數(shù)據(jù)中心在虛擬化與云計(jì)算以及軟件定義網(wǎng)絡(luò)(SDN)這樣的新技術(shù)驅(qū)動(dòng)下迅速發(fā)展。與此同時(shí)也顛覆了數(shù)據(jù)中心的網(wǎng)絡(luò)安全的設(shè)計(jì)與部署。

　　軟件定義網(wǎng)絡(luò)(SDN：Software-Defined Networking)

　　虛擬化與云計(jì)算方興未艾，另一項(xiàng)技術(shù)模式軟件定義網(wǎng)絡(luò)(Software-Defined Networking)(或外沿更為寬泛為軟件定義數(shù)據(jù)中心)的提出已然同樣帶來(lái)諸多的改變。SDN，SDDC、網(wǎng)絡(luò)虛擬化以及網(wǎng)絡(luò)功能虛擬化(NFV：network function virtualization)— 這些意味著，于安全又有怎樣的影響？

　　網(wǎng)絡(luò)虛擬化

　　要談網(wǎng)絡(luò)虛擬化應(yīng)該從服務(wù)器虛擬化的歷史談起。服務(wù)器虛擬化或更確切的是x86虛擬化、物理計(jì)算硬件的抽象化，也就是x86 CPU、芯片與RAM；以及管理程序?qū)用娴膹腛S與應(yīng)用都等同于虛擬，例如vCPU以及vRAM等。把這些虛擬的集合封裝到一個(gè)VM的容器中，且與其他容器相隔離，從而實(shí)現(xiàn)了相比硬件組合更經(jīng)濟(jì)的方式。基于此，虛擬化網(wǎng)絡(luò)中便有了虛擬化的交換機(jī)，也就是一種如何讓多個(gè)vNIC共享一個(gè)物理接口卡的一種邏輯上的機(jī)制。但這并不是x86服務(wù)器的虛擬化，畢竟，一個(gè)板載的x86網(wǎng)絡(luò)硬件是NIC或以太網(wǎng)適配器，并不是一個(gè)交換機(jī)，作為最早的虛擬化產(chǎn)品，例如VMware虛擬機(jī)是沒(méi)有虛擬交換的(且現(xiàn)在也沒(méi)有)。

　　廠商與用戶都快速的發(fā)現(xiàn)虛擬化網(wǎng)絡(luò)可以提供除了硬件合并以外的其他網(wǎng)絡(luò)方面的優(yōu)勢(shì)，例如帶寬資源池、冗余、NIC冗余等，且虛擬化網(wǎng)絡(luò)的功能快速擴(kuò)展。但是虛擬化網(wǎng)絡(luò)仍然是服務(wù)器虛擬化的副產(chǎn)品，虛擬化交換機(jī)如果獨(dú)立于管理程序vmkernel外仍然不是一個(gè)真正的軟件交換。虛擬網(wǎng)絡(luò)實(shí)際上仍然要依靠物理網(wǎng)絡(luò)，而不能反向行之(例如，依賴物理網(wǎng)絡(luò)去定義802.1Q VLAN)。

　　網(wǎng)絡(luò)虛擬化將虛擬化網(wǎng)絡(luò)提升到一般的部署層面且集中在物理網(wǎng)絡(luò)層，例如交換機(jī)與路由。類似，如同x86服務(wù)器，網(wǎng)絡(luò)端口抽象化為虛擬端口，可邏輯上與虛擬交換相結(jié)合。網(wǎng)絡(luò)層hypervisor也可以甚至獨(dú)立于x86的hypervisor平臺(tái)而存在，或甚至可以在沒(méi)有服務(wù)器虛擬化的環(huán)境下，雖然現(xiàn)如今采用網(wǎng)絡(luò)虛擬化的任何的數(shù)據(jù)中心同樣會(huì)使用虛擬化服務(wù)器。

