欧美,精品,综合,亚洲,好吊妞视频免新费观看,免费观看三级吃奶,一级a片女人自慰免费看

 首頁 > 新聞 > 專家觀點 >

如何定義軟件定義數(shù)據(jù)中心的安全

2014-10-09 15:26:26   作者:   來源:網(wǎng)界網(wǎng)    評論:0  點擊:


  數(shù)據(jù)中心在虛擬化與云計算以及軟件定義網(wǎng)絡(luò)(SDN)這樣的新技術(shù)驅(qū)動下迅速發(fā)展。與此同時也顛覆了數(shù)據(jù)中心的網(wǎng)絡(luò)安全的設(shè)計與部署。

  軟件定義網(wǎng)絡(luò)(SDN:Software-Defined Networking)

  虛擬化與云計算方興未艾,另一項技術(shù)模式軟件定義網(wǎng)絡(luò)(Software-Defined Networking)(或外沿更為寬泛為軟件定義數(shù)據(jù)中心)的提出已然同樣帶來諸多的改變。SDN,SDDC、網(wǎng)絡(luò)虛擬化以及網(wǎng)絡(luò)功能虛擬化(NFV:network function virtualization)- 這些意味著,于安全又有怎樣的影響?

  網(wǎng)絡(luò)虛擬化

  要談網(wǎng)絡(luò)虛擬化應(yīng)該從服務(wù)器虛擬化的歷史談起。服務(wù)器虛擬化或更確切的是x86虛擬化、物理計算硬件的抽象化,也就是x86 CPU、芯片與RAM;以及管理程序?qū)用娴膹腛S與應(yīng)用都等同于虛擬,例如vCPU以及vRAM等。把這些虛擬的集合封裝到一個VM的容器中,且與其他容器相隔離,從而實現(xiàn)了相比硬件組合更經(jīng)濟的方式;诖,虛擬化網(wǎng)絡(luò)中便有了虛擬化的交換機,也就是一種如何讓多個vNIC共享一個物理接口卡的一種邏輯上的機制。但這并不是x86服務(wù)器的虛擬化,畢竟,一個板載的x86網(wǎng)絡(luò)硬件是NIC或以太網(wǎng)適配器,并不是一個交換機,作為最早的虛擬化產(chǎn)品,例如VMware虛擬機是沒有虛擬交換的(且現(xiàn)在也沒有)。

  廠商與用戶都快速的發(fā)現(xiàn)虛擬化網(wǎng)絡(luò)可以提供除了硬件合并以外的其他網(wǎng)絡(luò)方面的優(yōu)勢,例如帶寬資源池、冗余、NIC冗余等,且虛擬化網(wǎng)絡(luò)的功能快速擴展。但是虛擬化網(wǎng)絡(luò)仍然是服務(wù)器虛擬化的副產(chǎn)品,虛擬化交換機如果獨立于管理程序vmkernel外仍然不是一個真正的軟件交換。虛擬網(wǎng)絡(luò)實際上仍然要依靠物理網(wǎng)絡(luò),而不能反向行之(例如,依賴物理網(wǎng)絡(luò)去定義802.1Q VLAN)。

  網(wǎng)絡(luò)虛擬化將虛擬化網(wǎng)絡(luò)提升到一般的部署層面且集中在物理網(wǎng)絡(luò)層,例如交換機與路由。類似,如同x86服務(wù)器,網(wǎng)絡(luò)端口抽象化為虛擬端口,可邏輯上與虛擬交換相結(jié)合。網(wǎng)絡(luò)層hypervisor也可以甚至獨立于x86的hypervisor平臺而存在,或甚至可以在沒有服務(wù)器虛擬化的環(huán)境下,雖然現(xiàn)如今采用網(wǎng)絡(luò)虛擬化的任何的數(shù)據(jù)中心同樣會使用虛擬化服務(wù)器。

   網(wǎng)絡(luò)虛擬化中兩個關(guān)鍵的話題是OpenFlow與overlay networks

  OpenFlow - 將控制與數(shù)據(jù)層虛擬化

  OpenFlow模式下,對管理層面解耦合的邏輯抽象或通過網(wǎng)絡(luò)層hypervisor或SDN控制器抽象化控制層。OpenFlow是被推薦的通信標準之一,也就是通過在SDN控制器之間定義各個廠商層面需要的客戶端服務(wù)器API接口,這樣便會在固定的物理交換機/接口之間定義或控制數(shù)據(jù)流。大多數(shù)網(wǎng)絡(luò)硬件廠商都接受了OpenFlow,但是并不是全部的廠商都使用公開的標準為驅(qū)動產(chǎn)出價值。

