普遍性、精確度和動態(tài)安全必須融入數(shù)據(jù)中心的DNA中
??VMware NSX? 網(wǎng)絡(luò)虛擬化平臺可提供諸多突破性益處，微分段便是其中之一。NSX可創(chuàng)建一個獨立于底層IP網(wǎng)絡(luò)硬件的虛擬網(wǎng)絡(luò)。管理員能夠以編程方式對復雜網(wǎng)絡(luò)執(zhí)行創(chuàng)建、調(diào)配、拍攝快照、刪除和還原操作，而且這一切都能以軟件方式實現(xiàn)VMware將微分段描述為一種“將安全機制植入網(wǎng)絡(luò)的DNA中”的能力。就好比在分子或細胞級別對植物進行工程設(shè)計，使之有能力抵御病蟲害。
??因為hypervisor已在數(shù)據(jù)中心內(nèi)廣泛分布，所以您可以通過VMware NSX在任意位置創(chuàng)建策略以保護任意數(shù)據(jù)，讓安全真正無所不在。從某種意義上說，物理安全就像戴上手套來防范細菌。這是外在的、有限的保護措施（如果有人對著您的臉打噴嚏，您可能還是會感冒或染上流感）。微分段就像是強化數(shù)據(jù)中心的免疫系統(tǒng)：讓 “細菌”（即惡意軟件）對它無能為力?；蛘?，如果有漏網(wǎng)之魚，該系統(tǒng)會在該惡意軟件開始擴散之前就將其關(guān)閉。
??策略綁定到虛擬機，執(zhí)行效力可向下延伸至虛擬網(wǎng)卡 (NIC)，這種精確度是傳統(tǒng)的硬件設(shè)備無法比擬的。
??您也可以使用靈活的參數(shù)來定義安全策略，例如虛擬機名稱、工作負載類型和客戶操作系統(tǒng)類型。
微分段無比強大且易于添加的七個原因
??1. 無需更換您目前擁有的設(shè)施，亦不會對其造成不利影響
??VMware ?NSX可在任意網(wǎng)絡(luò)硬件上運行，因此您無需購買或更換任何設(shè)備。此外，NSX不會給您的計算機和網(wǎng)絡(luò)基礎(chǔ)架構(gòu)或應用造成中斷。
??2. 降低不斷攀升的硬件成本
??為處理數(shù)據(jù)中心內(nèi)日益增多的工作負載量而部署更多物理設(shè)備的成本過于高昂。 僅從資金開銷的角度衡量，VMware NSX可讓大型企業(yè)節(jié)省68%的開銷。計算這一節(jié)省比率時所用的參照值是，如果IT管理員試圖實現(xiàn)接近微分段提供的同等控制，需要使用的物理防火墻的開銷估計值。
??3. 遏制防火墻規(guī)則劇增狀況
??數(shù)量激增的防火墻規(guī)則是安全管理領(lǐng)域里的一個大問題。年復一年，管理員積攢了不少不必要的和多余的規(guī)則，而且無法使用簡單的方法來找出哪些規(guī)則是不再需要的。防火墻規(guī)則劇增使得安全審核成為噩夢般的負擔。過時的和矛盾的規(guī)則甚至可能成為安全漏洞的意外導火索。
??借助微分段和VMware NSX，策略可集中編排并關(guān)聯(lián)到它們所保護的虛擬機，因此您只需通過一個界面，就能自動管理整個數(shù)據(jù)中心的安全策略。當您調(diào)配、移動或刪除虛擬機時，它的防火墻規(guī)則也會隨之添加、移動或刪除。
??4.通過更高效的流量模式調(diào)高性能
??在物理網(wǎng)絡(luò)中，工作負載流量通常需要穿過不止一個網(wǎng)絡(luò)分段到達路由器和防火墻，然后才能返回至相鄰的工作負載（這是一種低效的模式，稱為“發(fā)夾式傳輸”）。如果使用微分段，流量通?？梢酝Ａ粼谕粋€虛擬網(wǎng)絡(luò)分段中，減少了對物理網(wǎng)絡(luò)的影響。因此，您可以消除因超額預訂核心鏈路而導致的額外成本和低效率。
??5. 滿足不同 LOB（業(yè)務(wù)線）和部門的獨特需求
??由于VMware NSX和微分段獨立于物理基礎(chǔ)架構(gòu)，因此無論是移動資源，還是確保安全性與時俱進緊跟變化，您都能獲得極大的靈活性。因為安全工作是通過軟件處理的，可在幾分鐘內(nèi)就創(chuàng)建并運行策略，所以您能夠消除因安裝更多安全硬件或重新配置網(wǎng)絡(luò)系統(tǒng)而導致的滯后。
??圖1顯示了您可以多么輕松地更新安全策略以滿足各個業(yè)務(wù)線和部門的需求。在這個例子中，IT部門決定將整個人力資源(HR)部門的桌面實現(xiàn)虛擬化。借助微分 段，為人力資源部門的虛擬桌面創(chuàng)建和應用安全策略只需幾分鐘的時間。您只需為所有相關(guān)系統(tǒng)標記“HR”，VMware ?NSX會自動應用正確的安全策略。