Nutanix超融合與虛擬化微分段建構方案
曜揚科技 Aserve Technology Corp.
產業:醫療業
2022/1/25
客戶環境所面臨的挑戰
傳統硬體防火牆,屬於南北向防護,以隔擋外部的攻擊為主,一旦不慎遭駭客入侵環境內部,則不易進行監控及阻絕。本次客戶所面臨的挑戰在於環境雖有嚴謹的防護,不論是防火牆的阻隔、防毒軟體的佈署與更新,但環境中的電腦設備數目繁多,故仍難以避免駭客藉由病毒入侵未受盤點的閒置設備,導致Client端逐漸受到感染,且無法有效的阻隔病毒的擴散。
解決方案
從上述的挑戰中,客戶希望藉由分區隔離的方式將病毒入侵的風險限縮在有限的範圍中,避免當單一設備受到感染後逐步的擴散感染到更多的設備,並加速病毒的封鎖與排除。
針對此一需求,我們評估了VMware的NSX微分段技術,然而,NSX服務雖完善,但因相關的配置會產生額外的License費用,以及虛擬化環境進行NSX VM的原件配置設定,亦增加客戶在管理及維運上的負荷,在幾經評估後,我們建議客戶改採Nutanix超融合架構來符合環境需求。
- 採用Nutanix AHV作為DMZ區的虛擬化平台,讓DMZ區的虛擬化環境與內網的虛擬化環境確實拆分。
- Nutanix的Flow功能讓DMZ區的虛擬機擁有東西向防火牆的隔離,將有效限縮與阻擋當病毒侵擾時的擴散問題。
- 超融合架構極為輕量且易於管理,並能大幅減少機櫃空間及電力耗費,最高約可節省達60%。
專案成果:超融合產品拆分生產環境與非軍事區,強化實體隔離
專案執行上我們將Nutanix超融合設備建構於DMZ區,依此將生產環境與DMZ區的虛擬化環境進行實體隔離,並啟用Nutanix原生的Hypervisor AHV,來進行DMZ區的虛擬化管理。
為了達到限縮病毒感染範圍,啟動了Nutanix的Flow功能進行內部網路流量監控,並在虛擬機器間配置網路微分段的東西向防護,建立零信任等級防護,在此等防護之下,客戶有效的限制病毒感染的範圍,並大幅提升環境安全性。
