2023/05/09

构建“零信任”架构，筑起制造业安全“护城河”

戴尔官方企采中心

关键词：超融合平台边缘计算

中国是全球制造业大国，过去40年，中国制造业规模增长了18倍，其附加值达到2.2万亿美元，制造业在中国GDP比重高达40%，其之于中国经济的重要性可见一斑。

与此同时，中国制造业在高速发展的同时，也普遍面临着产业结构不合理、产品质量精度低、差异化不明显、核心竞争力不强等问题，加上最近几年制造业人力、环保、材料等成本的逐年上涨所带来的压力，给制造业的转型带来了前所未有的压力。

那么，中国的制造业究竟走向何处？将会以哪些新技术、新创新完成新的转型升级呢？

在《十四五规划和2035年远景目标纲要》中其实就已经有了明确的答案——“协同发展云服务与边缘计算服务”，可以说未来打造云边端协同的新型基础设施，将是实现分布式资源灵活调度、全域数据高速互联以及智能应用渗透边缘的重要途径。

但也要看到，在此过程中，随着更多终端，更多联接、更多数据的产生，制造企业如何构建高效、安全的基础设施平台问题也越发凸显，风险挑战日益增多，加强企业IT信息安全保障无疑成为制造业新的课题。

在此背景下，如何规划安全的IT系统以及搭建基础架构平台，实现跨核心-云端-边缘端进行工作负载迁移和管理，动态满足制造行业服务创新的需求，也就变得 “迫在眉睫”。

构建“零信任”架构

当下制造业数字化转型升级的主线和方向，是工业互联网助推的两化融合，即在企业数字化转型成功的基础之上，进一步通过工业互联网平台的建设，加速云计算、大数据、物联网等技术与现代制造业的产业连接，提升制造业生产效率和产品质量，最终完成信息化和工业化的深度融合，促进智能制造的全面落地。

这也意味着，未来制造业除了核心系统产生的数据之外，更多数据将会产生自边缘，同时新增的算力又往往会基于云化的方式去做部署，二者之间的矛盾依然和突出。

与此同时，随着这些新技术的广泛应用，又产生了更多全新的问题，包括海量数据传输成本高、时延性能面临着巨大不可控、网络连接的持久性和稳定性难以保障以及产线的安全性和产品隐私面临着风险等等。

从这个角度来说，未来打通制造业数据洪流的云边端“任督三脉”，通过云边协同的方式，让数据在云、边和端之间高效、实时、持久和安全地互联互通，实现跨核心-云端-边缘端进行工作负载和数据的迁移和管理，将是制造业转型和升级的新方向。

在VMware资深解决方案架构师曹克勇看来，随着越来越多的制造业形成“云边端”的新架构，其在安全方面也面临着全新的风险，主要体现在几个方面:

●随着恶意软件和网络攻击的增多，企业的数据泄露风险也在增多；

●随着制造业自动化和智能化程度的提高，生产线对企业核心系统的稳定性和安全性要求也日益提高；

●由于制造业供应链日益庞大，第三方供应链产生的风险也在加大；

●企业工作人员的安全意识不足，导致制造业安全风险的“暴露面”扩大。

而基于“永不信任，持续验证”理念的零信任架构的出现和进化，开始成为今天制造业“云边端”新架构下，构建安全防护体系的重要理念和法宝。

在这方面，作为最早倡导原生安全的厂商，以及在“零信任”架构领域验证和实践了多年的公司，VMware在“零信任”架构方面可以说已经发展得相当完善，并打造出了VMware零信任的“五大支柱”，即可信用户、可信设备、可信工作负载、可信传输/会话以及可信应用和数据。

更为关键的是，基于VMware零信任的“五大支柱”，VMware也为巩固制造业云边端架构的安全打下了坚实的基础，目前能够为制造企业提供四大加固场景，包括：

安全基础加密和加固

VMware零信任安全解决方案可为制造企业提供VMware vSphere虚拟机安全加密、vMotion加密、VMware vSAN数据加密以及vSphere平台安全加固等方案和服务。

现代化应用安全防护

VMware零信任安全解决方案可为制造业提供云原生应用的安全防护，其中在网络安全方面可提供负载均衡和Web防护、网关防火墙和租户防护、分布式防火墙和应用微分段等；而在应用安全方面，可提供Web App/API安全，以及容器终端安全等。

