英特尔安全分享软件定义数据中心的安全和保护软件定义基础架构

软件定义数据中心的安全

当今，数据中心的几乎所有组件都是以硬件资源整合库的形式运作。无论是计算、储存还是网络能力，您都可以按照自身要求以最有效的方式配备、运作和管理您的资源。这些软件定义数据中心（SDDC）的工作分散到多台电脑，甚至多个地点，按需求扩展和联系。SDDC架构包含所有数据中心功能：虚拟机、软件定义网络、软件定义储存、云计算、自动化、管理和安全。

随着各组件的虚拟化，各项支持功能需要适应压力，而安全系统现在正回应这种压力。传统安全架构从预备、工作和网络流中脱离。随着数据中心从一台巨型机器发展到成百上千台机器，主要依靠周边防御和机器、网络的分散保障安全，也就是所谓的安全区。不幸的是，管理这些安全区非常复杂，因此大多数客户只创建少量安全区。在这个模型中，安全地执行发生在周边，并依据传统创建出一个不可管理的集中化规则。

保护SDDC的新方法就是虚拟隔离和微分割。每个工作负载现在都拥有自己的周边防御，与数据中心的其他部分隔离，然后再按需要应用规则。这些规则与应用紧密相关。访问被压缩到仅提供必要的权限，限制恶意行动。如果虚拟机转移，其规则随之转移。

在以前，数据中心中的流通主要是从客户端到服务器，也就是所谓的南北流通。建立周边防御和网络碎片是为了按功能或部门分流流量和防御外界威胁。而在今天，数据中心有高达80%的流通是在内部进行，即东西流通。根据我们以前的观察，只要有威胁穿过了周边防火墙，数据中心就变得毫无防备。数据分区需要适应这种新情况，对独立的流应用规则和引导流量，防御一切有可能的攻击威胁。规则的配置和应用都是基于逻辑分组而非物理分组。

SDDC的安全系统需要比周边防火墙更强大的功能，入侵监控和预防，深度文件分析和文件声誉管理，行为分析，高级威胁防御和自动程序检测，这些功能都是必须的。通过将流量导向适当的虚拟安全引擎，这些功能和其他防护功能都可以在必要时发生功用。

举例说明，在一个典型的由网络层面、应用层面和数据库层面构建的三层情景中，SDDC安全会应用到每一个边界层，提供各层面的全方位防护。存放敏感信息的数据库层会拥有更先进的安全和数据丢失防护功能，而网络层面会更关注于恶意地址、链接和堆栈漏洞。

通过整合软件定义安全和软件定义网络，您将获得更敏锐和更高效的安全解决方案，为您的数据中心中的所有流量，而非仅南北流量提供先进威胁防护。安全服务会根据规则，而非物理或阶层架构注入新的工作流中。安全防护能力与数据中心的其他部分相匹配，减少潜在瓶颈。虚拟安全现在已成为现实。

保护软件定义基础架构

英特尔安全控制器（ISC）会像管理程序一样归纳和控制安全功能。与物理安全应用尝试实时区分和保护多个虚拟流不同，您的虚拟工作是由虚拟的、分散的安全应用所保护，它们会专注于特定的一些服务和规则。这样就显著降低了新应用或服务部署安全系统的成本和时间。

无论您现在用的是VMWare、Cisco、OpenStack还是OpenDaylight，部署、调整应用、网络分区或其他虚拟架构都已变得更加简单。ISC会部署虚拟感应器到运行环境下，进行监控并向安全管理器报告，由其分析数据并指挥采取合适的行动。ISC无需花费数小时来配置和整合每台虚拟机，其感应器的部署是自动且动态的。

迈克菲网络安全平台的智能高性能安全引擎和下一代防火墙提供各种安全功能，在物理和虚拟架构上可以达成规则一致，提供保护和执行安全。安全功能成为您的服务和应用的另一个资源库，在节省整合到各项工作的成本的前提下满足各个工作负载的特定需求。调整也很简单，如果您需要更高的安全性能，只需在增加计算或储存能力的同时，增加安全资源库的大小。

软件定义架构需要一种新的安全手段，具有灵活、渗透力强且高效率多功能性的软件定义安全。结合最佳物理和虚拟安全性能的英特尔安全控制器就是回答这个革新问题的最佳答案。