在應(yīng)用網(wǎng)絡(luò)與安全組件的微分段功能后,數(shù)據(jù)中心與外部依然通過邊界防火墻進行隔離,在 SmartX 超融合產(chǎn)品構(gòu)建的數(shù)據(jù)中心內(nèi)部對每個虛擬機提供分布式安全規(guī)則保護,其主要特性包括:
網(wǎng)絡(luò)微分段:通過標簽將虛擬機按照業(yè)務(wù)模型分組�,輕松創(chuàng)建細粒度網(wǎng)絡(luò)分段及相應(yīng)的分段間安全策略,精細控制出入虛擬機的流量,僅允許有必要的通信��。
按需隔離或診斷:及時完全隔離中毒的虛擬機��,防止惡意攻擊在數(shù)據(jù)中心內(nèi)擴散蔓延�����;也可將虛擬機進入“診斷隔離”模式���,進行調(diào)試�。
策略粘性:安全策略在虛擬機全生命周期內(nèi)始終生效�,在虛擬機遷移����、IP 或 MAC 地址變更、修改關(guān)聯(lián)標簽�,或發(fā)生 HA 自動故障轉(zhuǎn)移后,策略自動關(guān)聯(lián)或跟隨�。
相較于傳統(tǒng)的網(wǎng)絡(luò)分段方案���,數(shù)據(jù)中心內(nèi)的微分段具備以下優(yōu)勢:
易使用
- 無需安裝任何插件���,虛擬機組標簽與虛擬化平臺聯(lián)動,業(yè)務(wù)分組與虛擬機 IP 地址自動關(guān)聯(lián)����,自動適配組安全規(guī)則,簡化安全配置。
- 聲明式 API���,用戶只需關(guān)注期望結(jié)果��,無需關(guān)心中間過程�����。
- 無需調(diào)整物理網(wǎng)絡(luò)上的交換�����、路由��、安全等配置。
可擴展
- 采用分布式防火墻架構(gòu)�,具備橫向擴展性。
- 支持統(tǒng)一管理多 SMTX OS 集群網(wǎng)絡(luò)安全策略��。
- 支持跨數(shù)據(jù)中心多集群統(tǒng)一網(wǎng)絡(luò)安全策略管理����。
高可用
- 多控制器實例組成高可用集群,無單點故障�����。
- 控制平面故障不影響網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)發(fā)。
廣泛兼容
- 支持任意底層網(wǎng)絡(luò)架構(gòu)��,無任何物理網(wǎng)絡(luò)品牌���、型號和功能依賴���。?
- 純軟件實現(xiàn)���,無任何硬件設(shè)備(服務(wù)器�����、網(wǎng)卡)依賴�����,支持多種架構(gòu)平臺混合部署�����,包括 x86, Hygon, ARM 等。
SmartX 超融合產(chǎn)品內(nèi)嵌網(wǎng)絡(luò)與安全組件后�����,滿足了業(yè)務(wù)驅(qū)動的企業(yè)數(shù)字化轉(zhuǎn)型對網(wǎng)絡(luò)安全的核心要求�����,主要應(yīng)用場景包括:
數(shù)據(jù)中心服務(wù)間的“零信任安全”
對承載應(yīng)用的虛擬機進行分組�,安全策略與管理平臺聯(lián)動,自動關(guān)聯(lián)安全規(guī)則���,保證服務(wù)之間的最細粒度相互隔離與最小權(quán)限互通���。
動態(tài)隔離域
在數(shù)據(jù)中心公共資源上創(chuàng)建軟件定義的隔離域,滿足動態(tài)業(yè)務(wù)隔離域的訪問需求��。
異常虛擬機隔離
及時對異常虛擬機應(yīng)用完全隔離策略�����,隔離后該虛擬機與其他業(yè)務(wù)網(wǎng)絡(luò)����、系統(tǒng)網(wǎng)絡(luò)完全隔離���,不允許任何出入流量��,防止異常擴散。
業(yè)務(wù)部門分組安全
對不同部門管理和維護的應(yīng)用虛擬機進行靈活分組���,制定并執(zhí)行不同部門組之間的訪問規(guī)則和安全策略���。
SMTX OS 基礎(chǔ)版及以上版本支持啟用網(wǎng)絡(luò)與安全組件,需要同時配合 CloudTower 基礎(chǔ)版及以上版本使用��。
