網(wǎng)絡(luò)自動(dòng)化是怎樣加速部署和提高安全性的

Ann+Bednarz+楊勇

Vmware商店討論了網(wǎng)絡(luò)自動(dòng)化在安全和管理上的優(yōu)勢，而且也能很好地支持敏捷項(xiàng)目。

五年前，新墨西哥州立大學(xué)的IT相當(dāng)分散。新墨西哥州立大學(xué)副首席信息官Brian Pietrewicz說：“每個(gè)學(xué)校和學(xué)院都有自己的IT，在大多數(shù)情況下，他們的資源完全不夠用——缺少人手的IT部門要應(yīng)對電話、應(yīng)用程序、電子郵件、桌面機(jī)、服務(wù)器、存儲(chǔ)、災(zāi)難恢復(fù)等等，所有相關(guān)的工作。”

大學(xué)后來過渡到自助服務(wù)模型，100多個(gè)系可以自己部署基礎(chǔ)設(shè)施和應(yīng)用服務(wù)，由現(xiàn)在集中式的IT部門負(fù)責(zé)管理。

采用VMware的vCloud自動(dòng)化中心后，每個(gè)系既能使用云資源，管理部門也能根據(jù)需要來調(diào)整云資源。

Pietrewicz說：“從物理機(jī)到虛擬機(jī)，再到vCAC，我們的配置時(shí)間從12個(gè)星期縮短到3星期，最后只有20分鐘，但我們覺得顯然還有很大差距，包括部署網(wǎng)絡(luò)，部署防火墻和安全部件。缺少的關(guān)鍵部件是網(wǎng)絡(luò)?！?/p>

什么是網(wǎng)絡(luò)自動(dòng)化？

傳統(tǒng)上，由人工進(jìn)行網(wǎng)絡(luò)部署和配置管理，這是一個(gè)容易出錯(cuò)的過程。而網(wǎng)絡(luò)虛擬化支持在軟件中創(chuàng)建網(wǎng)絡(luò)，把網(wǎng)絡(luò)從底層物理硬件中抽象出來。IT部門使用策略驅(qū)動(dòng)的方法，快速部署好網(wǎng)絡(luò)，為工作負(fù)載提供網(wǎng)絡(luò)和安全服務(wù)。

自動(dòng)化使這一切邁上了新臺(tái)階，根據(jù)預(yù)先設(shè)定的策略自動(dòng)部署包括帶寬管理、負(fù)載均衡，并進(jìn)行根源分析在內(nèi)的網(wǎng)絡(luò)功能。

為了消除新墨西哥州立大學(xué)的網(wǎng)絡(luò)瓶頸，部署了VMware的“NSX網(wǎng)絡(luò)虛擬化平臺(tái)”和“vRealize自動(dòng)化”云自動(dòng)化軟件。Pietrewicz最近在拉斯維加斯舉行的VMworld大會(huì)上介紹了大學(xué)的經(jīng)驗(yàn)。Pietrewicz解釋了大學(xué)采用網(wǎng)絡(luò)虛擬化的原因：“敏捷性和自動(dòng)化是我們走上NSX道路的真正原因。”

微分段提高了安全性

他說，除了敏捷性，NSX還支持微分段，這代表了安全方面實(shí)質(zhì)性的改善。

對微分段感興趣的公司把NSX作為一種安全工具而推廣使用——工作負(fù)載被分成不同的區(qū)域，分段間相互隔離，分別進(jìn)行安全防護(hù)。采用微分段，公司把虛擬防火墻布設(shè)在服務(wù)器周圍，控制數(shù)據(jù)中心內(nèi)網(wǎng)日益增長的橫向數(shù)據(jù)流。

如果出現(xiàn)了泄露事件，微分段限制了黑客對網(wǎng)絡(luò)的橫向滲透。出于敏捷性的原因，NSX運(yùn)行在虛擬機(jī)管理程序?qū)?。如果工作?fù)載移動(dòng)，那么安全策略和屬性也將隨之移動(dòng)。

Sean Jabro是北極星阿爾法公司智能軟件解決方案（ISS）的VMware管理員，非常贊同提高網(wǎng)絡(luò)部署速度的要求。Jabro也在VMworld上談到了他們公司的自動(dòng)化工作，他說：“在NSX之前，我們自動(dòng)化方面的工作做得不是很好。我們?nèi)魏我粋€(gè)系統(tǒng)的平均上線時(shí)間都要好幾個(gè)星期。我們的開發(fā)人員真的很想迅速推進(jìn)，但I(xiàn)T部門跟不上?！?/p>

ISS的開發(fā)人員已經(jīng)轉(zhuǎn)而采用DevOps模式，這需要一種能處理經(jīng)常性改動(dòng)的敏捷基礎(chǔ)架構(gòu)，網(wǎng)絡(luò)已成為企業(yè)快速發(fā)展的瓶頸。Jabro說：“直到我們真的開始采用一些自動(dòng)化過程之后，我們才變得敏捷起來?！?/p>

安全也推動(dòng)了ISS的NSX部署。Jabro說：“我們公司有一個(gè)任務(wù)很重的開發(fā)人員群組，會(huì)經(jīng)常出現(xiàn)‘影子IT。采用了NSX這樣的產(chǎn)品后，能夠真正的鎖定我們內(nèi)部的安全狀態(tài)，同時(shí)還允許他們在環(huán)境中啟動(dòng)虛擬機(jī)，設(shè)置好自動(dòng)防火墻規(guī)則，允許他們立即訪問自己需要的東西，對我們來說這些都是非常重要的工作。”

