越來越多的跡象表明數據中心正在向以軟件為中心的安全模式轉變,這是網絡功能虛擬化(NFV)和軟件定義網絡(SDN)技術的核心網絡功能。這種新的模式意味著安全性能將成為NFV的關鍵。
云計算成功的將IT界的重心轉移到數據中心,其中零信任安全模式(zero-trust stateful security)能增強東西向流量的安全性。根據戴爾Oro工作組的研究報告,全球3個最大的云服務提供商(Amazon、Google、Microsoft)占據了目前所有數據中心設備采購的35%。現在這些威脅已經進入到云計算中,大型云數據中心的重心是內部數據中心的安全,而不是周邊安全。
如果物理設備的大部分功能都被轉移到云端,這意味著安全必須遷移到云端。這需要對所謂的東西向流量加以關注,因為它能夠改變數據中心的虛擬化層。
正如UBS分析師Brent Thill在最近的一份研究報告中提到的,終端用戶軟件和基于虛擬化的安全解決方案取代具體的安全硬件設備會造成“設備疲勞”。
這對SDN和NFV的硬件和軟件都有巨大的影響。這意味著NFV和SDN基礎設施將會被安全嵌入,同時也意味著用來提供這些服務的硬件平臺必須具備處理虛擬化安全功能。
上周我們的撰稿人在文章中寫道:NFV和SDN技術被用于在數據中心內部構建一個安全“隔離區(DMZ)”,文中表示現在數據中心內的每個虛擬機除了物理防火墻之外,還有自帶的虛擬防火墻。
可以將此視為某種安全縮影,從cellular向molecular級過渡,將安全深入到數據中心內部,使之能夠嵌入到分析穿越網絡的每個數據包和應用程序中。
一般而言,SDN范式的核心能夠促進一個更好的安全模式。一個集中式的SDN控制器可以分析和監督整改數據中心的安全,而不是管理單個設備或專用硬件系統的安全策略。
追求所有應用程序實時監控的零信任安全模式(zero-trust stateful security),可以增強數據中心內的東西向流量,使之與VMs和容器最接近。它能夠提供以下優勢:
自動配置輕松移除/添加/改變虛擬機和容器的工作負載策略在每個虛擬端口進行分布式執行通過分布式橫向擴展內核中的防火墻功能在平臺中使用虛擬機管理程序有沒有缺點?當然。所有的這些都需要實時監測以及IP和網絡流量包檢測,這可能會導致CPU價格過高,需要專門的硬件來實現。
業界將如何應對這種情況?正如我以前所寫的那樣,NFV平臺將在硬件性能上需要投注更多的注意,特別是在服務提供商向云模型遷移的NFV領域,更需要考慮這一安全架構。頂級的NFV硬件產品需要處理運算所需的安全應用程序的能力。
在安全方面,這意味著專業安全產品越來越少,而訂購的軟件產品越來越多,這需要在分析能力和與虛擬化平臺集成的能力上需要投入更多注意。
原文鏈接:https://www.sdxcentral.com/articles/analysis/security-performance-in-nfv/2016/09/
京公網安備 11010502049343號