2021-12-10 11:30
【观察】戴尔科技+VMware:推动“零信任”融入多云,构筑企业安全“护城河”
在后疫情、新基建时代,我们看到了不一样的风景,其中一些企业通过积极的数字化重塑成功渡过了难关,但更多的企业却只能“被动前行”。企业开始重新审视在不确定性环境下数字化的应变能力。特别是随着云快速的发展和迭代,企业走向混合多云也是大势所趋,这不仅意味着管理的复杂性和多样性在快速上升,也意味着其在安全方面也面临着前所未有的挑战与压力。
网络黑客利用基础设施漏洞来实施网络攻击的频率越来越高;新技术的普及,也使得企业原有的安全技术、安全设备和安全策略已无法支撑新应用的需求,数据泄露、网络攻击等安全事件也频频发生。 •用过去的“老办法”开展工作,是否能有效阻止或防止攻击? •面向未来,如何构建安全的私有、混合与多云环境呢? 近期由戴尔科技集团和VMware联合举办的《从数据中心安全到虚拟化网络、到云中安全——如何建立有效的信息安全保障》线上直播活动中,来自戴尔科技集团和VMware的相关专家就上述问题做了精彩的阐述,可以说不仅为企业在多云环境下更好地保障信息安全提供了重要的参考价值,更提供了一份从开局到实践的最佳方法论。(点击文末“阅读原文”查看直播完整回放) 今年5月最大成品油管道公司Colonial Pipeline受到勒索病毒攻击,导致系统下线,所有管线停止运营,此次勒索病毒攻击在许多维度上是网络安全史上迄今为止最严重的,几乎使美国东南部瘫痪,并给 Colonial Pipeline 造成数百万美元的损失。 而相关数据也显示,2021年每11秒就会发生一次网络或勒索软件的攻击,而2020年的数据仅是39秒;此外,今年受网络攻击带来的直接经济损失将超过600亿美元,是2015年的57倍。 事实上,当下如此之多的网络攻击和安全事件无疑正在给企业的网络安全带来严重的冲击,看似牢不可破的企业信息安全保障体系和架构变得“脆弱不堪”,这也让企业不得不重新进行新的思考,那就是如何重构传统的企业安全架构和体系呢?
也正因此,零信任理念(或零信任网络、零信任架构、零信任安全)在由知名研究机构Forrester首席分析师约翰·金德维格(John Kindervag)于2010年提出的11年之后,再次受到了企业的高度关注和追捧——其核心思想是,默认情况下不应该信任网络内部和外部的任何人/设备/系统,而是需要基于认证和授权重构访问控制的信任基础。从这个角度说,零信任对访问控制进行了范式上的颠覆,引导安全体系架构从网络中心化走向身份中心化,其本质诉求是以身份为中心进行的访问控制。 VMware资深产品经理李嵩在此次直播中提出:“零信任这个理念提了很多年,但是最近这几年大量的企业开始向零信任架构转型,关键的原因还是在于企业的业务发生了巨大的变化,是业务驱动让现在企业的网络安全防护体系转向了零信任架构。” 确实如此,随着企业安全边界不断被各种新兴技术所打破,过去基于边界的安全防护体系正在失效。尤其是在疫情期间,大量的企业开始通过远程办公的方式接入网络,同时越来越多的企业也通过总部+分支的方式来进行网络的部署,当更多设备从不同的地点接入网络,这就让企业的网络更容易从内部被攻破。同时,企业的关键业务数据也不在受到数据中心的保护,数据的加速流动更让网络攻击有了更多“有机可乘”的机会。 •微服务/容器安全如何防护?如何实现云内的全面的可视化? 毫无疑问,这些问题都是企业在混合多云环境下所产生的,可以说多云环境推动了安全的变化,而零信任架构的出现则带动了安全的革新。
零信任理念和架构的出现解决了企业传统网络安全架构上的几个核心“痛点”: 一是,传统网络安全架构是以网络为中心的防护,是基于边界的安全理念,而零信任架构是以数据和应用为中心的防护,是基于多云环境下的安全理念; 二是,传统网络安全架构往往是一次认证,是一种静态的安全策略,而零信任架构能够持续评估,是一种动态的访问控制; 三是,传统网络安全架构是被动的、静态式的防御策略,而零信任架构是主动的、自动化的防御策略。 基于“永不信任,持续验证”理念的零信任架构的出现和进化,开始成为今天企业构建新的网络安全防护体系的重要理念和“法宝”。 客观地说,零信任理念和架构是十分美好的。