“以前的数据中心,以前的客户应用,都是部署在企业自己的数据中心。应用大部分放在数据中心里运行,企业在全国各地和全世界各地的分支机构、分部里的雇员,或者通过SaaS远程应用,或者是通过个人中心里使用。现在,很多应用发生了现代化的演进:整个基础设施,从数据中心转成多云,从数据中心云化,到公有云、私有云……基础设施架构持续演进成多云的基础架构。”叶逾健,VMware亚太区网络及安全事业部高级总监,在日前召开的VMworld 2021中国大会间隙接受媒体采访时强调,随着企业用户对云计算应用深度和广度的不断拓展,多云应用已经成为一种常态。因此对于企业用户而言,需要构架一种全新的网络架构,以实现私有云、公有云、边缘设备和分支机构的安全无缝链接——这在VMware被称为“云网络”
“零信任安全接入、现代化应用连接与安全,多云网络与安全,是VMware云网络三个主要的使用场景。”叶逾健强调所谓云网络,是在应用企业在IT应用新常态之下,将分布式的应用、分布式的数据和分布式的员工整合连接,让企业用户能够非常方便、安全地使用到他们的应用,从而让企业用户的业务可以借助连贯的网络实现从中心到分支结构的传递。而作为“VMware云网络三个主要的使用场景”,叶逾健认为是环环相扣的:没有零信任安全接入,就不可能提供多云的连接;而没有多云的连接,也不可能把所有的现代化应用和数据连接起来。
VMware亚太区网络及安全事业部高级总监 叶逾健
很显然,VMware“云网络”的基础和关键,首先是安全。
了解VMware的人都知道,VMware之前在不同的产品线和业务线中,都部署了相应的安全解决方案:例如在传统优势的vSphere和NSX中内置的安全策略,以及在2017年发布的面向数据中心端点安全解决方案AppDefense、2018年发布的云配置安全性与合规性服务CloudHealth Secure State,以及2019年收购的云原生端点保护平台Carbon Black……直到2020年,VMware将所有这些分部在各个节点上的安全解决方案进行了重新的整合,推出了“原生安全解决方案”,强调将安全与IT基础架构进行“强绑定”:在IT基础架构中,通过内建工具,将原本的安全技术和解决方案与基础架构进行紧密融合,“从而让原生安全作为基础架构的一个有机构成部分”。最初,“原生安全解决方案”被分成四个应用场景:端点和工作负载安全、网络安全、工作空间安全和云安全。其中,例如针对“端点和工作负载安全”,对应的是vSphere和Carbon Black;网络安全则是由传统的VMware NSX Data Center解决方案来负责;工作空间安全场景由Workspace ONE和Carbon Black来覆盖;最后云安全部分,是由基于云端的CloudHealth Secure State服务来满足用户安全需求。
到了2020年,在VMworld 2020大会上,VMware在业界领先发布了自己的VMware SASE解决方案。而SASE的概念提出,实际上是在VMware“原生安全解决方案”范围之外,更加强调将分散的网络和安全服务融合在一起:把广域网和网络安全融合在一起,通过云服务的方式,为本地用户、移动用户以及IoT设备和云资源实施统一的安全策略。因此从某种程度上来说,VMware SASE解决方案的推出,实际上可以理解为:是VMware“在任意平台、任意云上提供运行任意应用”全栈服务框架下,基于“原生安全解决方案”的技术和产品积累,将安全的边界从虚拟网络延伸到了网络边缘的设备和用户。