多云环境安全合规、攻防演练

VMware零信任安全解决方案也能够为制造业实现同网段的安全防护、帮助企业使用东西向分布式防火墙及分布式IDS/IPS、通过VMware Aria Operations for Networks提供安全策略推荐和策略评估等，同时满足企业合规性，实现等级保护或者达到PCI-DSS等信息安全标准。

统一身份、远程办公云桌面安全防护

VMware零信任安全解决方案中的NSX FW/IPS + NSX ALB也可以保障制造业VDI数据安全访问；同时还能提供远程办公的安全防护等。

所谓“九层之台，起于累土。”随着越来越多的制造企业开始向“云边端”加速转型，未来要更好的保障企业的信息和数据安全，“零信任”已成为制造企业保障业务连续性和应对不确定性的“关键之举”。

筑牢转型升级“底座”

当然，制造企业通往“零信任”架构并不是“一蹴而就”的，搭建高效、安全的基础设施平台同样也“刻不容缓”。

对此，戴尔科技集团云计算和超融合架构师张磊就表示，很多传统制造企业在云平台的部署和管理中，就面临着以下六大挑战。

开支泛滥

当应用开发者和业务管理者通过一张信用卡可以快速获得公有云资源，云泛滥几乎是不可避免的。企业需要集中透明跨数据中心和云的管理平台；

管理失控

私有云和不同公有云管理平台互不兼容。基于API实现跨IT和云的管理，往往是只能“监”无法“管”。企业需要基于人工智能AIOPs实现细粒度化跨IT和云智能管理平台；

业务合规难

企业用户云泛滥和多租户加大云上云下数据保护和业务合规的难度。企业需要软件定义数据保护，实现跨边缘-核心-云实现软件定义数据保护管理平台。

应用迁移周期长

基于开源云计算业务迁移周期长，风险大，40%企业表示业务迁移以年为周期。企业用户需要规则驱动动态透明迁移。

核心应用现代化难

基于开源容器技术实现核心应用现代化，提供“敏态“但无法满足核心应用的稳态和敏态的双需求。企业级用户在核心应用现代化首选微服务架构，保证核心应用企业级一致性需求。

智能物联升级难

大量边缘计算和云计算互不兼容，无法升级为跨边缘-核心-云的工业互联网平台。因此，企业需要一套工业互联网就绪的平台。

也正是洞察到这种变化，戴尔科技集团基于Dell VxRail超融合解决方案就为制造业构建了一套高效、安全、就绪的基础设施平台，不仅能够帮助更多制造企业加速实现数智化融合，也能更好的搭建“零信任”架构，真正推动中国制造业的高质量发展。

戴尔VxRail采用®英特尔®至强可扩展处理器，该处理器可以优化工作负载，可靠性强，还有高计算力、高稳定性和高效敏捷性，不仅帮助VxRail轻松满足既定工作负载，也在云领域有极大的应用潜力。

具体来说，基于Dell VxRail搭建现代化数据中心能够更好地“整合”和“匹配”当下制造业的生产堆栈：

●数据采集方面，VxRail的“控制层”能够提供边缘计算以及IOT能力；

●数据应用方面，VxRail的“运营层”能够提供桌面云、超融合以及安全与自动化运维；

●数据分析决策方面，VxRail的“分析层”也能提供大数据平台和数据保护平台；

●更关键的是，戴尔科技集团还能在“战略层”，通过提供云战略转型咨询（VCF on VxRail）和应用现代化咨询（Tanzu on VxRail）更好地赋能制造企业实现数字化和智能化的转型。

张磊强调，作为全球唯一与VMware共同研发，且是VMware官方唯一认证的、能够提供增强套件的超融合平台，VxRail以其强大的性能和全部署场景的多样性，能够为制造业提供一套“健壮”的基础设施平台，同时通过提供标准集群、双活数据中心集群、双节点集群、动态节点集群以及边缘卫星节点等部署方式，灵活满足制造业的各种应用场景。

其中，在企业上云方面，戴尔科技云平台（VCF on VxRail）为了最大限度降低企业上云的门槛，可提供整合架构和标准架构的部署模式，支持从4节点开始部署，企业只需要根据自身的需求和规模选择不同的架构即可，同样后续也可以轻松地进行无中断的扩展。

