这是一个网络丛林,捕食者无情地寻找方法渗透公司资源。IT领导正在用各种不同的微分割方法来应对,所有这些方法都旨在将工作负载彼此隔离,并防止未经授权的横向移动。我们请了三家企业分享他们为什么在他们的网络中部署微细分技术以及它是如何工作的。下面是他们的故事。
通过VMware NSX实现分布式防火墙
托德·普,食品制造商首席信息官SugarCreek,管理一个完全虚拟化的私有数据中心。2020欧洲杯预赛就像他在世界各地的同行一样,他的目标很简单:挫败和阻止网络攻击者。“最重要的是,我们保护我们的数据库,”他说。“我们会尽一切努力将不速之客排除在数据库之外。”
如今,这需要的不仅仅是传统的周界保护。“在早期,所有的东西都被从外到内的防火墙保护在边缘,”Pugh说。随着攻击者技能的提高,基本的边缘保护不再能够提供有效的保护。“我们发现防火墙需要离数据更近,”他说。
解决方案是将基础设施分解为微段,并用防火墙保护每个资源。“我们的方法是使用VMwareNSX,它让我们在每个应用程序或虚拟机旁边设置一个分布式防火墙,”Pugh说。“有了微分割,我们可以在栈的每一层保护我们的基础设施,这样,如果最终发生什么事,任何形式的破坏都可能被限制在这一层。”
Pugh认为,多个微段(每个都由防火墙保护)是防御攻击而不影响性能的最佳方式。“分布式虚拟防火墙的美妙之处在于,如果虚拟机需要通信,而且它们在同一台主机上,那么流量就不会离开该主机,”他说。“它缩短了数据之间的路径。”
速度的提高令人印象深刻。“你正在从网络的gig速度转变为主机的总线速度,它要快得多,”Pugh说。“然后,随着东西转移到云上,我们已经在NSX内部建立了防火墙,所以如果我们把东西从我们的数据中心转移到云上,无论是超级规模的云还是公共私有云,防火墙规则会遵循应用程序。”2020欧洲杯预赛
普说