普遍性、精確度和動(dòng)態(tài)安全必須融入數(shù)據(jù)中心的DNA中
??VMware NSX? 網(wǎng)絡(luò)虛擬化平臺(tái)可提供諸多突破性益處，微分段便是其中之一。NSX可創(chuàng)建一個(gè)獨(dú)立于底層IP網(wǎng)絡(luò)硬件的虛擬網(wǎng)絡(luò)。管理員能夠以編程方式對(duì)復(fù)雜網(wǎng)絡(luò)執(zhí)行創(chuàng)建、調(diào)配、拍攝快照、刪除和還原操作，而且這一切都能以軟件方式實(shí)現(xiàn)VMware將微分段描述為一種“將安全機(jī)制植入網(wǎng)絡(luò)的DNA中”的能力。就好比在分子或細(xì)胞級(jí)別對(duì)植物進(jìn)行工程設(shè)計(jì)，使之有能力抵御病蟲(chóng)害。
??因?yàn)閔ypervisor已在數(shù)據(jù)中心內(nèi)廣泛分布，所以您可以通過(guò)VMware NSX在任意位置創(chuàng)建策略以保護(hù)任意數(shù)據(jù)，讓安全真正無(wú)所不在。從某種意義上說(shuō)，物理安全就像戴上手套來(lái)防范細(xì)菌。這是外在的、有限的保護(hù)措施（如果有人對(duì)著您的臉打噴嚏，您可能還是會(huì)感冒或染上流感）。微分段就像是強(qiáng)化數(shù)據(jù)中心的免疫系統(tǒng)：讓 “細(xì)菌”（即惡意軟件）對(duì)它無(wú)能為力。或者，如果有漏網(wǎng)之魚(yú)，該系統(tǒng)會(huì)在該惡意軟件開(kāi)始擴(kuò)散之前就將其關(guān)閉。
??策略綁定到虛擬機(jī)，執(zhí)行效力可向下延伸至虛擬網(wǎng)卡 (NIC)，這種精確度是傳統(tǒng)的硬件設(shè)備無(wú)法比擬的。
??您也可以使用靈活的參數(shù)來(lái)定義安全策略，例如虛擬機(jī)名稱(chēng)、工作負(fù)載類(lèi)型和客戶(hù)操作系統(tǒng)類(lèi)型。
微分段無(wú)比強(qiáng)大且易于添加的七個(gè)原因
??1. 無(wú)需更換您目前擁有的設(shè)施，亦不會(huì)對(duì)其造成不利影響
??VMware ?NSX可在任意網(wǎng)絡(luò)硬件上運(yùn)行，因此您無(wú)需購(gòu)買(mǎi)或更換任何設(shè)備。此外，NSX不會(huì)給您的計(jì)算機(jī)和網(wǎng)絡(luò)基礎(chǔ)架構(gòu)或應(yīng)用造成中斷。
??2. 降低不斷攀升的硬件成本
??為處理數(shù)據(jù)中心內(nèi)日益增多的工作負(fù)載量而部署更多物理設(shè)備的成本過(guò)于高昂。 僅從資金開(kāi)銷(xiāo)的角度衡量，VMware NSX可讓大型企業(yè)節(jié)省68%的開(kāi)銷(xiāo)。計(jì)算這一節(jié)省比率時(shí)所用的參照值是，如果IT管理員試圖實(shí)現(xiàn)接近微分段提供的同等控制，需要使用的物理防火墻的開(kāi)銷(xiāo)估計(jì)值。
??3. 遏制防火墻規(guī)則劇增狀況
??數(shù)量激增的防火墻規(guī)則是安全管理領(lǐng)域里的一個(gè)大問(wèn)題。年復(fù)一年，管理員積攢了不少不必要的和多余的規(guī)則，而且無(wú)法使用簡(jiǎn)單的方法來(lái)找出哪些規(guī)則是不再需要的。防火墻規(guī)則劇增使得安全審核成為噩夢(mèng)般的負(fù)擔(dān)。過(guò)時(shí)的和矛盾的規(guī)則甚至可能成為安全漏洞的意外導(dǎo)火索。
??借助微分段和VMware NSX，策略可集中編排并關(guān)聯(lián)到它們所保護(hù)的虛擬機(jī)，因此您只需通過(guò)一個(gè)界面，就能自動(dòng)管理整個(gè)數(shù)據(jù)中心的安全策略。當(dāng)您調(diào)配、移動(dòng)或刪除虛擬機(jī)時(shí)，它的防火墻規(guī)則也會(huì)隨之添加、移動(dòng)或刪除。
??4.通過(guò)更高效的流量模式調(diào)高性能
??在物理網(wǎng)絡(luò)中，工作負(fù)載流量通常需要穿過(guò)不止一個(gè)網(wǎng)絡(luò)分段到達(dá)路由器和防火墻，然后才能返回至相鄰的工作負(fù)載（這是一種低效的模式，稱(chēng)為“發(fā)夾式傳輸”）。如果使用微分段，流量通常可以停留在同一個(gè)虛擬網(wǎng)絡(luò)分段中，減少了對(duì)物理網(wǎng)絡(luò)的影響。因此，您可以消除因超額預(yù)訂核心鏈路而導(dǎo)致的額外成本和低效率。
??5. 滿足不同 LOB（業(yè)務(wù)線）和部門(mén)的獨(dú)特需求
??由于VMware NSX和微分段獨(dú)立于物理基礎(chǔ)架構(gòu)，因此無(wú)論是移動(dòng)資源，還是確保安全性與時(shí)俱進(jìn)緊跟變化，您都能獲得極大的靈活性。因?yàn)榘踩ぷ魇峭ㄟ^(guò)軟件處理的，可在幾分鐘內(nèi)就創(chuàng)建并運(yùn)行策略，所以您能夠消除因安裝更多安全硬件或重新配置網(wǎng)絡(luò)系統(tǒng)而導(dǎo)致的滯后。
??圖1顯示了您可以多么輕松地更新安全策略以滿足各個(gè)業(yè)務(wù)線和部門(mén)的需求。在這個(gè)例子中，IT部門(mén)決定將整個(gè)人力資源(HR)部門(mén)的桌面實(shí)現(xiàn)虛擬化。借助微分 段，為人力資源部門(mén)的虛擬桌面創(chuàng)建和應(yīng)用安全策略只需幾分鐘的時(shí)間。您只需為所有相關(guān)系統(tǒng)標(biāo)記“HR”，VMware ?NSX會(huì)自動(dòng)應(yīng)用正確的安全策略。