雖然 2011 年看起來(lái)并沒(méi)有那么久遠（您應該還記得皇家婚禮、Kim Kardashian 離婚，當然還有 Charlie Sheen 的人設崩塌），但 10 年來(lái)發(fā)生了很多變化。當時(shí)，大部分數據中心都才剛剛開(kāi)始試用虛擬化。還記得嗎，當時(shí)人們認為只有少量不重要的工作負載采用虛擬化方式處理才是安全的。

　　而現在，全球大約一半的服務(wù)器已經(jīng)實(shí)現了虛擬化，并且我們已經(jīng)遠遠超越了虛擬化范疇。幾乎每個(gè)企業(yè)數據中心都變?yōu)榱嘶旌檄h(huán)境，混合使用物理和虛擬形式的存儲和計算資源。容器化以及為它提供支持的技術(shù)正在開(kāi)始站穩腳跟。當然，云計算已經(jīng)普及到企業(yè)計算的方方面面。

　　現在，當今的軟件定義數據中心帶來(lái)了許多業(yè)務(wù)優(yōu)勢，尤其是在資源效率和成本節約方面。但不可否認的是，復雜性也提高了，原因在于企業(yè)需要的所有資源都和原來(lái)一樣：計算、存儲、交換、路由。只不過(guò)現在，這些資源有多少在本地部署環(huán)境中，有多少在云環(huán)境中，都是不確定的。就管理連接、確保滿(mǎn)足業(yè)務(wù)部門(mén)的性能需求，以及跟上業(yè)務(wù)和技術(shù)的變革速度而言，管理當今的數據中心是一項巨大的挑戰。而除此之外，還有一項董事會(huì )、業(yè)務(wù)領(lǐng)導者和 IT 從業(yè)者最關(guān)注的挑戰：安全性。

　　我們首先來(lái)看一下可見(jiàn)性。在最近和 Omdia 召開(kāi)的網(wǎng)絡(luò )會(huì )議中，該分析機構談?wù)摿怂麄兯�稱(chēng)的網(wǎng)絡(luò )空間安全運維生命周期，概要介紹了有效的 SecOps 所包含的步驟。在該生命周期中，就像在數據中心內一樣，一切均始于可見(jiàn)性。畢竟，您無(wú)法保護您并不了解的環(huán)境。

　　指您可以查看有關(guān)工作負載、用戶(hù)、設備和網(wǎng)絡(luò )的可靠實(shí)時(shí)信息，并且能夠識別出條件變化、風(fēng)險狀況升級或所出現的新威脅。

　　尤其現在正值疫情時(shí)期（希望疫情很快結束，那么我們就進(jìn)入后疫情時(shí)期），您可能會(huì )面臨著(zhù)高度分散的用戶(hù)群從遠程位置訪(fǎng)問(wèn)數據中心資源的情況，而且這種情況基本上是無(wú)限期的。

　　由于這一點(diǎn)，有多少企業(yè)能夠完全確信自己可以實(shí)現充分的數據中心可見(jiàn)性？如果不能確信，您便不知道自己能否成功地執行安全計劃。最后，您實(shí)現的可見(jiàn)性越低，您的安全漏洞就越多。

　　接下來(lái)看一下應用安全性。這個(gè)問(wèn)題可以單獨寫(xiě)一篇文章討論了，因為您實(shí)在是太需要在應用內以及圍繞應用實(shí)現安全控制了。

　　實(shí)現應用安全需要采用不同的方法，具體取決于該應用是傳統本地部署應用，還是 SaaS 應用。此外，遵循應用策略要求是一項持續挑戰。隨著(zhù)許多應用日益組件化，您需要通過(guò) DevSecOps 流程來(lái)確保將安全性融入到實(shí)例中，為容器化的甚至是無(wú)服務(wù)器的應用功能提供支持。

　　接下來(lái)看一下變革的節奏。這聽(tīng)起來(lái)有點(diǎn)兒像老生常談，但幾乎每家企業(yè)都在以某種形式進(jìn)行不同程度的數字化轉型，其中涉及重大的 IT 基礎架構轉型。