不仅如此，戴尔科技云平台还打造了“全栈式”的自动化生命周期管理，这样就能够让企业更好的实现对戴尔科技云平台的轻松部署，配置和生命周期化整个端到端软件和硬件基础架构堆栈。

在双活数据中心方面，VxRail也可以利用延伸集群技术实现双活数据中心的落地。

可以看到，VxRail单集群可以支持96节点，通过多集群管理可以同时管理众多分布在不同物理机房集群，可以做到传统虚拟化双活，同时VxRail提供RecoverPoint保护软件，也能够实现连续性快照，可以帮助制造企业强化运维能力。而在运维过程中，方案中所具有的VVOL功能，也可以实现以逻辑卷为单位的数据恢复，同时并不影响其他虚拟机运行，由此最大化的保障制造业的稳定、高效的运行。

▶在制造企业关注的系统安全方面，最新的VxRail 8.0版本支持VMware vSphere 8.0和vSAN 8.0软件，由此可使用DPU数据处理单元和vSphere DSE分布式服务引擎加强系统的安全性，而这种通过与VMware“无缝衔接”的技术创新，能够帮助制造企业更好地打造出高性能、低能耗、易部署、易管理的超融合系统和构建“健壮”的云平台架构。

“VxRail是市场上第一个，也是目前唯一一个支持DPU解决方案的超融合一体机，目前在VxRail E660F、V670F和P670N 3款机型都支持DPU和DSE，从好更好的加速和保护企业的工作负载。”张磊说。

▶而在边缘数据中心方面，戴尔科技集团通过提供VxRail VD-4000加固边缘计算节点，也能够为制造业带来“鞋盒大小”的边缘数据中心。

VxRail VD-4000是一款专为不可预测环境而设计的边缘计算节点，同时也是首款“嵌入式”vSAN见证设备和具有自动化生命周期管理的vSAN超融合系统；此外，VxRail VD-4000也集成了VxRail HCI系统软件，整个系统能够在工厂进行提前的优化和预配置，支持卫星节点方式部署和客户自行部署方式，最大化满足企业在边缘计算方面的应用需求。

也正因此，VxRail非常适合制造企业作为智能边缘集中统一管理平台来部署，其优势在于VxRail总部核心集群可承载生产与办公核心应用，同时支持“按需扩展”。

而VxRail的多种边缘部署方案，也能够简单、迅速的完成跨边缘、核心的部署，进一步缩短企业业务的上线时间；更关键的是，VxRail本身具备的智能生命周期管理、自动升级能力，能够进一步简化制造企业的跨多地的统一运维。

同样，企业借助VxRail打造智能边缘集中统一管理平台也能实现如下的价值，包括分支站点（机构）不用机房建设的情况下，即可实现智能边缘管理；能够帮助制造企业加强对分支机构/第三方外包平台的统一管理，降低开支；有利于企业快速打造生态平台，实现智能化的管理等。

值得一提的是，戴尔科技集团自2021年还创新推出了按需计费FOD（Dell APEX Flex on Demand）的新模式，让企业可以享受类似公有云一样的灵活性使用本地数据中心或私有云，由此更好地助力企业云转型。戴尔按需计费FOD具有“真正的即用即付、免费的弹性伸缩、经济的运营成本”三大特点。

换句话说，制造企业在使用戴尔科技集团的企业级基础设施时，即可以按照时间上或者容量上的使用量进行消费，这样就可以让企业的私有云或者私有云数据中心拥有公有云的灵活敏捷，由此极大地降低运营成本，提升业务创新的能力。

中国智能制造的转型升级，任重而道远，艰难而伟大。在此过程中，戴尔科技集团和VMware强强联手，通过“软硬兼施”的能力，一方面通过VxRail超融合和FOD按需计费的新模式，可以更好地构建高效、安全、敏捷的基础设施平台。

而在另一方面，借助VMware零信任安全解决方案也能更快地走向零信任架构，最大化保障制造业信息和数据的安全，相信这会加速中国制造业数字化和智能化的转型和融合，更会帮助越来越多的制造企业打造出新模式、新业态和新未来，其价值可谓“不止于现在，更关乎未来。”