应对“东西向流量”中的潜在威胁，你永远可以相信ArSDN

在过去的十余年中，我们见证了云计算的光速前行。从最初的计算、存储、网络驱动云计算发展，到如今云计算引领整个产业的演进，虚拟化的潜力被无尽的挖掘，随着带宽、运算、磁盘的一次又一次更高、更快、更强，其所承载的虚拟化能力则更是指数倍的提升。然而，在性能不断突破，流量高歌猛进的同时，你的云，是否坚而不摧，是否攻而不破，是否运行平稳呢？

云的开放性和扩展性毋庸多言，但与此同时，却也为云环境带来了更多的横向流量，传统的边界防护手段早已不能应对这些“东西向流量”中的潜在威胁——业务迁移前后的防护策略一致性问题和突破边界的恶意流量横向传播问题。诚然，我们可以采用大量的防火墙部署来针对性的防护单一业务流量，但采购成本和部署成本非常高昂；我们也可以采用集中式的防火墙防护，但显而易见这种方式会形成严重的节点瓶颈，带来严重的业务延迟，更不用说一旦被恶意流量攻破，可能会造成内部系统的大面积瘫痪……

因此，越来越多的企业在网络虚拟化的过程中也将原生安全纳入了考量，而作为最早一批践行软件定义数据中心理念的ArSDN（安超云软件定义网络），我们采用零信任模型，通过微分段等一系列安全手段来实现云内的安全建设。

微分段防火墙——细粒度安全防护、分组标签管理

针对复杂多样的云内资源，需要进行细粒度的隔离与分段，并借鉴零信任模型最小化放行通信流量，这样可以最大程度减少恶意流量在虚拟机之间的蔓延。

既要实现精细的隔离与分段，还要在此基础上尽可能简化运维和管理，这种看似两难的情况可以将微分段防火墙与标签分组巧妙结合来化解。借助标签分组，我们不仅可以有序便捷的将同一组织内的虚拟机统一管理，还可以在资源变更时，自动应用相应的隔离策略。

微分段防火墙核心用户价值：

显著降低数据泄露风险

细粒度的安全防护

安全紧随业务变化，简化运维，缩短上线周期

减少高额的采购和维护成本投入

流量调度——有针对性的构建高级防护策略

对于特定的业务系统或行业，往往需要更加丰富的安全服务如审计和分析等。此时，在微分段防火墙的基础之上，也可以通过流量镜像、服务链等高级流量调度方式来定制化构建防护体系。

流量调度核心用户价值：

自助式构建安全体系

广泛的安全生态适配与兼容

加速信创转型与信创云安全建设

网络、安全资源的统一管理与运维

在原生安全背后，当网络虚拟化回归网络本身，ArSDN同样有着强大的功能根基和性能支撑：

ArSDN负载均衡器可将访问流量分发到多台虚拟机、容器上，实现流量在特定集群间的分担，从而提升应用系统对外提供业务的服务能力，减少由于单点故障、带宽受限、后端资源瓶颈等问题所引起的业务中断，满足应用系统的高可用性；

ArSDN的QoS流量策略可以通过优先级调度、限速等方式，在有限的带宽资源下，保障关键业务和重要流量的转发；

ArSDN可以通过管理平面以及数据转发平面的多重高可用机制，满足组件的热升级，实现超高的业务SLA；

……

最后，不论是网络、安全还是高可用能力，他们所能发挥的根本，要归功于ArSDN在混合IT架构“混搭”的多云环境中，实现了统一的网络纳管。借助软件ArSDN方案，您可以最大程度整合异构以及异地数据中心的虚拟资源。

作者：王晓珂

高级产品营销经理

主要负责安超云软件定义网络ArSDN的产品营销