　　但是，數字化轉型有一個(gè)不為人知的小秘密，即，它會(huì )持續不斷地加快變革速度，實(shí)現更多的云計算基礎架構、更多的 SaaS、更多的容器化。在未來(lái)十年，您還會(huì )面臨著(zhù)物聯(lián)網(wǎng)和 5G 等方面的挑戰。這意味著(zhù)，連接到數據中心以及向數據中心輸入數據的設備呈指數級增加。因此，數據中心安全技術(shù)需要以一種基于策略的自動(dòng)化驅動(dòng)型方法為中心，而且該方法必須能夠適應不斷加快的變革速度。

　　最后，我們需要深入了解的一項特定挑戰是東西向流量。隨著(zhù)數據中心的發(fā)展，東西向流量（數據中心內的流量）呈爆炸式增長(cháng)。在密度更高、效率更高的數據中心內，工作負載更多，生成的網(wǎng)絡(luò )流量也更多。在大多數企業(yè)中，東西向流量現在遠多于進(jìn)出數據中心的南北向流量。東西向流量不會(huì )實(shí)際離開(kāi)數據中心，但這并不意味著(zhù)您可以信任它。

　　對于企圖掩飾惡意橫向移動(dòng)的攻擊者而言，利用東西向流量是絕好的機會(huì )，可以說(shuō)，惡意橫向移動(dòng)是現代數據中心環(huán)境內最大的問(wèn)題。不妨想一想橫向移動(dòng)攻擊的最常見(jiàn)場(chǎng)景，即，盜取有效憑證。如果攻擊者利用合法憑證通過(guò)了身份驗證，進(jìn)而進(jìn)入了系統，則您需要在網(wǎng)絡(luò )層施加控制，以便能夠識別惡意流量，阻止其遍歷網(wǎng)絡(luò )并加大入侵力度。這樣來(lái)看，毫無(wú)疑問(wèn)的是，東西向流量基本上已經(jīng)成為了新的網(wǎng)絡(luò )邊界。

　　現在公認的是：只要具有網(wǎng)絡(luò )邊界，就需要防火墻。因此，企業(yè)現在需要在數據中心內部實(shí)施防火墻保護。但傳統的邊界防火墻方法不一定適用于東西向流量。

　　讓我們深入探討一下。

　　尤其是在“軟件定義”已占主導地位的數據中心內，在各個(gè)工作負載之間插入虛擬防火墻保護并不可行，并且也無(wú)法高效地將東西向流量路由到專(zhuān)用防火墻所在的位置。這樣會(huì )在虛擬環(huán)境中無(wú)端造成物理瓶頸，讓高效、靈活的軟件定義模型從整體上失去了意義。此外，請考慮不同防火墻控制流量的方式以及涉及的流量類(lèi)型。在邊界處，您主要阻止特定的端口和協(xié)議及 IP 地址范圍，同時(shí)，利用新一代防火墻，您是根據應用類(lèi)型和用戶(hù)組控制流量。這非常好，但是需要在東西向流量方面大幅提高控制的精細度。您可能擁有單個(gè)應用，但對于該應用的 Web 層、應用功能層、數據庫層等不同功能，均需要執行不同的控制。您的防火墻不僅需要能夠了解流量和應用，還需要能夠了解應用組件以及對什么通信可接受、什么通信不可接受做出規定的業(yè)務(wù)邏輯。

　　談及加密的工作負載內流量，若要設法對這些數據包進(jìn)行解密、檢查以及重新加密，需要巨大的開(kāi)銷(xiāo)，因而通常并不可行。然而，忽略該流量也不是很好的選擇，因為您實(shí)際上永遠不會(huì )知道它包含什么內容。

　　因此，您需要東西向防火墻保護功能，但這并不意味著(zhù)您需要接受物理和虛擬防火墻的傳統限制。可以采用不同的方法，即，引入虛擬邊界的概念，更具體地來(lái)說(shuō)，是微分段的概念。

