{{indPage.title}} /{{BreadCrumbs}}
2021/12/10
資安思維的變化及透過 Nutanix Flow 增加安全性
IT 技術最一致的就是高變化率。硬體、軟體和部署模型方面的新技術一直推陳出新。由於 IT 處於現代企業運作方式的最前線,因此那些尋求破壞、竊取或從惡意程式中獲利的人,也不斷地跟進他們的技術和方法。現代應用程序分佈在多個平台和位置,模糊了數據中心的界限,這個概念可能對性能和可用性很有幫助,但也使數據和應用程序安全更加複雜。
策略是新的安全邊界
「縱深防禦(defense-in-depth)」很容易概念化,因為它基於易於理解的結構,例如物理位置或內部與外部網絡,並通過在以下位置添加檢測和控制來創建分層邊界邏輯入口和出口點。隨著現代應用程序的分佈式特性以及公共雲和混合雲的包含架構,這些邊界不再容易定義。根據「零信任」的安全概念,定義邊界將重點轉移到應用程序上,並使用戶圍繞新邊界制定策略。零信任消除了「我們與他們」和「內部與外部」。它假定攻擊可以來自任何地方,因此最好的防禦是將網絡通信和授權限制為應用程序運行所需的內容,而不是依賴於對位置或來源的信任。
身份在最終用戶計算中的作用
Flow 是用於 AHV 虛擬化環境的網絡安全產品。它使用微分段來保護在 Nutanix 上運行的應用程序和虛擬網絡。在過去的幾個版本中,我們添加了特定的增強功能來解決遠程工作人員的 WFH 問題,並使 Flow 中管理策略的整個過程更簡單。
身份一直是最終用戶計算(虛擬桌面或DaaS)的焦點),其中桌面或應用程序通常鏈接到特定用戶或組。在 AOS 5.17 中,我們添加了一項稱為身份防火牆 (IDFW) 的功能。IDFW 允許 Flow 策略合併用戶身份的附加上下文。考慮創建 Flow 策略以根據用戶身份將虛擬桌面限制為一組端點的能力。例如,在平面網絡上使用單個桌面池,可以創建一個策略,不僅可以阻止桌面到桌面的通信。這還可以提供獨特的網絡策略,將承包商限制為特定應用程序,並且可以根據員工在目錄服務中定義的角色來控制他們對網絡或應用程序的訪問。以這種方式定義的政策的好處是,隨著角色或就業的變化,它允許網絡策略自動適應。無需在桌面解決方案中手動重新配置或更改用戶配置。
確保與可重用組的策略一致
Flow 中的策略模型基於使用標籤或類別對端點(例如,Web 服務器、數據庫、中間層應用服務等)進行分組的概念,以努力降低動態虛擬環境中策略更新的複雜性和需求. 在虛擬機管理程序的虛擬環境中具有端點標識符(IP 地址)的上下文,並且這些標識符可以動態更改(DHCP、網絡移動、添加網絡接口),根據分組的 VM 編寫策略。除了使用類別之外,Flow還允許使用服務組來表示單個別名下的一組端口和協議,並允許使用地址組來對非虛擬端點或參考地址範圍進行分組。這極大地簡化了非虛擬外部端點(例如客戶端、企業網絡和裸機)的編寫策略。
使用 Flow Security Central 進行計劃、監控和審查
除了通過組和類別簡化策略之外,我們最近還通過添加 Security Central 擴展了 Flow 功能。Security Central 是 Flow 的一個包含功能,它是一個安全操作和分析儀表板,其關鍵功能是提供虛擬機流量可見性。Security Central 獲取網絡流數據並構建 VM 到 VM 流量的交互式可視化。這種可視化提供了一種更簡單的方法來獲取網絡流量的上下文並就 VM 的分類或分組做出決策。
安全和混合雲
關於使用混合雲模型來確保企業可以為其應用程序獲得最佳的本地和公共雲操作模型的討論有很多。許多組織在考慮混合雲時普遍關心的一個問題是如何確保其安全策略在所有位置保持一致。對於混合雲,Nutanix 提供集群,允許將我們的平台部署到今天的 AWS 實例和不久的將來的 Microsoft Azure 上。Clusters 的偉大之處在於它與在本地數據中心運行的 Nutanix 平台相同,並且包括使用 Flow 實現網絡安全的選項。當所有位置都通過 Prism Central 進行管理時,好處是所有位置都可以使用類別和安全策略。
與合作夥伴一起增強安全性
雖然我們相信 Flow 可以涵蓋大量網絡安全用例,但在某些用例中,不僅需要對網絡和應用程序進行分段,還需要檢查網絡中允許的流量。無論是出於監管目的,還是作為防禦勒索軟件的綜合戰略的一部分,添加基於網絡的威脅情報的能力都是一個有價值的選擇。Nutanix Flow 支持這種基於策略的第 3 方虛擬安全設備服務插入,以提供對何時何地應用額外檢查的精細控制。