廣發(fā)銀行NSX方案
客戶(hù)情況

傳統網(wǎng)絡(luò )基礎架構限制了廣發(fā)銀行IT架構 , 組織在日益動(dòng)態(tài)化、數字化環(huán)境中的適應能力和創(chuàng )新能力。所有工作負載都與物理硬件和拓撲拴在了一起,虛擬機中的虛擬化工作負載也不例外,這限制了其移動(dòng)性。針對網(wǎng)絡(luò )連接的封閉黑盒方法雖然可以提供自定義的操作系統、ASIC、CLI 和管理,但進(jìn)一步將企業(yè)禁錮在了現有硬件上。
傳統網(wǎng)絡(luò )硬件嚴重減緩了置備過(guò)程,并限制了工作負載的放置和可移植性。一項研究發(fā)現,公司因其網(wǎng)絡(luò )復雜性而處于不利地位,進(jìn)而對可在何時(shí)、何處部署哪些應用程序和服務(wù)造成影響。
面臨問(wèn)題

1. 高級持續性威脅:
攻擊一旦進(jìn)入數據中心邊界,就能在各個(gè)服務(wù)器之間橫向擴展,隨后就能從這些服務(wù)器收集敏感數據并泄露到外部。這些案例突出了現代數據中心存在的一個(gè)致命弱點(diǎn):安全控制有限,不足以阻止高級持續性威脅(APT) 在邊界內擴散傳播。
邊界防火墻必不可少,能夠有效阻止 APT。但是,最近的攻擊表明,威脅仍可通過(guò)合法接入點(diǎn)進(jìn)入。一旦進(jìn)入,威脅將在服務(wù)器之間成倍擴散,增大損壞的可能性。該問(wèn)題一直無(wú)法解決,因為面臨著(zhù)操作上的難題:所需的物理防火墻數量過(guò)多,規則列表過(guò)于復雜,實(shí)在是任務(wù)繁重,成本高昂
2. 出錯的人工配置:
使用物理網(wǎng)絡(luò ),網(wǎng)絡(luò )管理員每天不得不執行大量重復的人工任務(wù)。例如,如果某個(gè)業(yè)務(wù)線(xiàn)或部門(mén)請求部署一個(gè)全新的應用程序和服務(wù),那么管理員將需要創(chuàng )建 VLAN、跨交換機和上行鏈路映射 VLAN、創(chuàng )建端口組、更新服務(wù)配置文件以及執行大量其他任務(wù)。管理員通常會(huì )借助CLI 進(jìn)行配置,但CLI 并不是那么靈活。
人工配置網(wǎng)絡(luò )基礎架構很容易出錯。實(shí)際上,停機的一個(gè)主要原因就是人工錯誤。
VMware NSX解決方案

NSX:面向 SDDC 的網(wǎng)絡(luò )虛擬化和安全性
領(lǐng)先企業(yè)使用VMware NSX 作為其SDDC 的重要支柱。這些組織將NSX 視作可解決眾多IT 挑戰和業(yè)務(wù)計劃的戰略平臺。
NSX 為網(wǎng)絡(luò )提供了一種類(lèi)似于虛擬機的運行模式。與服務(wù)器虛擬機一樣,網(wǎng)絡(luò )服務(wù)獨立于基礎硬件和拓撲,在軟件中以編程方式配置和管理。NSX 使企業(yè)可以擺脫傳統網(wǎng)絡(luò )基礎架構的束縛。

只需短短數秒,NSX 即可創(chuàng )建并置備具有一致配置和安全性的復雜多層網(wǎng)絡(luò )。包括邏輯交換機、路由器、防火墻、負載平衡器、VPN 和工作負載安全性在內的所有網(wǎng)絡(luò )連接元素和服務(wù)都在虛擬化管理程序內部。
虛擬網(wǎng)絡(luò )使用基礎物理網(wǎng)絡(luò )作為簡(jiǎn)單的IP 轉發(fā)底板。您可以想想傳統網(wǎng)絡(luò )機箱,底板插在插槽中,線(xiàn)路卡直接連接到底板。沒(méi)有人會(huì )對機箱底板進(jìn)行配置更改;它只用于在線(xiàn)路卡之間轉發(fā)數據包。在虛擬化網(wǎng)絡(luò )中,虛擬化管理程序就類(lèi)似于線(xiàn)路卡,而物理網(wǎng)絡(luò )類(lèi)似于底板。

微分段
目前,NSX 平臺的主要用例就是微分段,微分段顯著(zhù)改變了數據中心邊界內的網(wǎng)絡(luò )安全性。如果威脅進(jìn)入了網(wǎng)絡(luò )內部,NSX 可以遏制并阻止它橫向擴散至其他服務(wù)器,這大大縮小了威脅的攻擊面,從而降低了業(yè)務(wù)風(fēng)險??蛻?hù)使用微分段解決了一直未能通過(guò)傳統防火墻從操作上真正解決的一個(gè)重大難題,而且成本僅為原來(lái)的三分之一左右。
微分段可以針對虛擬化網(wǎng)絡(luò )中的工作負載實(shí)施控制和實(shí)現可見(jiàn)性。安全性與每個(gè)工作負載緊密關(guān)聯(lián)。在每個(gè)虛擬機的虛擬網(wǎng)卡級別都會(huì )強制執行防火墻規則。實(shí)際上,這將為每個(gè)工作負載創(chuàng )建一個(gè)單獨的“微信任區域”

NSX 可以自動(dòng)根據虛擬化的相關(guān)環(huán)境(而不僅僅是物理拓撲)分配相應的安全組和策略。它還可以根據不斷變化的環(huán)境(包括諸如惡意軟件或漏洞評估解決方案這類(lèi)第三方環(huán)境)動(dòng)態(tài)改變安全組和策略。
NSX 采用一些全新的方式來(lái)將虛擬機分組和應用安全策略。例如,它可以根據應用程序類(lèi)型、網(wǎng)絡(luò )構造和/或基礎架構拓撲來(lái)確保工作負載的安全。安全策略不再局限于單個(gè)分布式虛擬交換機或端口組。
集中編排安全策略,改善了規則散亂的情況并確保準確一致地應用安全策略。此外,置備、移動(dòng)或刪除某個(gè)虛擬機后,也會(huì )相應地添加、移動(dòng)或刪除其防火墻規則。這些更改自動(dòng)進(jìn)行,無(wú)需人工干預。這種新的自動(dòng)化水平顯著(zhù)降低了管理整個(gè)工作負載安全策略的操作復雜性和費用
業(yè)務(wù)價(jià)值

功能優(yōu)勢:快速、敏捷、安全、可靠
最大限度降低數據泄露的風(fēng)險和影響,利用微分段來(lái)隔離每個(gè)工作負載以及各自的安全策略,限制威脅并阻止其橫向移動(dòng),啟用微分段后,威脅將無(wú)法滲入其他應用程序,也不會(huì )導致數據外泄。

提高 IT 服務(wù)交付和上市速度,企業(yè)可以使用NSX 為網(wǎng)絡(luò )置備實(shí)現與虛擬機計算相同的敏捷性、速度和可控性,此外,NSX 的自動(dòng)化和編排功能可消除出現手動(dòng)配置錯誤的風(fēng)險。