2017年,云安全问题成为广大用户关注的焦点,交流和需求明显增加。或许长期以来,无论是传统网络厂商、安全厂商还是云服务提供商,似乎都没有针对云安全提出过合理的架构和解决方案。伴随着新旧情怀的狂热,云安全似乎又重新占据了每一位安全管理员的“心”。至于云安全,我不能说无所不知,但我一直在关注它的动向。希望本文能帮助安全管理员对云安全有一个不一样的认识。1、SDN还是NFV众所周知,SDN(softwaredefinednetwork,软件定义网络)和NFV(networkfunctionvirtualization,网络功能虚拟化)可以提高云平台的管理、网络、协作能力;因此,在云平台中引入SDN/NFV技术,可以有效解决快速响应、资源调度、拓扑视图、需求感知等各种问题。可以说,基于SDN/NFV技术的云平台或云数据中心是未来发展演进的重要方向。这里不具体描述SDN和NFV的概念和渊源。有兴趣的可以通过强大的搜索引擎来学习,但是要弄清楚两者的区别,如下图(来自网络):从上图的目标位置可以得出SDN起源于校园网并在数据中心成熟。NFV主要由一些电信运营商完成。这可能是很多安全厂商愿意向SDN靠拢的原因,所以SDS(软件定义的安全)的概念很早就被提出了,就我和我接触的用户来说,大家更愿意把SDS理解为软件定义存储,SDStorage软件定义存储已经有了比较成熟的解决方案,而SDSecurity软件定义安全依然还在。停留在理论和实践阶段。同样,从上图中的应用范围(初始化应用)我们可以看出,SDN更多的是处理OSI七层模型中的2-3层(网络、数据链路),而NFV处理的更多的是OSI七层模型中的4-7层,如下图(来自网络):从上图我们可以清楚的看到对于网络安全设备,比如防火墙,入侵检测/防御,WEB防护等,它应该向NFV技术靠拢。而NFV也将数据平面和控制平面分开,但其主要模式是部署一个标准化的网络硬件平台,通过虚拟化软件,让众多网络设备中的软件可以按需安装、修改、卸载。功能自动编排,实现业务灵活扩展。这种模式可能不被网络安全供应商或现阶段所接受。2、SDN+NFV?从上一章的简单对比可以看出,SDN和NFV解决的是特定的网络问题。区别:SDN通过控制平面和数据平面的分离实现集中控制,而NFV通过软硬件分离实现业务功能的虚拟化,即按需分发;相同点:SDN和NFV架构都从封闭走向开放,从硬件独占走向软件共享。互补性:从两者的适用范围可以看出,两者的互补性是极强的。两者相加可以覆盖OSI七层模型的所有层级。可以说,NFV的实现离不开流量中的SDN技术。但是用户业务功能的部署需要依赖NFV架构。由此可见,SDN+NFV似乎是一个比较合理的方案。3、近几年出现的一些超融合的概念,比如超融合、区块链,似乎和网络的关系越来越少,而随着网络的发展而发展的网络安全,似乎是更不知道自己的发展。方向。区块链是一种数据存储的应用模型,它似乎离网络和安全更远。这里就不介绍了。超融合提供了一个包括计算、存储和网络资源的平台。网络安全显然是网络资源的一部分,但目前主流的超融合解决方案都是计算和存储的融合。即使对于Cisoc和华为这样的网络厂商,超融合解决方案涉及的网络内容也相对较少。为什么?这篇文章提到了“计算为主导、存储为特色、软件为核心、网络为未来”的发展轨迹。在出现瓶颈的情况下,整合网络功能似乎不太现实。我个人认为超融合是SDN+NFV的最佳实践。底层是共享的计算资源、存储资源和网络资源。中间层实现软件定义存储、软件定义计算、软件定义网络等SDN功能。上层也使用标准语言商用硬件实现NFV功能,进行统一管理。显然,超融合提供了一个相对合理的架构和模型,而安全显然是上层的主要应用。目前,包括国内外在内的部分厂商已经将安全作为其超融合解决方案的一部分,而安全超融合解决方案也需要不断完善,经得起市场调研。【本文为专栏作者《NSFO科技博客》原创稿件,转载请联系原作者获得授权】点此查看该作者更多好文
