云安全如何站隊:SDN or NFV
2017,云安全的問題又成了廣大用戶關(guān)注的重點(diǎn),交流和需求明顯的增多。可能一直以來,不管是傳統(tǒng)的網(wǎng)絡(luò)廠商,安全廠商還是云服務(wù)提供商,似乎始終沒給云安全提出過一個合理的架構(gòu)和解決方案,在經(jīng)歷了相當(dāng)長一段時間的低谷期,伴隨著近期一些新老感念的熱炒,云安全似乎又重新占據(jù)了各個安全管理員的“心”。
對于云安全,筆者不能說了如指掌,但也確實(shí)一直關(guān)注著其動向,希望借由此文,幫助廣大安全管理員對云安全有一個不同的認(rèn)識。
一、SDN or NFV
眾所周知,SDN(software defined network,軟件定義網(wǎng)絡(luò))、NFV(network function virtualization,網(wǎng)絡(luò)功能虛擬化)可以提升云平臺在管理,組網(wǎng),以及協(xié)同上的能力;因此,在云平臺上引入SDN/NFV技術(shù)可以有效解決快速響應(yīng)、資源調(diào)度、拓?fù)湟晥D、需求感知等多方面的問題,可以說,基于SDN/NFV技術(shù)的云平臺或者云數(shù)據(jù)中心是未來發(fā)展和演進(jìn)的重要方向。
這里面不對SDN和NFV的概念、起源等做具體描述了,感興趣的可以通過強(qiáng)大的搜索引擎去學(xué)習(xí),但兩者的區(qū)別還是要明確下的,具體如下圖(來源互聯(lián)網(wǎng)):
從上圖目標(biāo)位置可以得出,SDN起源于園區(qū)網(wǎng),成熟于數(shù)據(jù)中心,NFV多是一些電信運(yùn)營商在做,這可能是很多安全廠商愿意往SDN上靠攏的原因,于是SDS(軟件定義安全)的概念很早就被提出,而就我以及我交流的這些用戶而言,大家更愿意把SDS理解成軟件定義存儲,且SDStorage軟件定義存儲已經(jīng)有較為成熟的解決方案,而SDSecurity軟件定義安全確始終還停留在理論實(shí)踐階段。
同樣,從上圖的適用范圍(初始化應(yīng)用),我們可以看到,SDN更多的處理的是OSI七層模型中的2-3層(網(wǎng)絡(luò)、數(shù)據(jù)鏈路),而NFV更多的處理的是OSI七層模型中的4-7層,具體如下圖(來源于互聯(lián)網(wǎng)):
從上圖我們可以明顯的看出,對于網(wǎng)絡(luò)安全設(shè)備,如防火墻,入侵檢測/防御,WEB防護(hù)等更多的應(yīng)該向NFV技術(shù)靠攏,然而,NFV同樣是分離數(shù)據(jù)和控制平面,但其主要模式是通過部署標(biāo)準(zhǔn)化網(wǎng)絡(luò)硬件平臺,從而使得許多網(wǎng)絡(luò)設(shè)備中的軟件可以按需安裝,修改,卸載,通過虛擬化軟件功能的自動編排實(shí)現(xiàn)靈活的業(yè)務(wù)擴(kuò)展,這種模式,可能是網(wǎng)絡(luò)安全廠商不能接受或者說現(xiàn)階段不能接受的。
二、SDN + NFV?
通過上一章節(jié)簡單的對比可以得出,SDN和NFV是解決特定網(wǎng)絡(luò)問題的。
不同點(diǎn):SDN通過控制和數(shù)據(jù)平面的分離實(shí)現(xiàn)集中的控制,而NFV是軟件和硬件的分離實(shí)現(xiàn)服務(wù)功能的虛擬化,即按需分配;
相同點(diǎn):SDN/NFV都是架構(gòu)從封閉到開放,從獨(dú)享的硬件到共享的軟件。
互補(bǔ)性:從二者的適用范圍可以看出,兩者的互補(bǔ)性是極強(qiáng)的,兩者相加可以覆蓋OSI七層模式的各個層面,可以說NFV的實(shí)現(xiàn),離不開SDN 技術(shù)在流量方面提供的靈活性,而用戶的業(yè)務(wù)功能的部署又需要依托于NFV架構(gòu),由此可見,SDN+NFV似乎是一種更加合理的解決方案。
三、超融合
近些年出現(xiàn)的一些概念,如超融合、區(qū)塊鏈等,似乎與網(wǎng)絡(luò)的關(guān)系越來越少,而隨著網(wǎng)絡(luò)發(fā)展而發(fā)展的網(wǎng)絡(luò)安全,似乎更看不清自己的發(fā)展方向。
區(qū)塊鏈?zhǔn)菙?shù)據(jù)存儲的應(yīng)用模式,似乎和網(wǎng)絡(luò),安全相距更遠(yuǎn),這里不多做介紹,超融合提供的是包括計算、存儲、網(wǎng)絡(luò)資源的平臺,網(wǎng)絡(luò)安全顯然是網(wǎng)絡(luò)資源的一部分,但目前主流的超融合方案全是計算與存儲的融合,哪怕像Cisoc,華為這樣的網(wǎng)絡(luò)廠商,超融合方案中涉及網(wǎng)絡(luò)的內(nèi)容都相對較少,這是為什么呢?記得前一陣在網(wǎng)上看到一篇文章,提的是以”計算為主導(dǎo),存儲為區(qū)分,軟件為核心,網(wǎng)絡(luò)是未來“的發(fā)展軌跡,自己較為認(rèn)同,可以說網(wǎng)絡(luò)是其中非常重要的的一環(huán),只是在目前以性能為瓶頸的大背景下,將網(wǎng)絡(luò)功能融合進(jìn)來似乎不太現(xiàn)實(shí)。
個人認(rèn)為,超融合是SDN+NFV最佳實(shí)踐,底層是共享的計算資源,存儲資源以及網(wǎng)絡(luò)資源,中間層實(shí)現(xiàn)軟件定義存儲,軟件定義計算,軟件定義網(wǎng)絡(luò)等SDN功能,上層同樣使用標(biāo)準(zhǔn)話的商用硬件,實(shí)現(xiàn)NFV的功能,并進(jìn)行統(tǒng)一管理。
顯然,超融合給出了一個相對合理的架構(gòu)和模型,而安全顯然是上層的一個主要應(yīng)用,目前包括國內(nèi)外的一些廠商,已經(jīng)將安全作為其超融合解決方案的一部分,而安全超融合解決方案還需要不斷完善并經(jīng)受住市場的考研。
【本文是51CTO專欄作者“綠盟科技博客”的原創(chuàng)稿件,轉(zhuǎn)載請通過51CTO聯(lián)系原作者獲取授權(quán)】
