? ? ? 大家好，在嚴峻疫情時期希望所有人身體健康，百毒不侵，更好的保護自己和家人，為在前線抗擊病毒的醫護人員點贊~
? ? ? 根據新型冠狀病毒實時動態信息和鐘南山院士的權威分析，本次新型冠狀病毒主要通過“呼吸道飛沫傳播及接觸傳播”，人群普遍易感。在防護疫苗和特效藥產出之前，政府和鐘南山院士建議的防護措施為：隔離，隔離，隔離！
? ? ? 戴口罩及某些情況下護目鏡，在返程路上，飛機火車，甚至多人辦公區域建議全程攜帶口罩，防止飛沫傳播！可以說，在疫情時期，安全隔離是減少疫情傳播和降低影響的最有效手段，更好的保護自己和他人。
? ? ??反觀目前企業的IT云化基礎環境其實存在一樣的安全威脅和挑戰，對于企業內部的云化環境，天生的非安全和零信任就像現在的疫情時期，不一樣的是，云化環境的零信任更會是常態：
1、應用虛擬機東西向之間沒有”戴口罩“。“口罩”通常僅存在數據中心或者大業務分區邊界防護，云化中心內部東西向之間缺乏足夠的安全隔離，一個應用虛擬機中招，橫向傳染給其他所有業務分區虛擬機，甚至無需”接觸和飛沫“，可通過攻擊報文直接感染。

2、傳統通過硬件防火墻給應用VM”戴口罩“的方式效率低，上線慢，改動大，”口罩“非貼身，硬件防火墻距離應用遠，VM病毒開始傳播了，隔離還沒做好也不夠透徹細化至每個應用。傳統采用硬件防火墻交付東西安全策略，需要復雜的物理網絡配置，應用子網切分，命令式配置zone-based硬件火墻，往往甚至要改變現有應用配置，復雜耗時。

3、應用vm需要IT運維人員手工獨立給應用虛擬機”戴口罩“，裝代理或者IPtables軟件，維護復雜，易攻擊。甚至可以通過應用VM的操作系統漏洞或者應用漏洞，直接去掉虛擬機內部的”口罩“（代理形式的隔離方式）

4、應用內部不僅缺乏”口罩“級別的安全隔離，同時缺乏應用之間高級安全威脅識別和管控。病毒更加聰明，偽裝成合法通信進行滲透，目前企業云化環境很難實現高級東西向IPS，殺毒管控。

? ? ? ?應用云化環境安全越來越重要，公安部在去年5月正式發布了云安全等保2.0，在去年12月已經正式實施，在合規性上，要求企業云化環境應用東西向”戴口罩“，微隔離，虛擬機遷移時”口罩“可以隨著業務遷移策略隨其遷移，檢測云化環境攻擊和飛沫，包含網絡安全法的發布賦予公安部執法權力。
? ? ? ?除了安全合規性的法律要求，公安部在前年為了進一步幫助測試影響國家經濟命脈的金融，政府，企業，運營商，實施”XX行動“，對企業云化環境實現多樣化的網絡攻擊，友好式“病毒飛沫”攻擊，測試重要企業在滿足合規性前提下，“口罩”姿勢是否正確攜帶，具備安全應急防護和真實防護能力。

? ? ? ?通過VMware NSX可以助力企業IT云化環境，實現層次化云安全基礎架構，為企業云化環境”戴口罩“，微隔離，深入抗病毒和入侵防御。
? ? ? ?以應用為核心，基于豐富的應用環境和應用屬性實現安全隔離分組，交付層次化的安全隔離策略。NSX分布式防火墻“口罩”實現細化至每個應用vm和容器的安全微隔離，可與業界高級網絡安全廠商集成交付分布式“飛沫”入侵防護，甚至網絡變種病毒防護。

? ? ? ?接下來，我們具體看一下如何通過VMware NSX解決剛才介紹到的云化環境下的安全挑戰，當云等保及“xx”行動成為常態，云化環境的零信任成為常態，安全微隔離，“口罩”將成為云化環境防護常態。

NSX價值一：微隔離，零信任，貼近應用為每個應用虛擬機和容器“戴好口罩”。NSX可以通過軟件DFW交付安全至每個容器，虛擬機，細化至安全分區內部東西向，隔離威脅蔓延，降低攻擊范圍

NSX價值二：“口罩”策略集中式管理，分布式下發，無需接觸現網，無需改動應用，上線快，復雜度低。硬件解耦，通過純軟件可編程交付安全策略

NSX價值三：無代理無侵入，基于hypervisor內核，“口罩”無需獨立為每個VM手工部署穿戴，NSX統一自動化下發，病毒無法卸載內核中的“口罩”。NSX對應用vm無任何修改，無需維護復雜的代理軟件生命周期管理，以及iptable部署，基于hypervisor內核自動化部署，集中控制，黑客無法bypass NSX內核策略。

NSX價值四：除了“口罩”，外加“放大鏡”，NSX與第三方安全廠商集成，對業務間合法流量進行深入分析和入侵防御，進一步降低云化環境東西攻擊面。

? ? ? ?最后，希望疫情和新型冠狀病毒盡快過去，大家健康平安。對于企業內部的云化環境，天生的非安全和零信任就像現在的疫情時期，不一樣的是，云化環境的零信任會是常態，而細化至每一個業務的“口罩”、放大鏡”、“醫生”成為必需品。VMware NSX為企業云化環境”戴口罩“，微隔離解決方案可助力企業云安全，實現層次化安全防護。

想及時了解曉通宏志更多資訊，請掃描網站右下角二維碼關注“曉通宏志”官方微信。