利益对于坏人来说，没有什么不一样的。与攫取互联网上的点点滴滴利益相比，数字盗贼更喜欢一站式服务。还有一些其他的东西，让坏人更加感兴趣。数据中心流量正在增加东西流向(也就是数据从一个服务器传输到另一个服务器)。思科公司产品管理安全主任穆纳瓦尔•侯赛因写道：“思科全球云指数告诉我们，与数据中心园区网络不同，数据中心流量主要是东西方向(76%)，其次是南北流量(17%)，而7%是数据中心之间的流量。”

　　打开大门?

　　数据中心内部服务器之间的开放通道，直到现在一直是孤立的，这对于攻击者来说是一个千载难逢的机会。“现代攻击通常采用用户授权方法突破外围的防御，而对于数据中心边界内的工作负载横向迁移，却很少或根本没有管制，以阻止它们的传播。”根据VMware数据中心微分割白皮书的描述，“许多近期公共违反例证了这一点，通过网络钓鱼等方式。导致恶意软件入侵，找到漏洞实施攻击、指挥和控制，并使数据中心流量的横向移动不受约束，直到攻击者找到他们要找的数据。”

　　不用说，数据中心运营商正在寻找新的方式来加强安全性。侯赛因表示，这样的方法是“hair-pinning”，其中由数据中心外围安全设备路由出的内部流量进行检验，然后转发到数据中心内的原始目的地。

　　这听起来复杂且充满问题，网络专家同意这个观点，VMware和其他公司提出一个更好的解决方案是微分割。简而言之，微分割将数据中心的网络划分成较小的保护区。“而不是一个单一的整个网络，通过强化外围，加强流量的防御，微数据中心可以在应用层之间和设备之间提供安全服务。”思科的报告认为，数据中心的微型分割可以增强数据中心流量的安全性。其理论是，即使一台机器被攻破，其危害将会限制在一个较小的故障域。

　　微分割将数据中心的网络划分为较小的保护区

　　除了隔离和违反遏制以外，也有其他的好处。行业专家论证了一些微分割的实践优势：

　　•管理白名单：

　　拒绝所有通信，除非明确允许不是新的流量。微分割的方法是通过整合应用程序和网络服务进行管理。

　　•应用感知的安全性：

　　在微分割，安全策略组不是基于IP地址或域名子网的。“策略是在虚拟机或容器托管应用层执行，”专家表示，“工作负载和数据访问将以应用程序为中心的安全模型来保护。”

　　•集中配置：

　　微分割如果处理得当，可以巩固安全组成员管理。集中配置的安全策略，如防火墙规则，使他们能够从主机到主机遵循虚拟机，而新的实例自动继承适当的安全组成员和安全策略。“如果一个特定的虚拟机被删除，与虚拟机以及相关的防火墙规则也被删除。”专家表示，“这反过来，可以确保防火墙规则库的不断更新，并删除了闲置无用的规则。”这使得数据中心运营商通过消除漏洞和制定预防措施实施安全防范。

　　•访问控制：

　　顾名思义，微分割可以分隔应用程序。隔离单独的应用程序，或对数据仓库启用严格的访问控制，这将降低内部攻击概率。

　　•攻击恢复：

　　微分割与DCIM平台联合使用，如果发生数据泄露会减少消极影响。“微分割使数据中心是更为灵活，具有几乎立即查明问题的能力，并在问题包含在狭窄的故障域之内。”专家表示，“与此同时，多重的安全保障，可以减缓攻击的蔓延，使运营商能够锁定黑客，并保护卓越的数据。”

　　企业对于如何实现微分割有不同的理念。然而，VMware公司产品管理总监杰夫表示任何一种微分割必须具备以下属性：

　　•持久性：

　　尽管环境在不断变化，安全必须是一致的。这对于进入软件定义网络特别重要。“微分割为管理员提供了更多有用的方法来描述的工作量，”杰夫对于真正的微分割的三种需求指出，“管理员可以描述工作量的固有特性，并将此信息回馈给安全策略。”

　　•无处不在：

　　通常，由于成本的考虑，安全发放根据静态优先级列表进行的。杰夫指出，这是攻击者喜欢看的东西。幸运的是，微分割可以嵌入到安全的数据中心基础设施，这意味着安全功能可以应用于所有的工作负载，从而无需设置优先级。

　　•可扩展性：

　　黑客善于改变他们的攻击计划，如有需要，也就是说，为了工作，安全必须是灵活的，如果不是更多的话。“举个例子，检测恶意软件，防病毒系统，防病毒系统配合网络镜像流量到IPS，依次扫描异常流量。”杰夫解释说。“微分割的可扩展性有这种动态能力。没有它，安全管理员必须预先配置一个不同的静态链的服务，每一个对应于一个不同的可能的安全方案。”

　　由于软件定义的技术允许最终的网络灵活性，微分段的概念是唯一可能的。这二者相结合，为数据中心的东西流量提供集中控制，使用多层次的隔离，提高安全性，并且从长远来看，更加节省成本。这样很多人会问：“为什么不采用呢?”

　　编辑：Harris