在后疫情、新基建時(shí)代，我們看到了不一樣的風(fēng)景，其中一些企業(yè)通過(guò)積極的數(shù)字化重塑成功渡過(guò)了難關(guān)，但更多的企業(yè)卻只能“被動(dòng)前行”。企業(yè)開始重新審視在不確定性環(huán)境下數(shù)字化的應(yīng)變能力。特別是隨著云快速的發(fā)展和迭代，企業(yè)走向混合多云也是大勢(shì)所趨，這不僅意味著管理的復(fù)雜性和多樣性在快速上升，也意味著其在安全方面也面臨著前所未有的挑戰(zhàn)與壓力。

網(wǎng)絡(luò)黑客利用基礎(chǔ)設(shè)施漏洞來(lái)實(shí)施網(wǎng)絡(luò)攻擊的頻率越來(lái)越高；新技術(shù)的普及，也使得企業(yè)原有的安全技術(shù)、安全設(shè)備和安全策略已無(wú)法支撐新應(yīng)用的需求，數(shù)據(jù)泄露、網(wǎng)絡(luò)攻擊等安全事件也頻頻發(fā)生。

?如何通過(guò)現(xiàn)有的工具梳理與解決安全問(wèn)題？

?用過(guò)去的“老辦法”開展工作，是否能有效阻止或防止攻擊？

?面向未來(lái)，如何構(gòu)建安全的私有、混合與多云環(huán)境呢？

近期由戴爾科技集團(tuán)和VMware聯(lián)合舉辦的《從數(shù)據(jù)中心安全到虛擬化網(wǎng)絡(luò)、到云中安全——如何建立有效的信息安全保障》線上直播活動(dòng)中，來(lái)自戴爾科技集團(tuán)和VMware的相關(guān)專家就上述問(wèn)題做了精彩的闡述，可以說(shuō)不僅為企業(yè)在多云環(huán)境下更好地保障信息安全提供了重要的參考價(jià)值，更提供了一份從開局到實(shí)踐的最佳方法論。

企業(yè)安全架構(gòu)重構(gòu)勢(shì)在必行

今年5月最大成品油管道公司Colonial Pipeline受到勒索病毒攻擊，導(dǎo)致系統(tǒng)下線，所有管線停止運(yùn)營(yíng)，此次勒索病毒攻擊在許多維度上是網(wǎng)絡(luò)安全史上迄今為止最嚴(yán)重的，幾乎使美國(guó)東南部癱瘓，并給 Colonial Pipeline 造成數(shù)百萬(wàn)美元的損失。

而相關(guān)數(shù)據(jù)也顯示，2021年每11秒就會(huì)發(fā)生一次網(wǎng)絡(luò)或勒索軟件的攻擊，而2020年的數(shù)據(jù)僅是39秒；此外，今年受網(wǎng)絡(luò)攻擊帶來(lái)的直接經(jīng)濟(jì)損失將超過(guò)600億美元，是2015年的57倍。

事實(shí)上，當(dāng)下如此之多的網(wǎng)絡(luò)攻擊和安全事件無(wú)疑正在給企業(yè)的網(wǎng)絡(luò)安全帶來(lái)嚴(yán)重的沖擊，看似牢不可破的企業(yè)信息安全保障體系和架構(gòu)變得“脆弱不堪”，這也讓企業(yè)不得不重新進(jìn)行新的思考，那就是如何重構(gòu)傳統(tǒng)的企業(yè)安全架構(gòu)和體系呢？

也正因此，零信任理念（或零信任網(wǎng)絡(luò)、零信任架構(gòu)、零信任安全）在由知名研究機(jī)構(gòu)Forrester首席分析師約翰·金德維格（John Kindervag）于2010年提出的11年之后，再次受到了企業(yè)的高度關(guān)注和追捧——其核心思想是，默認(rèn)情況下不應(yīng)該信任網(wǎng)絡(luò)內(nèi)部和外部的任何人/設(shè)備/系統(tǒng)，而是需要基于認(rèn)證和授權(quán)重構(gòu)訪問(wèn)控制的信任基礎(chǔ)。從這個(gè)角度說(shuō)，零信任對(duì)訪問(wèn)控制進(jìn)行了范式上的顛覆，引導(dǎo)安全體系架構(gòu)從網(wǎng)絡(luò)中心化走向身份中心化，其本質(zhì)訴求是以身份為中心進(jìn)行的訪問(wèn)控制。

