越來越多的跡象表明數(shù)據(jù)中心正在向以軟件為中心的安全模式轉(zhuǎn)變����,這是網(wǎng)絡功能虛擬化(NFV)和軟件定義網(wǎng)絡(SDN)技術的核心網(wǎng)絡功能��。這種新的模式意味著安全性能將成為NFV的關鍵����。
越來越多的跡象表明數(shù)據(jù)中心正在向以軟件為中心的安全模式轉(zhuǎn)變,這是網(wǎng)絡功能虛擬化(NFV)和軟件定義網(wǎng)絡(SDN)技術的核心網(wǎng)絡功能���。這種新的模式意味著安全性能將成為NFV的關鍵��。
云計算成功的將IT界的重心轉(zhuǎn)移到數(shù)據(jù)中心�,其中零信任安全模式(zero-trust stateful security)能增強東西向流量的安全性����。根據(jù)戴爾Oro工作組的研究報告,全球3個最大的云服務提供商(Amazon、Google���、 Microsoft)占據(jù)了目前所有數(shù)據(jù)中心設備采購的35%?���,F(xiàn)在這些威脅已經(jīng)進入到云計算中���,大型云數(shù)據(jù)中心的重心是內(nèi)部數(shù)據(jù)中心的安全�,而不是周邊 安全�����。
如果物理設備的大部分功能都被轉(zhuǎn)移到云端����,這意味著安全必須遷移到云端。這需要對所謂的東西向流量加以關注���,因為它能夠改變數(shù)據(jù)中心的虛擬化層�����。
正如UBS分析師Brent Thill在最近的一份研究報告中提到的�����,終端用戶軟件和基于虛擬化的安全解決方案取代具體的安全硬件設備會造成“設備疲勞”�����。
這對SDN和NFV的硬件和軟件都有巨大的影響�����。這意味著NFV和SDN基礎設施將會被安全嵌入����,同時也意味著用來提供這些服務的硬件平臺必須具備處理虛擬化安全功能�。
上周我們的撰稿人在文章中寫道:NFV和SDN技術被用于在數(shù)據(jù)中心內(nèi)部構(gòu)建一個安全“隔離區(qū)(DMZ)”,文中表示現(xiàn)在數(shù)據(jù)中心內(nèi)的每個虛擬機除了物理防火墻之外����,還有自帶的虛擬防火墻。
可以將此視為某種安全縮影���,從cellular向molecular級過渡���,將安全深入到數(shù)據(jù)中心內(nèi)部�,使之能夠嵌入到分析穿越網(wǎng)絡的每個數(shù)據(jù)包和應用程序中���。
一般而言�����,SDN范式的核心能夠促進一個更好的安全模式��。一個集中式的SDN控制器可以分析和監(jiān)督整改數(shù)據(jù)中心的安全��,而不是管理單個設備或?qū)S糜布到y(tǒng)的安全策略��。
追求所有應用程序?qū)崟r監(jiān)控的零信任安全模式(zero-trust stateful security)�,可以增強數(shù)據(jù)中心內(nèi)的東西向流量����,使之與VMs和容器最接近。它能夠提供以下優(yōu)勢:
自動配置輕松移除/添加/改變虛擬機和容器的工作負載策略在每個虛擬端口進行分布式執(zhí)行通過分布式橫向擴展內(nèi)核中的防火墻功能在平臺中使用虛擬機管理程序
有沒有缺點?當然�����。所有的這些都需要實時監(jiān)測以及IP和網(wǎng)絡流量包檢測��,這可能會導致CPU價格過高��,需要專門的硬件來實現(xiàn)。
業(yè)界將如何應對這種情況?正如我以前所寫的那樣����,NFV平臺將在硬件性能上需要投注更多的注意,特別是在服務提供商向云模型遷移的NFV領域�,更需要考慮這一安全架構(gòu)。頂級的NFV硬件產(chǎn)品需要處理運算所需的安全應用程序的能力�����。
在安全方面�����,這意味著專業(yè)安全產(chǎn)品越來越少����,而訂購的軟件產(chǎn)品越來越多���,這需要在分析能力和與虛擬化平臺集成的能力上需要投入更多注意���。
