? ? ? 大家好，在嚴(yán)峻疫情時期希望所有人身體健康，百毒不侵，更好的保護(hù)自己和家人，為在前線抗擊病毒的醫(yī)護(hù)人員點(diǎn)贊~
? ? ? 根據(jù)新型冠狀病毒實(shí)時動態(tài)信息和鐘南山院士的權(quán)威分析，本次新型冠狀病毒主要通過“呼吸道飛沫傳播及接觸傳播”，人群普遍易感。在防護(hù)疫苗和特效藥產(chǎn)出之前，政府和鐘南山院士建議的防護(hù)措施為：隔離，隔離，隔離！
? ? ? 戴口罩及某些情況下護(hù)目鏡，在返程路上，飛機(jī)火車，甚至多人辦公區(qū)域建議全程攜帶口罩，防止飛沫傳播！可以說，在疫情時期，安全隔離是減少疫情傳播和降低影響的最有效手段，更好的保護(hù)自己和他人。
? ? ??反觀目前企業(yè)的IT云化基礎(chǔ)環(huán)境其實(shí)存在一樣的安全威脅和挑戰(zhàn)，對于企業(yè)內(nèi)部的云化環(huán)境，天生的非安全和零信任就像現(xiàn)在的疫情時期，不一樣的是，云化環(huán)境的零信任更會是常態(tài)：
1、應(yīng)用虛擬機(jī)東西向之間沒有”戴口罩“。“口罩”通常僅存在數(shù)據(jù)中心或者大業(yè)務(wù)分區(qū)邊界防護(hù)，云化中心內(nèi)部東西向之間缺乏足夠的安全隔離，一個應(yīng)用虛擬機(jī)中招，橫向傳染給其他所有業(yè)務(wù)分區(qū)虛擬機(jī)，甚至無需”接觸和飛沫“，可通過攻擊報文直接感染。

2、傳統(tǒng)通過硬件防火墻給應(yīng)用VM”戴口罩“的方式效率低，上線慢，改動大，”口罩“非貼身，硬件防火墻距離應(yīng)用遠(yuǎn)，VM病毒開始傳播了，隔離還沒做好也不夠透徹細(xì)化至每個應(yīng)用。傳統(tǒng)采用硬件防火墻交付東西安全策略，需要復(fù)雜的物理網(wǎng)絡(luò)配置，應(yīng)用子網(wǎng)切分，命令式配置zone-based硬件火墻，往往甚至要改變現(xiàn)有應(yīng)用配置，復(fù)雜耗時。

3、應(yīng)用vm需要IT運(yùn)維人員手工獨(dú)立給應(yīng)用虛擬機(jī)”戴口罩“，裝代理或者IPtables軟件，維護(hù)復(fù)雜，易攻擊。甚至可以通過應(yīng)用VM的操作系統(tǒng)漏洞或者應(yīng)用漏洞，直接去掉虛擬機(jī)內(nèi)部的”口罩“（代理形式的隔離方式）

4、應(yīng)用內(nèi)部不僅缺乏”口罩“級別的安全隔離，同時缺乏應(yīng)用之間高級安全威脅識別和管控。病毒更加聰明，偽裝成合法通信進(jìn)行滲透，目前企業(yè)云化環(huán)境很難實(shí)現(xiàn)高級東西向IPS，殺毒管控。

