面对网络边界的迷失？在虚拟环境获得真实可视性是关键

Ixia解决方案营销高级总监AregAlimian向您阐述消除网络盲点以及确保可靠、快速与安全业务应用的最佳实践

您的企业网络可曾有过边界迷失？这种案例并不少见。随着虚拟化、云迁移、物联网设备的普及不断挑战着各个企业的网络边界，我们对这些界限与界限之外网络的能见度越来越低。而IT基础架构极少通过单一流程进行云迁徙则使得情况愈加复杂。企业对预算、安全性与性能的考虑意味着它们正在使用混合的模式，不论是否是业务关键型工作负载也将被暴露于主要内部部署和私有云的环境之外。

这些复杂的混合环境和内部应用、云端之间的业务数据流使得IT团队难以通过边界到边界的网络可视性来识别和预测网络中断、发现安全漏洞或分析任务关键型应用性能问题 。全球领先的信息技术研究与顾问机构Gartner指出：“日益普及的云端应用、加密和一般网络扩展，使得可视性缺失的现象层出不穷。”

因此，当决策者们将关键工作负载从内部数据中心迁移至虚拟化软件定义数据中心（SDDC）或公有云时，他们需要思考以下问题：

1.    如何确保关键型应用的可用性、信赖度与性能？

2.    如何将关键性数据提供给分析与监测工具，无论应用位于何处？

将服务迁移至云端有望以更低的成本实现更高的敏捷性，但这个过程充满风险，而且一旦迁移完成将会使管理更加复杂。公有云运行中断将会为企业带来严重的声誉影响，而私有云宕机也将很难进行管控，最终损害企业利益。IT团队必须确保其混合架构是可靠、快速、安全且经济的，不但可以确保访问业务关键型应用，能够实时监测并获得可视性，以便快速定位问题。

可视性的盲点

许多企业机构因缺乏对虚拟化的私有云或公有云具有智能可视性而备受困扰，这同样导致了威胁的增加，且无法监测或排除关键事件。盲点已经成为企业与服务提供商面临的严重安全问题，事实上，至少有75%的企业无法自知是否已经遭受安全漏洞的侵害（Verizon DBIR 2016），并因此延误了漏洞修复。

那么，当关键型工作负载被迁移至云端，或在内部与云基础架构间同时实施服务时，IT团队要如何才能进行智能化的预测并化解这些安全危机呢？为了确保弹性与安全性，请考虑以下6大因素：

1.    基础架构与租户隔离

私有云与公有云服务提供商通常拥有共享于同一虚拟架构的多位客户的虚拟化基础架构工作负载。这极有可能增加您的受攻击面，导致合规问题。因为基础架构所有者会实施其自身的安全分析与监测。为了分别有效服务于租户与基础架构，针对数据访问与分布的智能可视性就成为一种必要条件：您必须获得对于工作负载数据包的可视性。

2.    正确数据、正确工具、正确时间与正确位置

您的监测工具需要能够访问您的虚拟化网络与外部环境中的所有关键应用数据，并在正确的位置和时间将正确的数据发送至正确的工具，这就要求对安全性、应用分析工具以及您用于各种数据访问、智能数据包处理与分发的可视性架构进行一定程度的智能耦合。这将实现更高水平的安全智能，而您的安全与分析工具可以随时随地从任意虚拟化环境中访问关键数据。

3.    安全性

虚拟化数据中心正如网络中的其他任意部分一样；它也许尚未遭受攻击，但将来却在所难免，或者糟糕一点，它已经遭到了攻击，但您却全然不知。私有云与公有云环境缺少高级的安全取证与分析工具的状况更加剧了可视性问题，而这也证明了获得综合且实时的可视性对于混合环境来说无比关键的原因所在。为了单独保护各个网络租户且无损网络的防火墙，您的安全解决方案需要在严格分区且安全的环境内收集数据包。

4.    弹性扩展

弹性绝对是任何混合环境的基本要素。它必须随着组织发展而不断延伸，且能迅速、灵活地响应各种变化。在设计虚拟化数据访问与监测解决扩展、弹性与灵活性问题时，您需要考虑如何根据受监控系统的扩展情况动态提升网络监测。此外，您还需要考虑完成数据收集后如何将其自动发送至虚拟工具。

5.    性能

虚拟数据中心或网络云端管理及其应用性能主要面临的风险与实现可视性息息相关。在虚拟化环境内，数据可能永远处于物理交换机或网络内，这给监控带来诸多困难并会影响应用体验质量。所以如果关键性应用出现了性能问题，您需要能够找到准确的故障点。为此，您必须在正确的时间将正确的数据发送至正确的性能监测工具。

6.    容错性与可靠性

混合环境的可靠性取决于完美的应用设计以避免任何故障点。此外，您还必须将应用安装于多个可用区间和区域。而您作为应用的所有者必须对这一切负责，但无法依赖公有云或私有化服务提供商为您效劳。于是您的应用越发复杂，而云端的虚拟机数量将超过内部虚拟机数量。这种复杂性迫切需要无处不在的可视性，但前提是数据访问与智能数据包处理及分发也需要具有容错性，能够从自身故障中高度恢复，并随着服务的增多而扩展。

如此看来，可视性是上述6项因素的共同主题。无论其架构如何，任何虚拟化或混合环境都必须包含两项关键功能，即：有能力完整访问跨物理与虚拟网络及云的所有数据，以及向分析与数据收集工具智能处理和分发这些数据。这两项功能能够共同消除网络与安全盲点，以便迅速锁定停机、威胁与性能问题。

随着你的网络边界因混合IT环境而模糊不清，继而在网络或云基础架构中打开了多个切入点，您必须严密监测这些可进入点，以识别、定位、隔离并最终管理所有关键流量。虚拟数据访问与过滤规则不再依赖IT地址或虚拟机，而是基于工作负载属性与流量类型。监测将以可用区、网络分段和安全组为基础，以确保高度可用。

为达成这一目标，您需要一款能够为整个网络（无论内部、虚拟或云端）内各类监测与分析工具提供数据访问、智能数据包处理与分发的网络可视性解决方案。这样即便您的网络面临风险，也不会失去最重要的目标——确保业务应用的弹性、快速与安全。