數據中心在虛擬化與云計算以及軟件定義網絡(SDN)這樣的新技術驅動下迅速發展。與此同時也顛覆了數據中心的網絡安全的設計與部署。
軟件定義網絡(SDN:Software-Defined Networking)
虛擬化與云計算方興未艾,另一項技術模式軟件定義網絡(Software-Defined Networking)(或外沿更為寬泛為軟件定義數據中心)的提出已然同樣帶來諸多的改變。SDN,SDDC、網絡虛擬化以及網絡功能虛擬化(NFV:network function virtualization)— 這些意味著,于安全又有怎樣的影響?
網絡虛擬化
要談網絡虛擬化應該從服務器虛擬化的歷史談起。服務器虛擬化或更確切的是x86虛擬化、物理計算硬件的抽象化,也就是x86 CPU、芯片與RAM;以及管理程序層面的從OS與應用都等同于虛擬,例如vCPU以及vRAM等。把這些虛擬的集合封裝到一個VM的容器中,且與其他容器相隔離,從而實現了相比硬件組合更經濟的方式。基于此,虛擬化網絡中便有了虛擬化的交換機,也就是一種如何讓多個vNIC共享一個物理接口卡的一種邏輯上的機制。但這并不是x86服務器的虛擬化,畢竟,一個板載的x86網絡硬件是NIC或以太網適配器,并不是一個交換機,作為最早的虛擬化產品,例如VMware虛擬機是沒有虛擬交換的(且現在也沒有)。
廠商與用戶都快速的發現虛擬化網絡可以提供除了硬件合并以外的其他網絡方面的優勢,例如帶寬資源池、冗余、NIC冗余等,且虛擬化網絡的功能快速擴展。但是虛擬化網絡仍然是服務器虛擬化的副產品,虛擬化交換機如果獨立于管理程序vmkernel外仍然不是一個真正的軟件交換。虛擬網絡實際上仍然要依靠物理網絡,而不能反向行之(例如,依賴物理網絡去定義802.1Q VLAN)。
網絡虛擬化將虛擬化網絡提升到一般的部署層面且集中在物理網絡層,例如交換機與路由。類似,如同x86服務器,網絡端口抽象化為虛擬端口,可邏輯上與虛擬交換相結合。網絡層hypervisor也可以甚至獨立于x86的hypervisor平臺而存在,或甚至可以在沒有服務器虛擬化的環境下,雖然現如今采用網絡虛擬化的任何的數據中心同樣會使用虛擬化服務器。
網絡虛擬化中兩個關鍵的話題是OpenFlow與overlay networks
OpenFlow — 將控制與數據層虛擬化
OpenFlow模式下,對管理層面解耦合的邏輯抽象或通過網絡層hypervisor或SDN控制器抽象化控制層。OpenFlow是被推薦的通信標準之一,也就是通過在SDN控制器之間定義各個廠商層面需要的客戶端服務器API接口,這樣便會在固定的物理交換機/接口之間定義或控制數據流。大多數網絡硬件廠商都接受了OpenFlow,但是并不是全部的廠商都使用公開的標準為驅動產出價值。
數據流控制提供了一種集成安全設備的方式,例如網絡監控或邏輯網絡內部的在線的防火墻設備;但是,安全產品應不能使用Openflow協議(或南向接口)直接去在網絡接口對流量進行修改,也就是說,根本上作為一個OpenFlow客戶端應只有一個“指揮控制中心”或SDN控制器。為了與控制器協調工作,安全產品應使用其他控制器中可用的北向接口或編排相關的架構以與其他網絡協議以及其自身的核心網絡數據流相協調。
但是,SDN帶來的挑戰,例如VMware NSX或甚至是開源的Floodlight,都沒有標準的北向接口。一個潛在的解決方案是如同Openstack Quantum這樣的開源項目,提供包括北向API等一套的東西,但是作為一個SDN控制器進行服務,而是作為支持控制器的接口。 即便這樣,不斷重新定義數據流且能夠實時進行也不是一種理想的方式利用SDN進行安全策略的執行,且會帶來復雜與冗余。
VXLAN與Overlay網絡
SDN的另一個不同的方面就是Network overlay(以及underlay),包括所提出的標準,如VXLAN與 NVGRE。VXLAN可以使2層子網作為隧道穿過3層網絡與WAN/互聯網,再次在物理網絡之上建立抽象化的邏輯網絡。VXLAN也可以越過之前談到的4096 可尋址 ID的VLAN界限,擴展到超過1600萬。
在SDDC層面定義安全
對于進行評估物理與虛擬安全的公司機構的幾點考慮:
固定 VS 可變的網絡容量
網絡帶寬是持續在增加的,但是并不意味這是一成不變的。有多少數據中心網絡流量是穩定的或可預測的,如員工的網絡使用率?有多少是可變的,例如用戶的需求,是否呈現季節性增長模式或是完全不可預測,例如在新的在線交易活動驅動或者市場活動期間?在如今的性價比水平上,采取硬件的方式可以以絕對最低的成本提供固定的容量,然而虛擬設備在提供幾乎無限制與高彈性的流量方面是無可比擬的,且潛在的沒有任何現實的局限。
網絡拓撲
整理網絡拓撲結構是層級化(南北向)或是扁平化(東西向)?答案是否關系到當前的架構或未來的SDN與網絡虛擬化的采用?有多少在數據中心內網絡帶寬應用流量之間是可以橫行平移,且多少是外部到互聯網的或企業邊界的?
吞吐量 VS 延遲
吞吐與延遲怎樣才是一個平衡?高性能的物理設備在可接受的最小化延遲內可以提供經濟的北南向流量。同時虛擬設備可以實現東西向的流量,但是在網絡使用較高的時間段,會造成vCPU/vRAM的瓶頸。
合規情況
用戶在使用某項技術進行網絡部署方面合規一些政府規定或行業規范?即使不需要,額外的信息審計是否會將某項新的技術的應用拖成代價昂貴且不實用的結果?
企業在定義SDDC安全架構之前評估其數據中心方案,既符合當下又適應不久未來。在用戶與供應商層面的采用還為時尚早,就網絡安全層面而論,沒有一個一勞永逸的通用答案。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:如何定義軟件定義數據中心的安全
本文網址:http://www.guhuozai8.cn/html/consultation/10839516685.html