IT技术最一致的事情之一是变化 - 高变化率。硬件,软件和部署模型中的新技术始终正在实施。正如现代企业如何运作甚至使自己不同的最前沿,那些试图破坏,窃取或从恶意活动中获利的人也在改善和改变他们的技术和方法也就不足为奇了。现代应用程序分布在多个平台和位置 - 模糊数据中心的线路。这个概念可能非常适合性能和可用性,但可以制作数据和应用程序安全更复杂。尽管IT和安全技术领域发生了不断的变化,但仍然不断的一件事是,现代攻击(例如零日,高级持久威胁和勒索软件)的现代攻击日益增长。
政策是新的安全周边
曾经有一段时间,“深度防御”的安全概念易于概念化,因为它是基于易于理解的诸如物理位置或内部网络之类的易于理解的结构,并通过在添加检测和控件来创建分层周围器逻辑入口和出口点。具有现代应用的分布性质以及公共云的包含和混合云体系结构,这些外围不再易于定义。因此,必须发展安全外周长的较旧模型。根据“零信任”的安全概念来定义周长会将重点转移到应用程序上,并使用户围绕新外围制定策略。零信托删除了“我们与他们”和“内部与外部”。它假定攻击可以来自任何地方,因此最好的防御方法是将网络通信和授权限制为应用程序功能所需的内容,而不是依靠信任位置或源。
2020年,大流行还为我们带来了工作(WFH)的工作兴起,并快速扩展了虚拟桌面部署,这增加了定义周边 - 远程工人的更困难。这将我们带入了该博客的主要重点,这不仅为Nutanix在混合云环境中如何看待安全性奠定了基础,而且还可以吸引您了解我们围绕网络安全性所做的事情。
您可能知道,流动是我们用于AHV虚拟化环境的网络安全产品。它使用微座来保护Nutanix上运行的应用程序和虚拟网络。在过去的几个版本中,我们添加了特定的增强功能,以解决远程工人的WFH问题,并使管理策略的总体流程更简单。
身份在最终用户计算中的作用
身份一直是最终用户计算的焦点(虚拟桌面或者daas),桌面或应用程序通常链接到特定用户或组。在AOS 5.17中,我们添加了一个称为身份防火墙(IDFW)的功能。IDFW允许Flow Policy合并用户身份的其他上下文。考虑创作流程策略的能力,将虚拟桌面限制为基于用户身份的一组端点。例如,使用单个台式机上的单个台式机,可以创建一个策略,该策略不仅可以阻止桌面到桌面通信。这还可以提供独特的网络策略,该政策将承包商限制在特定应用程序中,并可以根据目录服务中定义的角色来控制员工对网络或应用程序的访问。以这种方式定义的策略的好处是,随着角色或就业的变化,它允许网络策略自动适应。无需在桌面解决方案中手动重复或更改用户配置。
确保可重复使用的团体的一致政策
Flow中的策略模型基于使用标签或类别对组端点(例如Web服务器,数据库,中层应用程序服务等)的概念,以减少动态虚拟环境中的复杂性和对策略更新的需求。在虚拟环境中管理程序具有端点标识符(IP地址)的上下文,这些标识符可以动态变化(DHCP,网络移动,添加网络界面),以分组的VM来编写策略,而不是枚举IPS,然后需要枚举IPS,然后需要进行枚举,然后需要枚举IPS,然后需要更有意义。当这些值更改时更新策略。除了使用类别外,流策略还允许使用服务组在单个别名和地址组下代表一组端口和协议,以分组非虚拟端点或参考地址范围。这极大地简化了针对非虚拟外部终点(例如客户,企业网络和裸金属)的编写政策。
计划,监视和审核中央的流安全性
除了通过组和类别简化策略外,我们最近通过增加安全性中心扩展了流功能。Security Central是Flow的一个功能,是安全操作和分析仪表板,并于10月在我们的.Next会议上启动,其关键功能提供了VM流量可见性。安全中心采用网络流数据,并构建VM对VM流量的交互式可视化。这种可视化提供了一种更简单的方法来获得网络流量的上下文并就VM的分类或分组做出决策。在当前版本中,重点是简化类别创建。未来的版本也将提供政策建议。您可以了解更多有关我们在我们的安全中心中发现的其他功能和功能的信息启动博客文章。