自動(dòng)化能干什么？

Pietrewicz說：“您想想，從第一次配置虛擬機(jī)，到最后部署好網(wǎng)絡(luò)和防火墻，這期間需要多少個(gè)步驟，其中最難的部分是確定實(shí)現(xiàn)這些步驟到底需要什么。”整個(gè)過程涉及到數(shù)百甚至數(shù)千個(gè)跨角色、部門和系統(tǒng)的步驟。

Pietrewicz說，新墨西哥州立大學(xué)已經(jīng)完成的步驟是，采用基本防火墻規(guī)則集部署了虛擬機(jī)，為今后發(fā)展打好了網(wǎng)絡(luò)基礎(chǔ)。但這項(xiàng)工作還沒有完成。太多的技術(shù)選擇帶來了更多的運(yùn)營挑戰(zhàn)。

Pietrewicz說：“有的地方過去只有一兩個(gè)防火墻選項(xiàng)，而現(xiàn)在有幾千個(gè)。標(biāo)簽和策略可以指向任何方向。當(dāng)有人說，‘我需要這臺(tái)機(jī)器上的這個(gè)端口開放給這組IP，標(biāo)簽數(shù)量，以及總體上非常靈活的產(chǎn)品使我們能夠馬上滿足其要求，但在最初部署之后，我們?nèi)匀幌肭宄闹牢覀兊倪\(yùn)營情況怎樣。我們總是不得不把所有人都叫回房間開會(huì)——我們的安全部門、平臺(tái)部門、網(wǎng)絡(luò)部門，‘我們到底在做什么？”

必須加強(qiáng)標(biāo)準(zhǔn)化，這樣才能順利解決部署問題。

總部位于倫敦的信息和分析公司IHS Markit資深網(wǎng)絡(luò)運(yùn)營專家Andrew Hrycaj說，在某些網(wǎng)絡(luò)選項(xiàng)自動(dòng)化的過程中，IHS Markit的IT領(lǐng)導(dǎo)們清楚的知道他們需要把環(huán)境中的很多東西進(jìn)行標(biāo)準(zhǔn)化。

Hrycaj說：“當(dāng)您要把一個(gè)自動(dòng)化部件放到您的網(wǎng)絡(luò)或者基礎(chǔ)設(shè)施中時(shí)，您不斷地修改這些部件，必須創(chuàng)建標(biāo)準(zhǔn)化過程，這樣人們就會(huì)遵循這些過程。然后，創(chuàng)建定義明確的服務(wù)。如果您的開發(fā)人員和安全人員——如果每個(gè)人都知道他們能從您的基礎(chǔ)設(shè)施中得到什么，那么問題就會(huì)少很多。”

文化挑戰(zhàn)

但是，很難全面認(rèn)識NSX在網(wǎng)絡(luò)自動(dòng)化和安全防護(hù)上的潛力。首先，它需要從文化上轉(zhuǎn)變觀念。

VMware產(chǎn)品營銷經(jīng)理Scott Goodman說：“這不僅僅是技術(shù)上的改變，還有人和過程的轉(zhuǎn)變。我們習(xí)慣于孤島式的運(yùn)營，而NSX讓孤島界線變得模糊，打破孤島障礙。因此，弄清楚到底由誰來做什么真的是有些挑戰(zhàn)?！?/p>

Goodman主持了Jabro、Pietrewicz和Hrycaj的討論。這三位都贊同Goodman關(guān)于網(wǎng)絡(luò)自動(dòng)化所面臨文化挑戰(zhàn)的警告。

Jabro說：“讓網(wǎng)絡(luò)維護(hù)和安全人員一起呆在同一個(gè)房間，同一頁面上，這可能是最困難的部分。對我們來說，這更像是一種社會(huì)性的變化?！?/p>

Pietrewicz說：“令我沒有想到的是，最大的挑戰(zhàn)來自網(wǎng)絡(luò)管理員的阻力。”

Hrycaj說：“從我們的角度來看，一開始轉(zhuǎn)變時(shí)會(huì)很難，因?yàn)檫@是以一種全新的方式來看待網(wǎng)絡(luò)?！?/p>

VMware的NSX把安全功能從物理基礎(chǔ)設(shè)施中分離出來，將其嵌入到虛擬機(jī)管理程序中，這樣，安全策略可以應(yīng)用到虛擬工作負(fù)載中。

Hrycaj說：“很酷的是，您改變了對安全狀況的看法，不再是網(wǎng)絡(luò)維護(hù)人員考慮IP地址和端口號那種簡單的思維。一旦我們明白了這一點(diǎn)，我們和安全部門一起工作，就能夠接受過去看似不切實(shí)際的期望，并在短時(shí)間內(nèi)使之成為現(xiàn)實(shí)?！?/p>

Hrycaj說：“但這需要大量的培訓(xùn)，還需要大量的討論。隨著時(shí)間的推移，這加強(qiáng)了我們與安全部門的關(guān)系，是件好事?！?/p>

Ann Bednarz——總編輯助理，F(xiàn)eatures。Ann Bednarz涉及的領(lǐng)域包括《網(wǎng)絡(luò)世界》的IT職業(yè)、外包和互聯(lián)網(wǎng)文化。endprint