客戶案例

企業(yè)數字化轉型值得信賴的合作伙伴

首頁

廣發(fā)銀行NSX方案

客戶情況

傳統(tǒng)網絡基礎架構限制了廣發(fā)銀行IT架構，組織在日益動態(tài)化、數字化環(huán)境中的適應能力和創(chuàng)新能力。所有工作負載都與物理硬件和拓撲拴在了一起，虛擬機中的虛擬化工作負載也不例外，這限制了其移動性。針對網絡連接的封閉黑盒方法雖然可以提供自定義的操作系統(tǒng)、ASIC、CLI 和管理，但進一步將企業(yè)禁錮在了現(xiàn)有硬件上。

傳統(tǒng)網絡硬件嚴重減緩了置備過程，并限制了工作負載的放置和可移植性。一項研究發(fā)現(xiàn)，公司因其網絡復雜性而處于不利地位，進而對可在何時、何處部署哪些應用程序和服務造成影響。

面臨問題

1. 高級持續(xù)性威脅：

攻擊一旦進入數據中心邊界，就能在各個服務器之間橫向擴展，隨后就能從這些服務器收集敏感數據并泄露到外部。這些案例突出了現(xiàn)代數據中心存在的一個致命弱點：安全控制有限，不足以阻止高級持續(xù)性威脅(APT) 在邊界內擴散傳播。

邊界防火墻必不可少，能夠有效阻止 APT。但是，最近的攻擊表明，威脅仍可通過合法接入點進入。一旦進入，威脅將在服務器之間成倍擴散，增大損壞的可能性。該問題一直無法解決，因為面臨著操作上的難題：所需的物理防火墻數量過多，規(guī)則列表過于復雜，實在是任務繁重，成本高昂

2. 出錯的人工配置：

使用物理網絡，網絡管理員每天不得不執(zhí)行大量重復的人工任務。例如，如果某個業(yè)務線或部門請求部署一個全新的應用程序和服務，那么管理員將需要創(chuàng)建 VLAN、跨交換機和上行鏈路映射 VLAN、創(chuàng)建端口組、更新服務配置文件以及執(zhí)行大量其他任務。管理員通常會借助CLI 進行配置，但CLI 并不是那么靈活。

人工配置網絡基礎架構很容易出錯。實際上，停機的一個主要原因就是人工錯誤。

VMware NSX解決方案

NSX：面向 SDDC 的網絡虛擬化和安全性

領先企業(yè)使用VMware NSX 作為其SDDC 的重要支柱。這些組織將NSX 視作可解決眾多IT 挑戰(zhàn)和業(yè)務計劃的戰(zhàn)略平臺。

NSX 為網絡提供了一種類似于虛擬機的運行模式。與服務器虛擬機一樣，網絡服務獨立于基礎硬件和拓撲，在軟件中以編程方式配置和管理。NSX 使企業(yè)可以擺脫傳統(tǒng)網絡基礎架構的束縛。

只需短短數秒，NSX 即可創(chuàng)建并置備具有一致配置和安全性的復雜多層網絡。包括邏輯交換機、路由器、防火墻、負載平衡器、VPN 和工作負載安全性在內的所有網絡連接元素和服務都在虛擬化管理程序內部。

虛擬網絡使用基礎物理網絡作為簡單的IP 轉發(fā)底板。您可以想想傳統(tǒng)網絡機箱，底板插在插槽中，線路卡直接連接到底板。沒有人會對機箱底板進行配置更改；它只用于在線路卡之間轉發(fā)數據包。在虛擬化網絡中，虛擬化管理程序就類似于線路卡，而物理網絡類似于底板。

微分段

目前，NSX 平臺的主要用例就是微分段，微分段顯著改變了數據中心邊界內的網絡安全性。如果威脅進入了網絡內部，NSX 可以遏制并阻止它橫向擴散至其他服務器，這大大縮小了威脅的攻擊面，從而降低了業(yè)務風險。客戶使用微分段解決了一直未能通過傳統(tǒng)防火墻從操作上真正解決的一個重大難題，而且成本僅為原來的三分之一左右。

微分段可以針對虛擬化網絡中的工作負載實施控制和實現(xiàn)可見性。安全性與每個工作負載緊密關聯(lián)。在每個虛擬機的虛擬網卡級別都會強制執(zhí)行防火墻規(guī)則。實際上，這將為每個工作負載創(chuàng)建一個單獨的“微信任區(qū)域”

NSX 可以自動根據虛擬化的相關環(huán)境（而不僅僅是物理拓撲）分配相應的安全組和策略。它還可以根據不斷變化的環(huán)境（包括諸如惡意軟件或漏洞評估解決方案這類第三方環(huán)境）動態(tài)改變安全組和策略。

NSX 采用一些全新的方式來將虛擬機分組和應用安全策略。例如，它可以根據應用程序類型、網絡構造和/或基礎架構拓撲來確保工作負載的安全。安全策略不再局限于單個分布式虛擬交換機或端口組。

集中編排安全策略，改善了規(guī)則散亂的情況并確保準確一致地應用安全策略。此外，置備、移動或刪除某個虛擬機后，也會相應地添加、移動或刪除其防火墻規(guī)則。這些更改自動進行，無需人工干預。這種新的自動化水平顯著降低了管理整個工作負載安全策略的操作復雜性和費用

業(yè)務價值

功能優(yōu)勢：快速、敏捷、安全、可靠

最大限度降低數據泄露的風險和影響，利用微分段來隔離每個工作負載以及各自的安全策略，限制威脅并阻止其橫向移動，啟用微分段后，威脅將無法滲入其他應用程序，也不會導致數據外泄。

提高 IT 服務交付和上市速度，企業(yè)可以使用NSX 為網絡置備實現(xiàn)與虛擬機計算相同的敏捷性、速度和可控性，此外，NSX 的自動化和編排功能可消除出現(xiàn)手動配置錯誤的風險。

官方微信公眾號

? 2023 匯通合力