安全性和混合云
围绕使用混合云模型来确保企业可以为其应用程序获得最好的本地和公共云操作模型的讨论。许多组织在考虑混合云时的一个普遍关注是如何确保其安全政策在所有位置保持一致。对于Hybrid Cloud,Nutanix提供簇,该簇可以在今天的AWS实例中部署到AWS实例,而Microsoft Azure在不久的将来。群集的好处是,它是在本地数据中心运行的Nutanix平台,其中包括用于网络安全的流程的选项。当所有位置通过Prism Central管理时,好处是类别和安全策略在所有位置都可以使用。这消除了对本地或云的不同管理或单独管理网络安全的需求,因为所有这些都在Prism Central中全部合并了可见性和安全操作的政策和安全中心。
与合作伙伴增强安全性
尽管我们认为流量可以涵盖大量网络安全用例,但在某些情况下,不仅需要分割网络和应用程序,而且还需要检查网络中允许的流量。无论是出于监管目的,还是作为防御勒索软件的综合战略的一部分,添加基于网络的威胁情报的能力都是一个有价值的选择。Nutanix Flow支持了第三方虚拟安全设备的基于政策的服务插入,以提供对何时何地应用额外检查的粒状控制。
例如,我们的服务插入合作伙伴之一帕洛阿尔托网络不仅可以用于高级威胁情报,而且还将其集成到安全管理中。Palo Alto的管理应用程序Panorama通过与Nutanix Prism集成,将Nutanix政策类别纳入其动态访问组(DAGS)。这种集成有助于确保防火墙政策和环境在整个平台之间保持一致。除了Palo Alto网络外,Flow还支持L7与AHV上的Fortinet Fortigate-VM和SonicWall NSV集成,并且我们与Gigamon Gigavue虚拟设备的集成允许在Nutanix环境中为VM流量监视提供VM。
准备尝试吗?进行试驾!
最近的最后一个增加是我们的流程测试驱动器的可用性。Nutanix测试驱动器使您有机会与真正的Nutanix部署进行互动,以支持产品功能的指导演练。在我们的流程测试驱动器中,您可以看到启用流程并获得类别,策略类型和行动策略示例的交互式演练非常容易。立即进行试驾!
©2020 Nutanix,Inc。保留所有权利。Nutanix,Nutanix徽标和所有Nutanix产品,此处提到的功能和服务名称是美国和其他国家的Nutanix,Inc。的注册商标或商标。本文提到的所有其他品牌名称仅用于识别目的,可能是其各自持有人的商标。这篇文章可能包含指向不属于Nutanix.com一部分的外部网站的链接。Nutanix不控制这些站点,并对任何外部站点的内容或准确性不承担所有责任。我们决定链接到外部站点的决定不应被视为对该站点上任何内容的认可。本文中包含的某些信息可能与从第三方来源以及我们自己的内部估计和研究获得的研究,出版物,调查和其他数据有关。尽管我们认为这些第三方研究,出版物,调查和其他数据是在本文之日起可靠的,但它们尚未独立验证,我们对任何信息的充分性,公平性,准确性或完整性都没有任何代表性从第三方来源获得。
这篇文章可能包含明确和暗示的前瞻性陈述,这些陈述不是历史事实,而是基于我们当前的期望,估计和信念。此类陈述的准确性涉及风险和不确定性,并取决于未来的事件,包括可能无法控制的事件,实际结果可能与此类陈述所预期或暗示的事件差异。本文所包含的任何前瞻性陈述仅在本文之日起说,除非法律要求,否则我们没有义务更新或以其他方式修改任何此类前瞻性陈述,以反映后续事件或情况。