但也要看到,大量的企业客户在过去已经建立了以纵深防御为主的安全防护体系,有的甚至已经完成了立体跨区域和多层级的安全防护体系。因此,零信任架构要在这样的体系中落地,往往要面对“颠覆”性安全架构和“重建”安全体系的工作,很多过往的的安全防护体系甚至要面临“推倒重来”的困扰,以至于落地零信任成为一件“伤筋动骨”的过程。 那么,如何才能更好的化解这一全新的挑战,快速地把“零信任”理念和架构融入到企业的混合多云环境中呢? 而作为最早倡导原生安全的厂商,以及在零信任架构领域验证和实践了多年的公司,VMware在零信任架构方面可以说已经发展得相当的完整,并形成了的独特的差异化能力。具体来说,VMware ZTA架构设计可以在“两个层面、三个方向”,为企业搭建零信任体系提供关键的支撑。 所谓的“两个层面”指的是,在用户访问层面,VMware把分支用户、远程办公、甚至用户的各种设备进行统一的管控;而在工作负载访问或者说数据层面,VMware对企业的现代化应用、数据甚至容器等提供全面的防护,而中间则会通过VMware NSX强大的网络虚拟化和安全性实现二者之间的衔接、访问之间的广域网链路优化,最终帮助企业实现安全的用户访问和安全的工作负载访问。 而“三个方向”是指,VMware可以帮助企业把数据、用户、设备同时结合网络和工作负载,在云边端三个方向都能以“统一平台,集中管控”的方式全部管理起来。目前,这些针对不同需求的创新技术已被VMware整合起来称之为“VMware SASE”,该平台结合业界领先的广域网边缘能力、边缘计算能力和云端安全功能,实现了包括云网络安全、零信任网络接入和防火墙等,因此在零信任创新技术和落地方面,VMware可以提供业界最全的零信任架构和关键技术。 目前VMware零信任架构在以下几个场景中已得到广泛的应用: 员工远程办公场景——VMware SD-WAN与WorkSpace ONE联合解决方案,就以“简单、安全、可靠”的优势,保护用户与数据的安全,同时自建和云服务模式并存的方式,也能帮助企业实现“即插即用”、简单部署、快速服务等能力。 企业虚拟桌面部署场景——VMware通过WorkSpace ONE UAG提供Horizon的安全接入,UAG是Horizon的接入网关,可以提供完整的日志覆盖到所有的服务器,同时提供额外的Syslog集成供日志集中分析,而管理员也可以通过控制台查看每个服务器上活动的Session,由此更好的实现企业虚拟桌面的安全管理。 原生云安全场景——VMware也可以为企业的重要资产提供网络及应用安全。其中网络安全方面,VMware可以提供负载均衡和Web防护、网关防火墙和租户防护、分布式防火墙和应用微分段、分布式入侵检测、以及网络行为分析和安全沙箱能力,而应用安全方面,无论是Web APP还是API乃至容器终端安全方面,VMware也能提供安全防护支撑。 总的来说,无论是在分支+总部的安全接入、人员+终端安全接入以及构建多云环境下的统一安全策略方面,零信任理念和架构都可以发挥更大的作用和更多的价值,而企业从传统架构转型或者升级到零信任架构和体系更是趋势所在,这样企业才能在多云环境下,打造出原生安全的新能力,并安全稳定地加速向数字化转型。 如果说VMware在软件和应用层面为企业落地零信任架构提供了“软性”能力的支撑,那么戴尔科技集团则在“硬核”能力方面为企业的零信任架构的搭建提供了另一大关键的支柱。
这里的“硬核”能力——正是“戴尔科技云平台”(简称DTCP),它由资源平台、数据平台、创新平台三大平台组合而成,通过一致性架构、一致性管理和一致性服务,并基于机器学习的端到端监控管理,实现三大平台的自动化管理和运维,是真正的跨边缘-核心-云的企业级一致性混合多云平台。 根据中桥点调研咨询今年8月公布的一份调查报告显示,未来两年,混合云将会成为中国企业主流的IT形态,但在此过程中,不少企业也表示在部署混合云时,通常会面临以下的难题,如下图显示:
