软件定义的数据中心(SDDC)可以说为当下的企业组织IT提供了巨大的承诺。在SDDC内部,服务器虚拟化所带来的优势已然扩展到了存储和网络领域,进而使得企业数据中心的整个基础设施都可以在统一的平台上被抽象和集中管理。企业组织的IT团队能够充分利用前所未有的虚拟化技术、协同和自动化水平来实现基于服务的交付模式,从而实现真正的数字化转型。
借助SDDC,企业数据中心的IT基础架构可以实现私有云模式所支持的资源池、自助服务功能和弹性可扩展性等方面的功能。同时,数据中心在使IT部门能够在需要时融入公共云服务方面变得更加灵活,为下一代的混合云环境的部署实现奠定了基础。这种模型为IT团队在他们所服务的企业组织内最好地交付应用程序和工作负载提供了更好的控制和灵活性。
随着当前的企业IT领导们越来越多地转向采用SDDC以寻求实现数据中心基础设施的现代化,他们首先所需要考虑的事情之一就是确保安全性。SDDC代表了一种经过了发展演化的,更高效的IT服务交付模型。因此,其需要一种全新的安全方法,旨在充分利用全面虚拟化的数据中心的优势,同时解决好由当今更复杂的安全威胁环境所带来的挑战难题。在本文中,我们就将与广大读者朋友们来共同考察关于保护SDCC安全性的三大最关键的考虑因素。
第一:确保内置入整个SDDC架构的安全性。
当前,对于大多数正在谋求转型为SDDC的企业组织而言,他们所面临的现实状况是:转向SDDC将是一个渐进的过程。其将随着时间的推移而逐步推进。但是,对于许多企业组织来说,由于许多关键因素其实已经到位或正在落实,这一渐进的时间进度安排将是能够加速的。例如,大多数企业的IT环境已经在最大限度的基础上实现了服务器的虚拟化部署,并开始采用下一代的技术了,如软件定义的网络和软件定义的存储。
这些方面的发展将有助于帮助企业组织扫清通往SDDC道路上的障碍,并将带来未来几年部署的大幅增长。根据最新的一项研究预测,到2020年,SDDC市场将以28.8%的复合年增长率速度从2015年的217.8亿美元增长到2020年的771.8亿美元。
而如果企业的业务和IT领导们确信其数据中心和混合云环境的底层安全性能够为他们提供所需的安全保护,以支持其关键型业务的数据和应用程序的正常运转的话,那么对于SDDC市场扩展的这一预期将毫无疑问是会实现的。这也就意味着:
企业将部署一款安全体系架构,以充分利用SDDC的虚拟化和业务流程安排功能,进而简化和自动化安全策略和保护的配置,包括合规性要求。
采用专门为高度虚拟化环境而设计的技术,例如在不受传统安全解决方案检查或保护的虚拟机(东西走向的流量)之间移动的入侵防护系统。
在多款云环境中扩展对SDDC的保护,因此您企业可以在公共云中支持某些应用程序或数据,而不会影响其安全性。
提供全面的可视化,策略扩展以及对应用程序和数据的控制,无论它们位于何处。
提供持续的、高度警惕的安全监控,安全威胁检测和纠正,以解决已知和未知的安全威胁。
朝着SDDC的过渡使企业组织的IT团队有机会以正确的方式处理安全保护。也就是说,他们已经不再仅仅只是试图适应不断变化的条件和“锁定”新的保护措施,现在,IT专业人员们可以将安全的设计作为整个基础设施的一部分,从一开始就将对于安全策略的设计内置于一套核心的策略中,将其视为一套整体的解决方案。
为了实现这一级别的集成整合的安全性,企业组织的IT领导者们必须确保他们企业的顶级安全架构师们能够参与到企业SDDC计划的各个方面——而且,企业的安全领导者们必须确保他们从该计划制定的一开始就拥有一席之地。
第二:部署一款软件定义的安全模型,以便跨整个基础架构充分利用自动化,业务流程安排和动态可扩展性。
在SDDC中,企业组织的IT团队正逐步超越服务器的虚拟化,并进而将虚拟化的优势扩展到了存储和网络领域。这意味着企业组织可以通过诸如改善资源的优化;集中管理和控制;并增加任务的自动化,如配置和共享资源池等方面的优势,来提高整个基础架构的成本效率和灵活性。
