在應(yīng)用網(wǎng)絡(luò)與安全組件的微分段功能后，數(shù)據(jù)中心與外部依然通過邊界防火墻進(jìn)行隔離，在 SmartX 超融合產(chǎn)品構(gòu)建的數(shù)據(jù)中心內(nèi)部對(duì)每個(gè)虛擬機(jī)提供分布式安全規(guī)則保護(hù)，其主要特性包括：

網(wǎng)絡(luò)微分段：通過標(biāo)簽將虛擬機(jī)按照業(yè)務(wù)模型分組，輕松創(chuàng)建細(xì)粒度網(wǎng)絡(luò)分段及相應(yīng)的分段間安全策略，精細(xì)控制出入虛擬機(jī)的流量，僅允許有必要的通信。 

按需隔離或診斷：及時(shí)完全隔離中毒的虛擬機(jī)，防止惡意攻擊在數(shù)據(jù)中心內(nèi)擴(kuò)散蔓延；也可將虛擬機(jī)進(jìn)入“診斷隔離”模式，進(jìn)行調(diào)試。 

策略粘性：安全策略在虛擬機(jī)全生命周期內(nèi)始終生效，在虛擬機(jī)遷移、IP 或  MAC 地址變更、修改關(guān)聯(lián)標(biāo)簽，或發(fā)生 HA 自動(dòng)故障轉(zhuǎn)移后，策略自動(dòng)關(guān)聯(lián)或跟隨。

相較于傳統(tǒng)的網(wǎng)絡(luò)分段方案，數(shù)據(jù)中心內(nèi)的微分段具備以下優(yōu)勢(shì)：

易使用 

• 無需安裝任何插件，虛擬機(jī)組標(biāo)簽與虛擬化平臺(tái)聯(lián)動(dòng)，業(yè)務(wù)分組與虛擬機(jī) IP 地址自動(dòng)關(guān)聯(lián)，自動(dòng)適配組安全規(guī)則，簡(jiǎn)化安全配置。
• 聲明式 API，用戶只需關(guān)注期望結(jié)果，無需關(guān)心中間過程。 
• 無需調(diào)整物理網(wǎng)絡(luò)上的交換、路由、安全等配置。 

可擴(kuò)展 

• 采用分布式防火墻架構(gòu)，具備橫向擴(kuò)展性。
• 支持統(tǒng)一管理多 SMTX OS 集群網(wǎng)絡(luò)安全策略。 
• 支持跨數(shù)據(jù)中心多集群統(tǒng)一網(wǎng)絡(luò)安全策略管理。 

高可用 

• 多控制器實(shí)例組成高可用集群，無單點(diǎn)故障。 
• 控制平面故障不影響網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)發(fā)。 

廣泛兼容 

• 支持任意底層網(wǎng)絡(luò)架構(gòu)，無任何物理網(wǎng)絡(luò)品牌、型號(hào)和功能依賴。?
• 純軟件實(shí)現(xiàn)，無任何硬件設(shè)備（服務(wù)器、網(wǎng)卡）依賴，支持多種架構(gòu)平臺(tái)混合部署，包括 x86, Hygon, ARM 等。

SmartX 超融合產(chǎn)品內(nèi)嵌網(wǎng)絡(luò)與安全組件后，滿足了業(yè)務(wù)驅(qū)動(dòng)的企業(yè)數(shù)字化轉(zhuǎn)型對(duì)網(wǎng)絡(luò)安全的核心要求，主要應(yīng)用場(chǎng)景包括：

數(shù)據(jù)中心服務(wù)間的“零信任安全”

對(duì)承載應(yīng)用的虛擬機(jī)進(jìn)行分組，安全策略與管理平臺(tái)聯(lián)動(dòng)，自動(dòng)關(guān)聯(lián)安全規(guī)則，保證服務(wù)之間的最細(xì)粒度相互隔離與最小權(quán)限互通。

動(dòng)態(tài)隔離域

在數(shù)據(jù)中心公共資源上創(chuàng)建軟件定義的隔離域，滿足動(dòng)態(tài)業(yè)務(wù)隔離域的訪問需求。

異常虛擬機(jī)隔離

及時(shí)對(duì)異常虛擬機(jī)應(yīng)用完全隔離策略，隔離后該虛擬機(jī)與其他業(yè)務(wù)網(wǎng)絡(luò)、系統(tǒng)網(wǎng)絡(luò)完全隔離，不允許任何出入流量，防止異常擴(kuò)散。

業(yè)務(wù)部門分組安全

對(duì)不同部門管理和維護(hù)的應(yīng)用虛擬機(jī)進(jìn)行靈活分組，制定并執(zhí)行不同部門組之間的訪問規(guī)則和安全策略。

SMTX OS 基礎(chǔ)版及以上版本支持啟用網(wǎng)絡(luò)與安全組件，需要同時(shí)配合 CloudTower 基礎(chǔ)版及以上版本使用。

zhupb