　　微分段是指使用軟件和策略實(shí)施精細的網(wǎng)絡(luò )分段，精細到應用和工作負載級別。這并不是全新的概念，但許多企業(yè)仍然還沒(méi)有采納它。雖然微分段具有許多和傳統防火墻相同的功能，但它會(huì )將防火墻保護轉變?yōu)樘摂M實(shí)例中的一項功能。換言之，安全控制內置在工作負載級別，這對數據中心防火墻而言是非常重要的一大進(jìn)步。展望未來(lái)，防火墻保護將越來(lái)越多地從專(zhuān)用的物理和虛擬設備轉變?yōu)閼�用、工作負載或容器中的一項功能。

　　在大多數企業(yè)中，網(wǎng)絡(luò )空間安全是業(yè)務(wù)部門(mén)的重中之重，但安全性需要能夠推動(dòng)業(yè)務(wù)發(fā)展。長(cháng)時(shí)間生活在這種環(huán)境中的安全領(lǐng)導者知道管理層不希望發(fā)生最糟糕的安全事件，但也不希望由于安全體系架構導致人員、流程或技術(shù)和創(chuàng )新速度放緩而阻礙其業(yè)務(wù)發(fā)展。

　　現在，微服務(wù)和基于功能的防火墻保護的出色之處是，可以更加輕松地在業(yè)務(wù)流程中靈活地融入安全保護，甚至是在這些流程快速調整和改變時(shí)。不妨看一看下圖顯示的傳統虛擬防火墻模型。

　　其中，唯一可行的方法是在各工作負載和工作負載組之間注入虛擬防火墻實(shí)例。防火墻供應商將會(huì )告訴您：要正確進(jìn)行網(wǎng)絡(luò )分段，您需要許多防火墻，這沒(méi)什么大不了的。但是，部署和管理此模型的流程都非常復雜。它效率低下，成本效益不佳，無(wú)疑，也無(wú)法促進(jìn)提升業(yè)務(wù)敏捷性。

　　現在來(lái)看一看下圖顯示的微分段模型。

　　在這種模型中，您仍會(huì )獲得相同的防火墻功能，但它們內置到每個(gè)工作負載中，并且都具有對防火墻和其他網(wǎng)絡(luò )安全設置做出規定的相應策略，因此，只要創(chuàng )建了工作負載，便已經(jīng)實(shí)施了安全策略。

　　從業(yè)務(wù)角度來(lái)看，將安全保護內置到重要的數據中心資產(chǎn)中有很大的價(jià)值。利用這種基于策略的微分段，只要您部署工作負載，便可以實(shí)現工作負載所需的額外安全控制。您可以阻止橫向移動(dòng)的威脅，限制應用流量，并實(shí)現所有零信任訪(fǎng)問(wèn)優(yōu)勢。此外，您還能夠對防火墻保護所實(shí)現的那些額外安全功能進(jìn)行分層，例如 IDS/IPS、網(wǎng)絡(luò )流量分析以及虛擬修補。

　　不要相信任何人所說(shuō)的“防火墻保護將會(huì )消失”的說(shuō)辭，尤其是在數據中心內，防火墻保護更不會(huì )消失。您仍然需要防火墻提供的控制力。然而，傳統的獨立防火墻實(shí)例越來(lái)越多地開(kāi)始讓位給作為功能實(shí)施的新式防火墻保護。現在，是時(shí)候開(kāi)始研究這些技術(shù)如何發(fā)揮作用以及它們?yōu)槟�的企業(yè)提供的好處了。

　　我希望您能觀(guān)看此按需網(wǎng)絡(luò )會(huì )議：數據中心未來(lái)將如何發(fā)展？以便更加深入地了解此主題，包括如何讓該技術(shù)在您的環(huán)境發(fā)中揮作用。

　　在此會(huì )議中，VMware 的核心 IT 基礎架構解決方案工程和設計總監將向您講述現實(shí)經(jīng)歷，介紹 VMware 自己實(shí)現這種全新數據中心安全方法的旅程。該總監正是實(shí)現這些數據中心轉型場(chǎng)景的實(shí)際參與者。如果您不相信我的話(huà)，不妨聽(tīng)聽(tīng)他說(shuō)的吧。