2022 年 1 月 21 日,SmartX 正式宣布超融合产品线新增网络与安全组件,新组件以微分段为核心功能,帮助客户在虚拟化场景下对东西向流量进行保护,加固数据中心内部网络安全,构建零信任安全的企业云基础设施。
网络作为数据中心互联的基础,其内外部的安全威胁愈演愈烈。一方面,传统数据中心网络安全以加强边界安全为主,无法保障数据中心内部东西向访问的可信与安全;另一方面,传统网络分段方式粒度粗,影响范围大,管理配置复杂。
在此背景下,基于零信任理念的网络架构和更细粒度的网络隔离功能——“微分段”——应运而生。
SmartX 超融合产品网络与安全组件的微分段功能,通过使用 Kubernetes 云原生框架和技术构建的管控平台,结合虚拟分布式交换机,支持虚拟机隔离、网络安全策略、全局策略三种形态的分布式防火墙策略,符合“零信任架构”对网络安全的要求。
在应用网络与安全组件的微分段功能后,数据中心与外部依然通过边界防火墙进行隔离,在 SmartX 超融合产品构建的数据中心内部对每个虚拟机提供分布式安全规则保护,其主要特性包括:
网络微分段:通过标签将虚拟机按照业务模型分组,轻松创建细粒度网络分段及相应的分段间安全策略,精细控制出入虚拟机的流量,仅允许有必要的通信。
按需隔离或诊断:及时完全隔离中毒的虚拟机,防止恶意攻击在数据中心内扩散蔓延;也可将虚拟机进入“诊断隔离”模式,进行调试。
策略粘性:安全策略在虚拟机全生命周期内始终生效,在虚拟机迁移、IP 或 MAC 地址变更、修改关联标签,或发生 HA 自动故障转移后,策略自动关联或跟随。
相较于传统的网络分段方案,数据中心内的微分段具备以下优势:
易使用
- 无需安装任何插件,虚拟机组标签与虚拟化平台联动,业务分组与虚拟机 IP 地址自动关联,自动适配组安全规则,简化安全配置。
- 声明式 API,用户只需关注期望结果,无需关心中间过程。
- 无需调整物理网络上的交换、路由、安全等配置。
可扩展
- 采用分布式防火墙架构,具备横向扩展性。
- 支持统一管理多 SMTX OS 集群网络安全策略。
- 支持跨数据中心多集群统一网络安全策略管理。
高可用
- 多控制器实例组成高可用集群,无单点故障。
- 控制平面故障不影响网络数据转发。
广泛兼容
- 支持任意底层网络架构,无任何物理网络品牌、型号和功能依赖。
- 纯软件实现,无任何硬件设备(服务器、网卡)依赖,支持多种架构平台混合部署,包括 x86, Hygon, ARM 等。
SmartX 超融合产品内嵌网络与安全组件后,满足了业务驱动的企业数字化转型对网络安全的核心要求,主要应用场景包括:
数据中心服务间的“零信任安全”
对承载应用的虚拟机进行分组,安全策略与管理平台联动,自动关联安全规则,保证服务之间的最细粒度相互隔离与最小权限互通。
动态隔离域
在数据中心公共资源上创建软件定义的隔离域,满足动态业务隔离域的访问需求。
异常虚拟机隔离
及时对异常虚拟机应用完全隔离策略,隔离后该虚拟机与其他业务网络、系统网络完全隔离,不允许任何出入流量,防止异常扩散。
业务部门分组安全
对不同部门管理和维护的应用虚拟机进行灵活分组,制定并执行不同部门组之间的访问规则和安全策略。
SMTX OS 基础版及以上版本支持启用网络与安全组件,需要同时配合 CloudTower 基础版及以上版本使用。