? ? ? ?應(yīng)用云化環(huán)境安全越來越重要，公安部在去年5月正式發(fā)布了云安全等保2.0，在去年12月已經(jīng)正式實(shí)施，在合規(guī)性上，要求企業(yè)云化環(huán)境應(yīng)用東西向”戴口罩“，微隔離，虛擬機(jī)遷移時”口罩“可以隨著業(yè)務(wù)遷移策略隨其遷移，檢測云化環(huán)境攻擊和飛沫，包含網(wǎng)絡(luò)安全法的發(fā)布賦予公安部執(zhí)法權(quán)力。
? ? ? ?除了安全合規(guī)性的法律要求，公安部在前年為了進(jìn)一步幫助測試影響國家經(jīng)濟(jì)命脈的金融，政府，企業(yè)，運(yùn)營商，實(shí)施”XX行動“，對企業(yè)云化環(huán)境實(shí)現(xiàn)多樣化的網(wǎng)絡(luò)攻擊，友好式“病毒飛沫”攻擊，測試重要企業(yè)在滿足合規(guī)性前提下，“口罩”姿勢是否正確攜帶，具備安全應(yīng)急防護(hù)和真實(shí)防護(hù)能力。

? ? ? ?通過VMware NSX可以助力企業(yè)IT云化環(huán)境，實(shí)現(xiàn)層次化云安全基礎(chǔ)架構(gòu)，為企業(yè)云化環(huán)境”戴口罩“，微隔離，深入抗病毒和入侵防御。
? ? ? ?以應(yīng)用為核心，基于豐富的應(yīng)用環(huán)境和應(yīng)用屬性實(shí)現(xiàn)安全隔離分組，交付層次化的安全隔離策略。NSX分布式防火墻“口罩”實(shí)現(xiàn)細(xì)化至每個應(yīng)用vm和容器的安全微隔離，可與業(yè)界高級網(wǎng)絡(luò)安全廠商集成交付分布式“飛沫”入侵防護(hù)，甚至網(wǎng)絡(luò)變種病毒防護(hù)。

? ? ? ?接下來，我們具體看一下如何通過VMware NSX解決剛才介紹到的云化環(huán)境下的安全挑戰(zhàn)，當(dāng)云等保及“xx”行動成為常態(tài)，云化環(huán)境的零信任成為常態(tài)，安全微隔離，“口罩”將成為云化環(huán)境防護(hù)常態(tài)。

NSX價值一：微隔離，零信任，貼近應(yīng)用為每個應(yīng)用虛擬機(jī)和容器“戴好口罩”。NSX可以通過軟件DFW交付安全至每個容器，虛擬機(jī)，細(xì)化至安全分區(qū)內(nèi)部東西向，隔離威脅蔓延，降低攻擊范圍

NSX價值二：“口罩”策略集中式管理，分布式下發(fā)，無需接觸現(xiàn)網(wǎng)，無需改動應(yīng)用，上線快，復(fù)雜度低。硬件解耦，通過純軟件可編程交付安全策略

NSX價值三：無代理無侵入，基于hypervisor內(nèi)核，“口罩”無需獨(dú)立為每個VM手工部署穿戴，NSX統(tǒng)一自動化下發(fā)，病毒無法卸載內(nèi)核中的“口罩”。NSX對應(yīng)用vm無任何修改，無需維護(hù)復(fù)雜的代理軟件生命周期管理，以及iptable部署，基于hypervisor內(nèi)核自動化部署，集中控制，黑客無法bypass NSX內(nèi)核策略。

NSX價值四：除了“口罩”，外加“放大鏡”，NSX與第三方安全廠商集成，對業(yè)務(wù)間合法流量進(jìn)行深入分析和入侵防御，進(jìn)一步降低云化環(huán)境東西攻擊面。

? ? ? ?最后，希望疫情和新型冠狀病毒盡快過去，大家健康平安。對于企業(yè)內(nèi)部的云化環(huán)境，天生的非安全和零信任就像現(xiàn)在的疫情時期，不一樣的是，云化環(huán)境的零信任會是常態(tài)，而細(xì)化至每一個業(yè)務(wù)的“口罩”、放大鏡”、“醫(yī)生”成為必需品。VMware NSX為企業(yè)云化環(huán)境”戴口罩“，微隔離解決方案可助力企業(yè)云安全，實(shí)現(xiàn)層次化安全防護(hù)。

想及時了解曉通宏志更多資訊，請掃描網(wǎng)站右下角二維碼關(guān)注“曉通宏志”官方微信。