VMware資深產(chǎn)品經(jīng)理李嵩在此次直播中提出：“零信任這個(gè)理念提了很多年，但是最近這幾年大量的企業(yè)開始向零信任架構(gòu)轉(zhuǎn)型，關(guān)鍵的原因還是在于企業(yè)的業(yè)務(wù)發(fā)生了巨大的變化，是業(yè)務(wù)驅(qū)動(dòng)讓現(xiàn)在企業(yè)的網(wǎng)絡(luò)安全防護(hù)體系轉(zhuǎn)向了零信任架構(gòu)?！?/p>

確實(shí)如此，隨著企業(yè)安全邊界不斷被各種新興技術(shù)所打破，過(guò)去基于邊界的安全防護(hù)體系正在失效。尤其是在疫情期間，大量的企業(yè)開始通過(guò)遠(yuǎn)程辦公的方式接入網(wǎng)絡(luò)，同時(shí)越來(lái)越多的企業(yè)也通過(guò)總部+分支的方式來(lái)進(jìn)行網(wǎng)絡(luò)的部署，當(dāng)更多設(shè)備從不同的地點(diǎn)接入網(wǎng)絡(luò)，這就讓企業(yè)的網(wǎng)絡(luò)更容易從內(nèi)部被攻破。同時(shí)，企業(yè)的關(guān)鍵業(yè)務(wù)數(shù)據(jù)也不在受到數(shù)據(jù)中心的保護(hù)，數(shù)據(jù)的加速流動(dòng)更讓網(wǎng)絡(luò)攻擊有了更多“有機(jī)可乘”的機(jī)會(huì)。

?疫情期間如何保證遠(yuǎn)程辦公的安全接入？

?訪問(wèn)的設(shè)備可信嗎？簡(jiǎn)化登錄如何實(shí)現(xiàn)單點(diǎn)登錄？

?微服務(wù)/容器安全如何防護(hù)？如何實(shí)現(xiàn)云內(nèi)的全面的可視化？

?多云環(huán)境和場(chǎng)景下，如何實(shí)現(xiàn)統(tǒng)一的細(xì)粒度策略？

毫無(wú)疑問(wèn)，這些問(wèn)題都是企業(yè)在混合多云環(huán)境下所產(chǎn)生的，可以說(shuō)多云環(huán)境推動(dòng)了安全的變化，而零信任架構(gòu)的出現(xiàn)則帶動(dòng)了安全的革新。

零信任理念和架構(gòu)的出現(xiàn)解決了企業(yè)傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)上的幾個(gè)核心“痛點(diǎn)”：

一是，傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)是以網(wǎng)絡(luò)為中心的防護(hù)，是基于邊界的安全理念，而零信任架構(gòu)是以數(shù)據(jù)和應(yīng)用為中心的防護(hù)，是基于多云環(huán)境下的安全理念；

二是，傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)往往是一次認(rèn)證，是一種靜態(tài)的安全策略，而零信任架構(gòu)能夠持續(xù)評(píng)估，是一種動(dòng)態(tài)的訪問(wèn)控制；

三是，傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)是被動(dòng)的、靜態(tài)式的防御策略，而零信任架構(gòu)是主動(dòng)的、自動(dòng)化的防御策略。

基于“永不信任，持續(xù)驗(yàn)證”理念的零信任架構(gòu)的出現(xiàn)和進(jìn)化，開始成為今天企業(yè)構(gòu)建新的網(wǎng)絡(luò)安全防護(hù)體系的重要理念和“法寶”。

如何把“零信任”融入多云？

客觀地說(shuō)，零信任理念和架構(gòu)是十分美好的。但也要看到，大量的企業(yè)客戶在過(guò)去已經(jīng)建立了以縱深防御為主的安全防護(hù)體系，有的甚至已經(jīng)完成了立體跨區(qū)域和多層級(jí)的安全防護(hù)體系。因此，零信任架構(gòu)要在這樣的體系中落地，往往要面對(duì)“顛覆”性性全架構(gòu)和“重建”安全體系的工作，很多過(guò)往的的安全防護(hù)體系甚至要面臨“推倒重來(lái)”的困擾，以至于落地零信任成為一件“傷筋動(dòng)骨”的過(guò)程。

那么，如何才能更好的化解這一全新的挑戰(zhàn)，快速地把“零信任”理念和架構(gòu)融入到企業(yè)的混合多云環(huán)境中呢？

而作為最早倡導(dǎo)原生安全的廠商，以及在零信任架構(gòu)領(lǐng)域驗(yàn)證和實(shí)踐了多年的公司，VMware在零信任架構(gòu)方面可以說(shuō)已經(jīng)發(fā)展得相當(dāng)?shù)耐暾?，并形成了的?dú)特的差異化能力。具體來(lái)說(shuō)，VMware ZTA架構(gòu)設(shè)計(jì)可以在“兩個(gè)層面、三個(gè)方向”，為企業(yè)搭建零信任體系提供關(guān)鍵的支撐。