　　網(wǎng)絡(luò)虛擬化中兩個(gè)關(guān)鍵的話題是OpenFlow與overlay networks

　　OpenFlow — 將控制與數(shù)據(jù)層虛擬化

　　OpenFlow模式下，對(duì)管理層面解耦合的邏輯抽象或通過(guò)網(wǎng)絡(luò)層hypervisor或SDN控制器抽象化控制層。OpenFlow是被推薦的通信標(biāo)準(zhǔn)之一，也就是通過(guò)在SDN控制器之間定義各個(gè)廠商層面需要的客戶端服務(wù)器API接口，這樣便會(huì)在固定的物理交換機(jī)/接口之間定義或控制數(shù)據(jù)流。大多數(shù)網(wǎng)絡(luò)硬件廠商都接受了OpenFlow，但是并不是全部的廠商都使用公開的標(biāo)準(zhǔn)為驅(qū)動(dòng)產(chǎn)出價(jià)值。

　　數(shù)據(jù)流控制提供了一種集成安全設(shè)備的方式，例如網(wǎng)絡(luò)監(jiān)控或邏輯網(wǎng)絡(luò)內(nèi)部的在線的防火墻設(shè)備；但是，安全產(chǎn)品應(yīng)不能使用Openflow協(xié)議(或南向接口)直接去在網(wǎng)絡(luò)接口對(duì)流量進(jìn)行修改，也就是說(shuō)，根本上作為一個(gè)OpenFlow客戶端應(yīng)只有一個(gè)“指揮控制中心”或SDN控制器。為了與控制器協(xié)調(diào)工作，安全產(chǎn)品應(yīng)使用其他控制器中可用的北向接口或編排相關(guān)的架構(gòu)以與其他網(wǎng)絡(luò)協(xié)議以及其自身的核心網(wǎng)絡(luò)數(shù)據(jù)流相協(xié)調(diào)。

　　但是，SDN帶來(lái)的挑戰(zhàn)，例如VMware NSX或甚至是開源的Floodlight，都沒(méi)有標(biāo)準(zhǔn)的北向接口。一個(gè)潛在的解決方案是如同Openstack Quantum這樣的開源項(xiàng)目，提供包括北向API等一套的東西，但是作為一個(gè)SDN控制器進(jìn)行服務(wù)，而是作為支持控制器的接口。 即便這樣，不斷重新定義數(shù)據(jù)流且能夠?qū)崟r(shí)進(jìn)行也不是一種理想的方式利用SDN進(jìn)行安全策略的執(zhí)行，且會(huì)帶來(lái)復(fù)雜與冗余。

　　VXLAN與Overlay網(wǎng)絡(luò)

　　SDN的另一個(gè)不同的方面就是Network overlay(以及underlay)，包括所提出的標(biāo)準(zhǔn)，如VXLAN與 NVGRE。VXLAN可以使2層子網(wǎng)作為隧道穿過(guò)3層網(wǎng)絡(luò)與WAN/互聯(lián)網(wǎng)，再次在物理網(wǎng)絡(luò)之上建立抽象化的邏輯網(wǎng)絡(luò)。VXLAN也可以越過(guò)之前談到的4096 可尋址 ID的VLAN界限，擴(kuò)展到超過(guò)1600萬(wàn)。

　　在SDDC層面定義安全

　　對(duì)于進(jìn)行評(píng)估物理與虛擬安全的公司機(jī)構(gòu)的幾點(diǎn)考慮：

　　固定 VS 可變的網(wǎng)絡(luò)容量

　　網(wǎng)絡(luò)帶寬是持續(xù)在增加的，但是并不意味這是一成不變的。有多少數(shù)據(jù)中心網(wǎng)絡(luò)流量是穩(wěn)定的或可預(yù)測(cè)的，如員工的網(wǎng)絡(luò)使用率？有多少是可變的，例如用戶的需求，是否呈現(xiàn)季節(jié)性增長(zhǎng)模式或是完全不可預(yù)測(cè)，例如在新的在線交易活動(dòng)驅(qū)動(dòng)或者市場(chǎng)活動(dòng)期間？在如今的性價(jià)比水平上，采取硬件的方式可以以絕對(duì)最低的成本提供固定的容量，然而虛擬設(shè)備在提供幾乎無(wú)限制與高彈性的流量方面是無(wú)可比擬的，且潛在的沒(méi)有任何現(xiàn)實(shí)的局限。

　　網(wǎng)絡(luò)拓?fù)?/strong>