“VMware的零信任主要关注两个大的方向:一个是用户接入;一个是工作负载。其中,针对用户接入安全,VMware去年推出的SASE概念,利用这个概念,VMware把一揽子安全的功能外置,原来安全在数据中心里,现在VMware把安全的属性前置到用户的接入者;针对工作负载和应用安全,以往传统的保护工作负载,更多是基于虚拟机和数据中心边缘的保护,现在更多是对微服务下API的防护。”VMware大中华区网络与安全产品事业部总经理董春涛强调,VMware整个零信任接入架构的构成,还包括传统的网络之间的连接,“我们能够提供从头到尾的、端到端的安全有可视化,有主动性的分析,有API能力提供给第三方做集成服务。”
VMware大中华区网络与安全产品事业部总经理 董春涛
在叶逾健看来,之所以构建这样一个相对“复杂”的“零信任安全接入”架构,是因为在一个多云应用成为趋势的分布式IT应用环境下,“应用和数据可以分布在任何的云上,以前的安全边界已经不在数据中心的边界上了:传统的安全边界已经被打破了。企业需要建立一种安全机制,能够在整个无边界的环境中,保证企业用户在使用内部的应用和数据时,是能够得到充分安全保护的。”他强调,这样一套“零信任安全接入”机制,实际上也是企业零信任多云应用安全架构的基础。而在具体实践中,在用户和应用服务之间,“VMware的零信任接入”是通过与合作伙伴共同合作,向终端企业用户提供安全服务的:“例如香港电讯就是VMware SD-WAN的提供者,他们帮助我们用SD-WAN把远程接入的用户和应用,做安全认证和处理,之后加速接入到数据中心、公有云上,让企业用户感觉就像在自己的公司内网里一样,保证了安全性和性能。”
解决了安全接入的问题,实际上基于安全的“现代化应用连接”和“多云网络”就变成顺理成章了。
实际上,要实现现代化应用网络连接,按照技术架构和应用逻辑,从底层到应用,大致可以分为三个不同的层次:物理网络基础架构层、多云/跨云网络虚拟化层和现代化应用及微服务连接层,“物理基础网络设备基本上是传统的设备厂商提供连接;多云/跨云网络虚拟化层,是云网络最早期进入和主攻的市场,主要解决数据中心之间云化、数据化、虚拟化,包括跨公有云如何做网络安全一体化一致性运维、统一策略,全自动化的过程。”董春涛强调,现在的趋势是,“现代化应用和微服务连接层是热点:在这层,我们考虑的是应用自恢复、弹性、零信任的安全接入与运维简化、可视化。”
在VMware提供的解决方案中,“底层是任意的物理网络基础架构,这是很多网络基础设施提供商为企业用户部署的,包括交换器、路由器、网卡等组成;VMware会在物理的网络基础架构上,通过VMware Hypervisor多云虚拟化网络软件,建造一层Overlay网络,从而实现多云的连接、多地的连接、多中心的连接。”叶逾健强调,这里的三个层次分别是物理网络基础架构层、云网络底层基础架构层和现代应用服务连接层:“VMware会在现代化应用服务连接层把所有的应用连接起来,并为整个架构提供从下到上的零信任架构支撑,提供一个非常可视化的管理。”他尤其强调这与目前市场上众多的基于开源技术推出的解决方案的不同:“VMware希望用我们的产品,能够为企业用户提供一个企业级的解决方案,助力企业实现现代化应用连接,企业用户不需要花非常大的精力,把不同的开源资源整合起来——这达不到他们所需要的企业级的生产环境的需求。”
写在最后
“VMware的云网络解决方案不是刚刚进入市场的产品和解决方案,这件事已经做了很久:我是6年前加入VMware,就是因为受到了云网络概念的吸引。”叶逾健在采访的最后强调,实际上VMware在十年前就已经开始着手相关技术的准备和产品的研发:“从下一代的SDM,到收购很多安全产品、开发更多安全功能、收购了SD-WAN公司……今天给大家展示的整体的云网络解决方案,目前在全球已经拥有两万三千个用户,全世界一百强公司中已经有96个企业已经加入了VMware的云网络里,还有顶级运营商采用了VMware的产品,我们处理了非常多的流量。”他说:SD-WAN,VMware是No.1。
京公网安备 11010202008829号