  數(shù)據(jù)流控制提供了一種集成安全設(shè)備的方式,例如網(wǎng)絡(luò)監(jiān)控或邏輯網(wǎng)絡(luò)內(nèi)部的在線的防火墻設(shè)備;但是,安全產(chǎn)品應(yīng)不能使用Openflow協(xié)議(或南向接口)直接去在網(wǎng)絡(luò)接口對流量進行修改,也就是說,根本上作為一個OpenFlow客戶端應(yīng)只有一個“指揮控制中心”或SDN控制器。為了與控制器協(xié)調(diào)工作,安全產(chǎn)品應(yīng)使用其他控制器中可用的北向接口或編排相關(guān)的架構(gòu)以與其他網(wǎng)絡(luò)協(xié)議以及其自身的核心網(wǎng)絡(luò)數(shù)據(jù)流相協(xié)調(diào)。

  但是,SDN帶來的挑戰(zhàn),例如VMware NSX或甚至是開源的Floodlight,都沒有標準的北向接口。一個潛在的解決方案是如同Openstack Quantum這樣的開源項目,提供包括北向API等一套的東西,但是作為一個SDN控制器進行服務(wù),而是作為支持控制器的接口。 即便這樣,不斷重新定義數(shù)據(jù)流且能夠?qū)崟r進行也不是一種理想的方式利用SDN進行安全策略的執(zhí)行,且會帶來復(fù)雜與冗余。

  VXLAN與Overlay網(wǎng)絡(luò)

  SDN的另一個不同的方面就是Network overlay(以及underlay),包括所提出的標準,如VXLAN與 NVGRE.VXLAN可以使2層子網(wǎng)作為隧道穿過3層網(wǎng)絡(luò)與WAN/互聯(lián)網(wǎng),再次在物理網(wǎng)絡(luò)之上建立抽象化的邏輯網(wǎng)絡(luò)。VXLAN也可以越過之前談到的4096 可尋址 ID的VLAN界限,擴展到超過1600萬。

  在SDDC層面定義安全

  對于進行評估物理與虛擬安全的公司機構(gòu)的幾點考慮:

  • 固定 VS 可變的網(wǎng)絡(luò)容量

   網(wǎng)絡(luò)帶寬是持續(xù)在增加的,但是并不意味這是一成不變的。有多少數(shù)據(jù)中心網(wǎng)絡(luò)流量是穩(wěn)定的或可預(yù)測的,如員工的網(wǎng)絡(luò)使用率?有多少是可變的,例如用戶的需求,是否呈現(xiàn)季節(jié)性增長模式或是完全不可預(yù)測,例如在新的在線交易活動驅(qū)動或者市場活動期間?在如今的性價比水平上,采取硬件的方式可以以絕對最低的成本提供固定的容量,然而虛擬設(shè)備在提供幾乎無限制與高彈性的流量方面是無可比擬的,且潛在的沒有任何現(xiàn)實的局限。

  • 網(wǎng)絡(luò)拓撲

  整理網(wǎng)絡(luò)拓撲結(jié)構(gòu)是層級化(南北向)或是扁平化(東西向)?答案是否關(guān)系到當前的架構(gòu)或未來的SDN與網(wǎng)絡(luò)虛擬化的采用?有多少在數(shù)據(jù)中心內(nèi)網(wǎng)絡(luò)帶寬應(yīng)用流量之間是可以橫行平移,且多少是外部到互聯(lián)網(wǎng)的或企業(yè)邊界的?

  • 吞吐量 VS 延遲

  吞吐與延遲怎樣才是一個平衡?高性能的物理設(shè)備在可接受的最小化延遲內(nèi)可以提供經(jīng)濟的北南向流量。同時虛擬設(shè)備可以實現(xiàn)東西向的流量,但是在網(wǎng)絡(luò)使用較高的時間段,會造成vCPU/vRAM的瓶頸。

  • 合規(guī)情況

  用戶在使用某項技術(shù)進行網(wǎng)絡(luò)部署方面合規(guī)一些政府規(guī)定或行業(yè)規(guī)范?即使不需要,額外的信息審計是否會將某項新的技術(shù)的應(yīng)用拖成代價昂貴且不實用的結(jié)果?

  企業(yè)在定義SDDC安全架構(gòu)之前評估其數(shù)據(jù)中心方案,既符合當下又適應(yīng)不久未來。在用戶與供應(yīng)商層面的采用還為時尚早,就網(wǎng)絡(luò)安全層面而論,沒有一個一勞永逸的通用答案。

 

分享到: 收藏

專題