Aruba安全優先的高效資料中心解決方案

Aruba在幾年前以client為出發點推出ESP(Edge Service Platform)解決方案，這是以clinet安全優先為主要訴求的解決方案，而後在2022年終於推出以資料中心(Data Center)為主的安全解決方案，其中的主要主角就是Aruba CX-10000 Switch，現今資料中心大多已採用虛擬化環境為主，但是虛擬機與虛擬機之間的流量難以管控與可視化，因而形成資安的隱憂，如果採用虛擬化軟體本身推出的方案如NSX-T，價格是一大考量還要耗費多的硬體冗餘供此機制使用，然而Aruba採用的方式是直接在TOR的Switch(CX-10000)裡加入防火牆晶片，搭配SDN概念的管理軟體架構，此種架構帶來的優勢將在後面說明。

Aruba安全優先的高效資料中心解決方案之優勢與特點如下：

（1）提供了高效能的分散式硬體服務架構， Aruba CX-10000內建了2片AMD Pensando的7奈米製程技術防火牆晶片，提供800 Gbps的防火牆效能，虛擬機間之資料流在一台TOR Switch內部即可進行清洗管控，資料減少了許多傳輸路徑與節點，藉此展現了高效能，對比傳統導入硬體式防火牆來說，少了線路與接口等故障變數，對於空間利用、能耗與成本皆是一大優勢，對ESG永續發展更是一大助益，在擴充性來說，只需要將每個Rack之TOR Switch規劃或更換成Aruba CX-10000 Switch即可輕鬆擴充成為安全優先高效資料中心。

圖1：Aruba分散式安全服務硬體架構

（2）提供SDN概念的管理軟體架構，可以從單一管理軟體平台完成從Aruba CX-10000 Switch到vSphere虛擬網路與防火牆政策等所需相關設定，大大簡化了管理人員的負擔，同時提供了跨界獨家的虛擬機與網路關聯拓譜圖，讓管理人員輕鬆掌握實體流向，也讓調整虛擬機網路設定變得輕鬆簡單。

圖2：SDN架構管理軟體，可單一平台完成所需設定

圖3：虛擬機與網路關聯拓譜圖

（3）Aruba CX-10000 Switch內建的AMD Pensando防火牆晶片目前提供了Stateful firewall、Zero Trust 微分段、DDoS保護機制、NAT、IPSec VPN等功能，除了使用Stateful firewall來滿足基本的虛擬機之微分段之外，其他安全功能可供管理人員彈性運用，採用虛擬機之微分段可以解決虛擬機與虛擬機或者實體機與實體機位於相同網段環境之下無法做到Isolation之需求，Aruba採用共通高之Pvlan(Private VLAN)機制來達成流量導向至防火牆晶片作管控，資料中心不需要全部採用HPE Aruba之交換器，具有高度跨廠牌之相容性，排除了綁規的疑慮外同時，只需要一台Aruba CX-10000 Switch即可具備基本的安全優先資料中心架構，對於需要升級成為安全優先資料中心架構的客戶來說相當容易部署。

（4）Aruba CX-10000 Switch可以搭配第三方軟體如Splunk、Elastic、N-Reporter等，可以將完整的每筆流量紀錄與Flow統計資料輸出保存，完整的流量紀錄協助管理人員建立更完善的稽核機制，Flow統計資料讓管理人員對於服務之間的流量有更清楚的統計數據，藉此幫助管理人員做決策判斷。

圖4：整合Elastic輸出保存每筆流量紀錄

圖5：整合Elastic輸出保存Flow統計資料

Aruba安全優先的高效資料中心解決方案之總結：

在現今講求零信任網路架構之下，不只是末端網路使用者需要，在以前常常被忽略的資料中心更是需要，因為資料中心是保存著企業最重要資料的核心地帶，所有採用此方案的客戶都是深深認同Aruba的方案具備了以上優勢，換句話說就是滿足了客戶的需求，也因此有越來越多客戶採用此方案，因為Aruba一直以來都是網路解決方案的創新領導者。