为什么不将这些相同的功能扩展到安全环境,以便在部署和管理安全性方面实现同样的成本效率和灵活性呢?通过使用支持软件定义的安全性的技术解决方案,您企业可以确保安全配置和策略在整个基础架构中自动同步。此外,安全性还可以实现无缝的扩展,以根据您企业业务的需求变化自动保护数据中心和云环境中的工作负载。
通过使用专为支持SDDC而设计的安全控制器,可以实现这些优势。这种类型的软件定义控制器在安全基础设施和SDDC内的虚拟化管理解决方案(如VMware NSX或OpenStack)之间提供了一个抽象层。
通过这种解决方案,企业的管理员们可以为每台虚拟机(VM)分配安全和保护策略,并通过一切移动和更改来保证虚拟机的安全。这实现了自动化和集中式的配置;安全服务的交付和分发,如虚拟入侵防护服务(IPS);和VM反恶意软件。通过横向扩展的架构,只需添加新主机,即可动态实现这些安全服务的扩展。
第三:利用集成的安全解决方案将SDDC的可视化、控制和安全威胁保护扩展到云环境。
SDDC将支持您企业的私有云环境,但您企业可能同时还想要能够利用公共云来获得其它某些服务,而不会增加安全方面的风险。在这种类型的混合云环境中,您企业需要确保将安全管理策略扩展到您的公共云服务器和应用程序中。在保护混合数据中心方面,可视化是至关重要的,因为您显然无法保护您根本看不到的内容。
作为集成方法的一部分,您企业应该采用一套安全解决方案,在私有云和公共云基础架构中提供对所有服务器实例的全面的可视化。这对于在不同环境中运行的应用程序而言可能尤为重要,包括您企业自己的数据中心和公共云服务所提供的程序基础架构内的服务器。
您企业还将需要确保您的安全解决方案能够提供对于所有云服务的使用情况的可视化,以便您可以自动发现,集中管理和保护您企业的所有工作负载,应用程序和数据。这种可视化和控制水平也将能够使您企业得以解决由影子IT所带来的安全威胁。例如,您可以使用应用程序控制等功能来禁止未经授权的应用程序的安装和使用。
使用由市场领先的供应商所提供的一整套解决方案,您企业可以充分利用中央管理以及行业领先的工具和技术所带来的优势。例如,与Intel Security安全创新联盟等供应商合作,可以实现整个SDDC和混合云基础架构中的领先保护技术,安全威胁情报的共享,并将安全策略的安排和有针对性的攻击检测相结合。而端到端安全保护解决方案的关键要素包括:
SDDC的软件定义的安全性,支持动态和自动化的安全配置、策略管理、保护和安全控制器的修复。
新一代的入侵防御功能,允许实现签名和无签名检查(例如,迈克菲虚拟网络安全平台)。
针对SDDC虚拟化环境优化的反恶意软件防护(例如,迈克菲公司优化的虚拟环境病毒防护管理)。
拥有对于在公有云中的虚拟化服务器实例的公有云保护的更广泛地了解,包括在设置时自动将安全策略应用于虚拟机(例如,迈克菲公司的公共云服务器安全套件)。
通过超快速的双向通信在连接的安全系统之间共享高级安全威胁情报,为已知和未知的安全威胁提供全面的保护(例如,迈克菲公司的Threat Intelligence Exchange)。
中央集中管理提供了对于基础设施的可视化,让您企业可以跨公共和私有云服务器协调安全政策(例如,迈克菲公司的ePolicy Orchestrator软件)。
结论
企业朝着SDCC的过渡给IT管理员和安全专业人士们从底层设计开始,建立一款全新的安全架构,以满足云时代的需求提供了机会。借助正确的架构模型的采用,安全性的管理策略可以更简单地部署、配置、管理和规模化。企业组织可以节省资金,加强保护,并充分利用私有和混合云基础设施的灵活性。IT团队可以将数据中心的可视化扩展到云服务中,在可疑的地方发现威胁,并进行适当的协调和全面的响应。
成功的关键之一是确保将安全体系架构囊括到您企业的整个规划过程中,从SDDC项目规划的一开始,到完成顺利部署的每一阶段都切实的贯彻执行审慎的措施。您企业还应该部署能够充分利用软件定义环境的优势的相关技术,使动态的过程能够支持诸如自动安全配置和策略同步之类的功能。最后,最为重要的一点是要选择一家市场领先的供应商,该供应商需要能够提供一套全面的投资组合的综合安全解决方案,以便帮助您企业充分利用SDDC和混合云所带来的竞争优势。
