分段模型。

　　在這種模型中，您仍會(huì)獲得相同的防火墻功能，但它們內(nèi)置到每個(gè)工作負(fù)載中，并且都具有對(duì)防火墻和其他網(wǎng)絡(luò)安全設(shè)置做出規(guī)定的相應(yīng)策略，因此，只要?jiǎng)?chuàng)建了工作負(fù)載，便已經(jīng)實(shí)施了安全策略。

　　從業(yè)務(wù)角度來(lái)看，將安全保護(hù)內(nèi)置到重要的數(shù)據(jù)中心資產(chǎn)中有很大的價(jià)值。利用這種基于策略的微分段，只要您部署工作負(fù)載，便可以實(shí)現(xiàn)工作負(fù)載所需的額外安全控制。您可以阻止橫向移動(dòng)的威脅，限制應(yīng)用流量，并實(shí)現(xiàn)所有零信任訪問優(yōu)勢(shì)。此外，您還能夠?qū)Ψ阑饓ΡＷo(hù)所實(shí)現(xiàn)的那些額外安全功能進(jìn)行分層，例如 IDS/IPS、網(wǎng)絡(luò)流量分析以及虛擬修補(bǔ)。

　　不要相信任何人所說(shuō)的“防火墻保護(hù)將會(huì)消失”的說(shuō)辭，尤其是在數(shù)據(jù)中心內(nèi)，防火墻保護(hù)更不會(huì)消失。您仍然需要防火墻提供的控制力。然而，傳統(tǒng)的獨(dú)立防火墻實(shí)例越來(lái)越多地開始讓位給作為功能實(shí)施的新式防火墻保護(hù)�，F(xiàn)在，是時(shí)候開始研究這些技術(shù)如何發(fā)揮作用以及它們?yōu)槟�的企業(yè)提供的好處了。

　　我希望您能觀看此按需網(wǎng)絡(luò)會(huì)議：數(shù)據(jù)中心未來(lái)將如何發(fā)展？以便更加深入地了解此主題，包括如何讓該技術(shù)在您的環(huán)境發(fā)中揮作用。

　　在此會(huì)議中，VMware 的核心 IT 基礎(chǔ)架構(gòu)解決方案工程和設(shè)計(jì)總監(jiān)將向您講述現(xiàn)實(shí)經(jīng)歷，介紹 VMware 自己實(shí)現(xiàn)這種全新數(shù)據(jù)中心安全方法的旅程。該總監(jiān)正是實(shí)現(xiàn)這些數(shù)據(jù)中心轉(zhuǎn)型場(chǎng)景的實(shí)際參與者。如果您不相信我的話，不妨聽聽他說(shuō)的吧。