对此,戴尔科技集团云架构师仲从俊表示,戴尔科技云平台正是为此而生的,而企业借助戴尔科技云平台,无论是构建软件定义的数据中心,还是实现零信任架构的落地,以及在混合云或多云环境下面临的运维、数据、以及应用交付等难题,都可以轻容化解,从容应对。 戴尔科技云平台不仅是真正的企业级的“软硬一体化”的平台,也是一致性混合云平台,其中“企业级”意味着戴尔科技云平台的硬件和硬件都是商业化的解决方案,区别于现在的诸如OpenStack这样的开源方案,可以更好地减少企业的使用和开发成本;而“一致性”则体现在戴尔科技云平台最大程度的降低了整个企业云迁移的复杂度,同时也降低了混合云、多云的管理难度。而它的组成包括几个重要部分: 第一,硬件层面, 主要是依托戴尔科技科集团在全球“制霸”的超融合一体机VxRail,它也是目前全球市占率排名第一的超融合一体机。今年8月,VxRail进行了全面的产品升级,不仅提供了更强的性能,也带来了新的软件更新,同时更是首次引入“动态计算节点”( Dynamic Nodes)功能,让企业客户能更有效地使用现有资源的同时,也降低了运营和管理成本。
第二,软件层面, 主要是是指VMware Cloud Foundation(VCF)提供的面向私有云和混合云的集成式软件堆栈,VCF将vSphere(计算)、vSAN(存储)、NSX(网络)和 vRealize Suite(云平台管理)整合到一个原生集成的系统中,通过有效的自动化和管理功能,打造满足企业业务应用需求的云基础架构;而在最新的版本中,VCF还为企业实现云原生、构建现代化应用提供一个平台,即实现了对Kubernetes的支持(VCF with Tanzu),这样不但能够帮助开发人员采用最新的开发方法和容器技术缩短部署时间,也为企业提供了一个统一的虚拟化与容器技术的平台。第三,一体化层面, 则是戴尔科技集团和VMware的强强联手打造的VCF on VxRail,这样一种集成式的软件+硬件的云平台堆栈,则可以更好的帮助企业横跨数据中心、私有云到混合云以及到公有云环境,从而全面管理分散在各处的虚拟机资源池,既可以满足传统应用的需求,也可以满足现代化应用的需求。因此,VCF on VxRail既是一个企业级的云平台,更是一个创新的云平台。
仲从俊强调,戴尔科技云平台,在企业实现跨多云、混合云环境,以及实现零信任安全架构落地的过程中,都能够发挥巨大的价值,其优势主要表现在三个层面,首当其冲的是可以帮助企业实现同源的一致性基础架构,同时还可借助VCF中的NSX帮助企业打通网络和安全的功能,这样企业就可以在混合云架构中实现一致性的网络和安全策略;最后,是可以借助VMware HCX实现跨云迁移服务,从而实现一致性的运维和运营体验,这样无论是企业的多云、混合云管理平台,还是实现零信任体系所需要的关键核心基础架构,就能够无缝的、完整的集成和整合起来,并以最简单的部署和操作,实现现代化和一致性的基础设施,由此更好地为企业加速通往混合云和实现零信任体系提供了全新的路径。 不仅如此,戴尔科技云平台本身也具备强大高可用性和稳定性,从全球数万VxRail客户统计的数据来看,它的高可用性达到6个9,这意味着一年停机时间平均不超过14秒钟,此外VxRail也通过了可信云超融合认证,而戴尔科技云平台在今年年初获得中国信通院可信云混合云私有云证书及可靠性认证报告。
为了降低企业通往混合云和私有云的门槛,客户可以选择戴尔Flex On Demand“按需计费”IT消费新模式,这是一种即服务模式,能够让企业获得一致性的采购服务和体验,这样更多的企业也可以像使用公有云一样使用私有云,让软件定义数据中心的成本有更大的优势,同时通过VMware的零信任的技术支撑,也能够更快的落地零信任的架构体系,从而更快地加速数字化转型。 全文总结,企业要实现数字化转型,要实现跨多云、混合云的管理,最大的挑战还是来源于安全的挑战,今天包括勒索攻击、DDoS、病毒感染等安全问题,都成为了企业转型路上亟待解决的头号“绊脚石”,而戴尔科技集团+VMware则可以提供基于VCF on VxRail打造的一体化混合云平台,以及能够提供的业界最全的零信任架构和关键技术,不仅为企业实现“零信任”架构和体系打下了关键基础,同时更为企业在多云时代实现网络安全保障构筑新的“护城河”。 申耀的科技观察,由科技与汽车跨界自媒体人申斯基创办,18年企业级科技媒体工作经验,长期专注企业数字化、产业智能化、ICT基础设施、汽车科技内容的观察和思考。