所謂的“兩個(gè)層面”指的是，在用戶訪問(wèn)層面，VMware把分支用戶、遠(yuǎn)程辦公、甚至用戶的各種設(shè)備進(jìn)行統(tǒng)一的管控；而在工作負(fù)載訪問(wèn)或者說(shuō)數(shù)據(jù)層面，VMware對(duì)企業(yè)的現(xiàn)代化應(yīng)用、數(shù)據(jù)甚至容器等提供全面的防護(hù)，而中間則會(huì)通過(guò)VMware NSX強(qiáng)大的網(wǎng)絡(luò)虛擬化和安全性實(shí)現(xiàn)二者之間的銜接、訪問(wèn)之間的廣域網(wǎng)鏈路優(yōu)化，最終幫助企業(yè)實(shí)現(xiàn)安全的用戶訪問(wèn)和安全的工作負(fù)載訪問(wèn)。

而“三個(gè)方向”是指，VMware可以幫助企業(yè)把數(shù)據(jù)、用戶、設(shè)備同時(shí)結(jié)合網(wǎng)絡(luò)和工作負(fù)載，在云邊端三個(gè)方向都能以“統(tǒng)一平臺(tái)，集中管控”的方式全部管理起來(lái)。目前，這些針對(duì)不同需求的創(chuàng)新技術(shù)已被VMware整合起來(lái)稱之為“VMware SASE”，該平臺(tái)結(jié)合業(yè)界領(lǐng)先的廣域網(wǎng)邊緣能力、邊緣計(jì)算能力和云端安全功能，實(shí)現(xiàn)了包括云網(wǎng)絡(luò)安全、零信任網(wǎng)絡(luò)接入和防火墻等，因此在零信任創(chuàng)新技術(shù)和落地方面，VMware可以提供業(yè)界最全的零信任架構(gòu)和關(guān)鍵技術(shù)。

目前VMware零信任架構(gòu)在以下幾個(gè)場(chǎng)景中已得到廣泛的應(yīng)用：

員工遠(yuǎn)程辦公場(chǎng)景——VMware SD-WAN與WorkSpace ONE聯(lián)合解決方案，就以“簡(jiǎn)單、安全、可靠”的優(yōu)勢(shì)，保護(hù)用戶與數(shù)據(jù)的安全，同時(shí)自建和云服務(wù)模式并存的方式，也能幫助企業(yè)實(shí)現(xiàn)“即插即用”、簡(jiǎn)單部署、快速服務(wù)等能力。

企業(yè)虛擬桌面部署場(chǎng)景——VMware通過(guò)WorkSpace ONE UAG提供Horizon的安全接入，UAG是Horizon的接入網(wǎng)關(guān)，可以提供完整的日志覆蓋到所有的服務(wù)器，同時(shí)提供額外的Syslog集成供日志集中分析，而管理員也可以通過(guò)控制臺(tái)查看每個(gè)服務(wù)器上活動(dòng)的Session，由此更好的實(shí)現(xiàn)企業(yè)虛擬桌面的安全管理。

原生云安全場(chǎng)景——VMware也可以為企業(yè)的重要資產(chǎn)提供網(wǎng)絡(luò)及應(yīng)用安全。其中網(wǎng)絡(luò)安全方面，VMware可以提供負(fù)載均衡和Web防護(hù)、網(wǎng)關(guān)防火墻和租戶防護(hù)、分布式防火墻和應(yīng)用微分段、分布式入侵檢測(cè)、以及網(wǎng)絡(luò)行為分析和安全沙箱能力，而應(yīng)用安全方面，無(wú)論是Web APP還是API乃至容器終端安全方面，VMware也能提供安全防護(hù)支撐。

總的來(lái)說(shuō)，無(wú)論是在分支+總部的安全接入、人員+終端安全接入以及構(gòu)建多云環(huán)境下的統(tǒng)一安全策略方面，零信任理念和架構(gòu)都可以發(fā)揮更大的作用和更多的價(jià)值，而企業(yè)從傳統(tǒng)架構(gòu)轉(zhuǎn)型或者升級(jí)到零信任架構(gòu)和體系更是趨勢(shì)所在，這樣企業(yè)才能在多云環(huán)境下，打造出原生安全的新能力，并安全穩(wěn)定地加速向數(shù)字化轉(zhuǎn)型。

