软件定义的数据中心安全是一个战场

如果您想知道现代IT安全性有什么问题，那么回顾过去以展望未来可能会更好。VMware安全产品高级副总裁Tom Corn表示，IT安全问题类似于我们在战争史上看到的旧防御趋势，但战场已发生变化，使我们的共同战略失效。作为Corn在公司VMworld大会上领导的分组会议的一部分，他解释了这个不断变化的战场的各个方面，以及为什么他认为软件定义数据中心(SDDC)就是答案。玉米首先概述了战争中常见的一些金融趋势。军备竞赛双方都来回徘徊，增加了对武器和防御的投资，试图超越竞争对手。收益递减策略使战斗人员不断投资于特定区域，直到最终相对于该投资变得越来越不有效。

最后，还有战场变化和失调。在这种趋势中，无论投资如何​​，防御的有效性都会因战场的变化而下降，并最终与基于这个新战场的保护不一致。这是Corn表示我们在安全方面看到的趋势。我们的策略与我们试图保护的内容不一致，因为IT安全战场已经发生变化。

例如，想想你通常与封建制度以及国王和王后联系在一起的城墙。当封建制度下降，常备军队开始变得更加流动时，墙壁的效果就会降低。另一个例子是第一次世界大战中的空战，它使堑壕战防御的投资过时。

Corn说，传统的数据中心是一个有围墙的城市。但在我们的城市，我们没有人和建筑物，我们有服务器，应用程序和网络工具。目前，我们的基本政策不是关于服务器，而是关于人 - 例如谁可以访问什么。Corn的观点是我们需要在基础设施层提供更多安全性。

现代攻击有四个步骤：入侵，传播，提取和渗透。入侵是我们在城墙之外发生的攻击的唯一部分，但它是问题中最常见的方面。Corn表示，在安全方面花费了数十亿美元，IT部门花费80%来阻止渗透，而用于解决城市传播，提取和渗漏中发生的攻击的三个步骤的花费太少。

那么，如果这个解决方案如此简单，问题就变成了为什么我们还没有这样做呢?

“因为这样做非常困难，”Corn说。

首先，由于现代数据中心的三个关键方面，出于架构原因很难：

超连接的计算基础

分布式策略

上下文/隔离权衡

我们在通用基础架构上混合了多层应用程序，但我们没有正确解决它们。Corn说，答案实际上非常简单。

“为每个应用程序构建一个不同的数据中心，”Corn说。

显然，我们不能为每个应用程序构建物理数据中心，但Corn认为我们可以通过利用虚拟网络，软件容器和虚拟机来创建虚拟数据中心。Corn表示，SDDC提供了改变我们的安全方法所需的内容。

其中一个关键是将结构背景暴露给政策管理。此外，SDDC将投资与风险保持一致，因为它有助于控制彼此之间的控制以及它们的保护措施，因此您可以更好地控制安全性。它也划分了环境，因此违反一件事并不违反其他事情。

从2015年VMworld大会的第一天开始，VMware正在采取措施扩展SDDC，因此有必要将Corn推广为数据中心的安全解决方案。但是，还有其他一些特定的工具，他说VMware正在开发中，将于明年推出。

分布式网络加密是他们正在努力使加密成为微分段内的复选框的一种工具。其次，VMware正在开发名为Project Goldilocks的高级端点安全工具，这是一个存在于内核层的模块，可以让您运行可信代码并监控关键数据。最后，该公司将利用编排和安全管理，通过代号为DEFCON的项目提供更好的安全状态管理和自动化工作流程。