越來越多的跡象表明數(shù)據(jù)中心正在向以軟件為中心的安全模式轉(zhuǎn)變,這是網(wǎng)絡(luò)功能虛擬化(NFV)和軟件定義網(wǎng)絡(luò)(SDN)技術(shù)的核心網(wǎng)絡(luò)功能。這種新的模式意味著安全性能將成為NFV的關(guān)鍵。
云計(jì)算成功的將IT界的重心轉(zhuǎn)移到數(shù)據(jù)中心,其中零信任安全模式(zero-trust stateful security)能增強(qiáng)東西向流量的安全性。根據(jù)戴爾Oro工作組的研究報(bào)告,全球3個(gè)最大的云服務(wù)提供商(Amazon、Google、Microsoft)占據(jù)了目前所有數(shù)據(jù)中心設(shè)備采購的35%?,F(xiàn)在這些威脅已經(jīng)進(jìn)入到云計(jì)算中,大型云數(shù)據(jù)中心的重心是內(nèi)部數(shù)據(jù)中心的安全,而不是周邊安全。
如果物理設(shè)備的大部分功能都被轉(zhuǎn)移到云端,這意味著安全必須遷移到云端。這需要對(duì)所謂的東西向流量加以關(guān)注,因?yàn)樗軌蚋淖償?shù)據(jù)中心的虛擬化層。
正如UBS分析師Brent Thill在最近的一份研究報(bào)告中提到的,終端用戶軟件和基于虛擬化的安全解決方案取代具體的安全硬件設(shè)備會(huì)造成“設(shè)備疲勞”。
這對(duì)SDN和NFV的硬件和軟件都有巨大的影響。這意味著NFV和SDN基礎(chǔ)設(shè)施將會(huì)被安全嵌入,同時(shí)也意味著用來提供這些服務(wù)的硬件平臺(tái)必須具備處理虛擬化安全功能。
上周我們的撰稿人在文章中寫道:NFV和SDN技術(shù)被用于在數(shù)據(jù)中心內(nèi)部構(gòu)建一個(gè)安全“隔離區(qū)(DMZ)”,文中表示現(xiàn)在數(shù)據(jù)中心內(nèi)的每個(gè)虛擬機(jī)除了物理防火墻之外,還有自帶的虛擬防火墻。
可以將此視為某種安全縮影,從cellular向molecular級(jí)過渡,將安全深入到數(shù)據(jù)中心內(nèi)部,使之能夠嵌入到分析穿越網(wǎng)絡(luò)的每個(gè)數(shù)據(jù)包和應(yīng)用程序中。
一般而言,SDN范式的核心能夠促進(jìn)一個(gè)更好的安全模式。一個(gè)集中式的SDN控制器可以分析和監(jiān)督整改數(shù)據(jù)中心的安全,而不是管理單個(gè)設(shè)備或?qū)S糜布到y(tǒng)的安全策略。
追求所有應(yīng)用程序?qū)崟r(shí)監(jiān)控的零信任安全模式(zero-trust stateful security),可以增強(qiáng)數(shù)據(jù)中心內(nèi)的東西向流量,使之與VMs和容器最接近。它能夠提供以下優(yōu)勢(shì):
自動(dòng)配置輕松移除/添加/改變虛擬機(jī)和容器的工作負(fù)載策略在每個(gè)虛擬端口進(jìn)行分布式執(zhí)行通過分布式橫向擴(kuò)展內(nèi)核中的防火墻功能在平臺(tái)中使用虛擬機(jī)管理程序有沒有缺點(diǎn)?當(dāng)然。所有的這些都需要實(shí)時(shí)監(jiān)測(cè)以及IP和網(wǎng)絡(luò)流量包檢測(cè),這可能會(huì)導(dǎo)致CPU價(jià)格過高,需要專門的硬件來實(shí)現(xiàn)。
業(yè)界將如何應(yīng)對(duì)這種情況?正如我以前所寫的那樣,NFV平臺(tái)將在硬件性能上需要投注更多的注意,特別是在服務(wù)提供商向云模型遷移的NFV領(lǐng)域,更需要考慮這一安全架構(gòu)。頂級(jí)的NFV硬件產(chǎn)品需要處理運(yùn)算所需的安全應(yīng)用程序的能力。
在安全方面,這意味著專業(yè)安全產(chǎn)品越來越少,而訂購的軟件產(chǎn)品越來越多,這需要在分析能力和與虛擬化平臺(tái)集成的能力上需要投入更多注意。
原文鏈接:https://www.sdxcentral.com/articles/analysis/security-performance-in-nfv/2016/09/