構(gòu)筑“零信任”架構(gòu)關(guān)鍵基石

如果說(shuō)VMware在軟件和應(yīng)用層面為企業(yè)落地零信任架構(gòu)提供了“軟性”能力的支撐，那么戴爾科技集團(tuán)則在“硬核”能力方面為企業(yè)的零信任架構(gòu)的搭建提供了另一大關(guān)鍵的支柱。

這里的“硬核”能力——正是“戴爾科技云平臺(tái)”（簡(jiǎn)稱DTCP），它由資源平臺(tái)、數(shù)據(jù)平臺(tái)、創(chuàng)新平臺(tái)三大平臺(tái)組合而成，通過(guò)一致性架構(gòu)、一致性管理和一致性服務(wù)，并基于機(jī)器學(xué)習(xí)的端到端監(jiān)控管理，實(shí)現(xiàn)三大平臺(tái)的自動(dòng)化管理和運(yùn)維，是真正的跨邊緣-核心-云的企業(yè)級(jí)一致性混合多云平臺(tái)。

根據(jù)中橋點(diǎn)調(diào)研咨詢今年8月公布的一份調(diào)查報(bào)告顯示，未來(lái)兩年，混合云將會(huì)成為中國(guó)企業(yè)主流的IT形態(tài)，但在此過(guò)程中，不少企業(yè)也表示在部署混合云時(shí)，通常會(huì)面臨以下的難題，如下圖顯示：

對(duì)此，戴爾科技集團(tuán)云架構(gòu)師仲?gòu)目”硎?，戴爾科技云平臺(tái)正是為此而生的，而企業(yè)借助戴爾科技云平臺(tái)，無(wú)論是構(gòu)建軟件定義的數(shù)據(jù)中心，還是實(shí)現(xiàn)零信任架構(gòu)的落地，以及在混合云或多云環(huán)境下面臨的運(yùn)維、數(shù)據(jù)、以及應(yīng)用交付等難題，都可以輕容化解，從容應(yīng)對(duì)。

戴爾科技云平臺(tái)不僅是真正的企業(yè)級(jí)的“軟硬一體化”的平臺(tái)，也是一致性混合云平臺(tái)，其中“企業(yè)級(jí)”意味著戴爾科技云平臺(tái)的硬件和硬件都是商業(yè)化的解決方案，區(qū)別于現(xiàn)在的諸如OpenStack這樣的開源方案，可以更好地減少企業(yè)的使用和開發(fā)成本；而“一致性”則體現(xiàn)在戴爾科技云平臺(tái)最大程度的降低了整個(gè)企業(yè)云遷移的復(fù)雜度，同時(shí)也降低了混合云、多云的管理難度。而它的組成包括幾個(gè)重要部分：

第一，硬件層面，主要是依托戴爾科技科集團(tuán)在全球“制霸”的超融合一體機(jī)VxRail，它也是目前全球市占率排名第一的超融合一體機(jī)。今年8月，VxRail進(jìn)行了全面的產(chǎn)品升級(jí)，不僅提供了更強(qiáng)的性能，也帶來(lái)了新的軟件更新，同時(shí)更是首次引入“動(dòng)態(tài)計(jì)算節(jié)點(diǎn)”（ Dynamic Nodes）功能，讓企業(yè)客戶能更有效地使用現(xiàn)有資源的同時(shí)，也降低了運(yùn)營(yíng)和管理成本。

第二，軟件層面，主要是是指VMware Cloud Foundation（VCF）提供的面向私有云和混合云的集成式軟件堆棧，VCF將vSphere（計(jì)算）、vSAN（存儲(chǔ)）、NSX（網(wǎng)絡(luò)）和 vRealize Suite（云平臺(tái)管理）整合到一個(gè)原生集成的系統(tǒng)中，通過(guò)有效的自動(dòng)化和管理功能，打造滿足企業(yè)業(yè)務(wù)應(yīng)用需求的云基礎(chǔ)架構(gòu)；而在最新的版本中，VCF還為企業(yè)實(shí)現(xiàn)云原生、構(gòu)建現(xiàn)代化應(yīng)用提供一個(gè)平臺(tái)，即實(shí)現(xiàn)了對(duì)Kubernetes的支持（VCF with Tanzu），這樣不但能夠幫助開發(fā)人員采用最新的開發(fā)方法和容器技術(shù)縮短部署時(shí)間，也為企業(yè)提供了一個(gè)統(tǒng)一的虛擬化與容器技術(shù)的平臺(tái)。

