勒索软件和其他恶意软件的日益流行正促使企业重新考虑网络安全,包括在数据中心。这种增长有助于激发人们对零信任架构的兴趣。DevOps及其后代,即NetOps、DevSecOps、SecDevOps和DevNetSecOps的持续兴起,将基础设施即代码(IaC)的理念推到了风口浪尖。那么这些举措如何适应网络虚拟化呢?数据中心的虚拟网络并不是什么新鲜事。虚拟网络是一个经常被重新发现或重新创建的概念。从本质上讲,虚拟网络系统使IT团队能够在共享的物理网络上覆盖多个逻辑网络。出于安全原因或满足特定协议或应用程序的需求,IT团队可能会实施虚拟网络来隔离端点的子集。网络虚拟化技术至少可以追溯到1980年代,包括以太网虚拟LAN(VLAN)和MPLS。数据中心虚拟网络的前进方向在于从手动管理的VLAN过渡到策略驱动的虚拟化。典型的数据中心在虚拟网络中畅游。几十年来,VLAN一直是数据中心网络设计的标准功能。服务器虚拟化也变得司空见惯,用于在主机服务器内部和主机服务器之间创建新的虚拟化层。采用SDN策略软件定义网络(SDN)的思想是网络控制器和网络数据平面(实际移动数据包的部分)应该相互分离,允许集中控制网络的行为分布式网络。SDN与简单地集中管理网络交换机配置不同,因为它假设数据平面设备的自主权有限,而不是协调管理。SDN的思想是任何网络都可以支持大量的overlay,应该能够灵活动态地控制端口如何映射到虚拟网络,以及通过虚拟网络提供哪些服务。SDN最初被设想为一种开源战略,供企业在数据中心和LAN中获得对网络的更多控制权。目标是通过使其独立于任何供应商的体系结构和功能集,从而在网络供应商的严格控制下获得对网络体系结构的控制。开放和跨平台战略催生了无数的实施——OpenvSwitch、OpenDaylight、开放网络操作系统等——并取得了足够的进展,迫使供应商将基本的控制平面-数据平面模型投入普遍使用。这些策略也让初创公司接受了这种模式。但是,企业采用SDN的首要位置并不是数据中心,而是广域网。自2015年以来,软件定义广域网将SDN概念注入企业广域网战略。探索以下数据中心的三个网络虚拟化计划。(1)InfrastructureasCode(IaC):更多的虚拟化方式和手段随着Docker等软件容器的流行,overlay概念现在已经深入基础设施一层,为容器间通信网络创建另一层。DevOps的兴起让基础架构即代码(IaC)的理念突显出来。基础架构即代码(IaC)的想法是,部署软件以控制容器和虚拟机之间的虚拟网络的团队应该像管理环境中的其他代码组件一样管理它们。这带来了一层与它们所服务的容器处于同一时间尺度的虚拟网络。它还催生了用于管理这种虚拟化的新工具和概念,例如服务网格。(2)零信任:虚拟化的最终状态在真正的零信任环境中,只有经过批准的通信才会在网络上进行。任何给定的应用程序、用户或端点只能与预先批准的其他应用程序、用户和端点进行通信。因此除非告知环境允许特定对话,否则对话将被阻止。在网络层面,零信任可以转化为一个称为软件定义边界(SDP)的概念。使用软件定义的边界(SDP),如果端点A将数据包发送到端点B而没有告诉B接受来自A的数据包,则B将忽略或丢弃这些数据包。对于节点A,节点B在网络上是不可见的。如果允许B和A进行通信,他们将通过加密隧道进行通信。在这种情况下,每次通信都通过点对点虚拟网络(双节点VLAN)。(3)推动数据中心发展的虚拟网络数据中心虚拟网络的出路在于从人工管理的VLAN向策略驱动的虚拟化过渡。这种转变将通过跨平台SDN控制器和自动化工具(尽管可能来自供应商而非开源)服务网格和基础架构即代码(IaC)来实现。对零信任的需求、向容器和微服务的转变以及对网络工程师日益严格的时间限制将使这种转变成为必要。