第三，一體化層面，則是戴爾科技集團(tuán)和VMware的強(qiáng)強(qiáng)聯(lián)手打造的VCF on VxRail，這樣一種集成式的軟件+硬件的云平臺(tái)堆棧，則可以更好的幫助企業(yè)橫跨數(shù)據(jù)中心、私有云到混合云以及到公有云環(huán)境，從而全面管理分散在各處的虛擬機(jī)資源池，既可以滿足傳統(tǒng)應(yīng)用的需求，也可以滿足現(xiàn)代化應(yīng)用的需求。因此，VCF on VxRail既是一個(gè)企業(yè)級(jí)的云平臺(tái)，更是一個(gè)創(chuàng)新的云平臺(tái)。

仲?gòu)目?qiáng)調(diào)，戴爾科技云平臺(tái)，在企業(yè)實(shí)現(xiàn)跨多云、混合云環(huán)境，以及實(shí)現(xiàn)零信任安全架構(gòu)落地的過(guò)程中，都能夠發(fā)揮巨大的價(jià)值，其優(yōu)勢(shì)主要表現(xiàn)在三個(gè)層面，首當(dāng)其沖的是可以幫助企業(yè)實(shí)現(xiàn)同源的一致性基礎(chǔ)架構(gòu)，同時(shí)還可借助VCF中的NSX幫助企業(yè)打通網(wǎng)絡(luò)和安全的功能，這樣企業(yè)就可以在混合云架構(gòu)中實(shí)現(xiàn)一致性的網(wǎng)絡(luò)和安全策略；最后，是可以借助VMware HCX實(shí)現(xiàn)跨云遷移服務(wù)，從而實(shí)現(xiàn)一致性的運(yùn)維和運(yùn)營(yíng)體驗(yàn)，這樣無(wú)論是企業(yè)的多云、混合云管理平臺(tái)，還是實(shí)現(xiàn)零信任體系所需要的關(guān)鍵核心基礎(chǔ)架構(gòu)，就能夠無(wú)縫的、完整的集成和整合起來(lái)，并以最簡(jiǎn)單的部署和操作，實(shí)現(xiàn)現(xiàn)代化和一致性的基礎(chǔ)設(shè)施，由此更好地為企業(yè)加速通往混合云和實(shí)現(xiàn)零信任體系提供了全新的路徑。

不僅如此，戴爾科技云平臺(tái)本身也具備強(qiáng)大高可用性和穩(wěn)定性，從全球數(shù)萬(wàn)VxRail客戶統(tǒng)計(jì)的數(shù)據(jù)來(lái)看，它的高可用性達(dá)到6個(gè)9，這意味著一年停機(jī)時(shí)間平均不超過(guò)14秒鐘,此外VxRail也通過(guò)了可信云超融合認(rèn)證，而戴爾科技云平臺(tái)在今年年初獲得中國(guó)信通院可信云混合云私有云證書及可靠性認(rèn)證報(bào)告。

為了降低企業(yè)通往混合云和私有云的門檻，客戶可以選擇戴爾Flex On Demand“按需計(jì)費(fèi)”IT消費(fèi)新模式，這是一種即服務(wù)模式，能夠讓企業(yè)獲得一致性的采購(gòu)服務(wù)和體驗(yàn)，這樣更多的企業(yè)也可以像使用公有云一樣使用私有云，讓軟件定義數(shù)據(jù)中心的成本有更大的優(yōu)勢(shì)，同時(shí)通過(guò)VMware的零信任的技術(shù)支撐，也能夠更快的落地零信任的架構(gòu)體系，從而更快地加速數(shù)字化轉(zhuǎn)型。?

全文總結(jié)，企業(yè)要實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型，要實(shí)現(xiàn)跨多云、混合云的管理，最大的挑戰(zhàn)還是來(lái)源于安全的挑戰(zhàn)，今天包括勒索攻擊、DDoS、病毒感染等安全問(wèn)題，都成為了企業(yè)轉(zhuǎn)型路上亟待解決的頭號(hào)“絆腳石”，而戴爾科技集團(tuán)+VMware則可以提供基于VCF on VxRail打造的一體化混合云平臺(tái)，以及能夠提供的業(yè)界最全的零信任架構(gòu)和關(guān)鍵技術(shù)，不僅為企業(yè)實(shí)現(xiàn)“零信任”架構(gòu)和體系打下了關(guān)鍵基礎(chǔ)，同時(shí)更為企業(yè)在多云時(shí)代實(shí)現(xiàn)網(wǎng)絡(luò)安全保障構(gòu)筑新的“護(hù)城河”。