勒索軟件和其他惡意軟件的日益流行使企業重新考慮網絡安全,包括在數據中心的網絡安全。這種增長有助于激發人們對零信任架構的興趣。DevOps及其衍生后代(即NetOps、DevSecOps、SecDevOps和DevNetSecOps)的持續興起,將基礎設施即代碼(IaC)的理念帶到了最前沿。
那么,這些舉措如何適應網絡虛擬化呢?
數據中心的虛擬網絡并不新鮮
虛擬網絡是一個經常被重新發現或重新創建的概念。從本質上說,虛擬網絡系統使IT團隊能夠在共享物理網絡上覆蓋多個邏輯網絡。IT團隊可能會實施虛擬網絡來隔離端點的子集,以出于安全原因或滿足特定協議或應用程序的需求。
網絡虛擬化技術至少可以追溯到上世紀80年代,包括以太網虛擬LAN(VLAN)和MPLS。
數據中心虛擬網絡的前進道路在于從人工管理的VLAN到策略驅動的虛擬化的過渡。
典型的數據中心在虛擬網絡中暢游。幾十年來,VLAN一直是數據中心網絡設計的標準功能。服務器虛擬化也變得司空見慣,用于在主機服務器內和主機服務器之間創建新的虛擬化層。
采用SDN策略
軟件定義網絡(SDN)的理念是網絡控制器和網絡數據平臺(實際移動數據包的部分)應該彼此分離,從而實現對分布式網絡行為的集中控制。
SDN與簡單地集中管理網絡交換機配置不同,因為它假定數據平臺設備的自主性是有限的,而不是協調管理。SDN的理念是,任何網絡都可以支持大量的覆蓋,并且應該能夠靈活、動態地控制端口如何映射到虛擬網絡,以及通過虛擬網絡提供哪些服務。
SDN在最初被認為是一種開源策略,用于企業在數據中心和LAN上獲得更多對網絡的控制。其目標是通過使網絡架構獨立于任何一個供應商的架構和功能集,在網絡供應商的嚴密控制下獲得對網絡架構的控制。
開放和跨平臺戰略催生了無數的實現——OpenvSwitch、OpenDaylight、開放網絡操作系統等,并取得了足夠的進展,迫使供應商將基本的控制平臺-數據平臺模型投入通用。這些策略也讓初創公司接受了這種模式。
然而,企業首先采用SDN的地方不是數據中心,而是WAN。自從2015年以來,軟件定義的WAN已將SDN概念注入企業WAN戰略。
以下探索數據中心內的三個網絡虛擬化計劃。
(1)基礎設施即代碼(IaC):更多的虛擬化方式和手段
隨著Docker等軟件容器的普及,覆蓋概念現在已經在基礎設施中深入了一層,為容器間通信創建了另一層網絡。DevOps的興起使基礎設施即代碼(IaC)的想法變得突出。
基礎設施即代碼(IaC)的想法是,部署軟件以控制容器和虛擬機之間的虛擬網絡團隊應該像管理環境中的其他代碼組件一樣管理它們。這帶來了一層與它們所服務的容器處于相同時間尺度的虛擬網絡。它還產生了用于管理這種虛擬化的新工具和概念,例如服務網格。
(2)零信任:虛擬化的最終狀態
在真正的零信任環境中,只有經過批準的通信才會在網絡上進行。任何給定的應用程序、用戶或端點只能與預先獲得許可的其他應用程序、用戶和端點通信。因此,除非環境被告知允許特定對話,否則對話會被阻止。
在網絡層面,零信任可以轉化為稱為軟件定義邊界(SDP)的概念。使用軟件定義邊界(SDP),如果端點A向端點B發送數據包,但沒有告知B接受來自A的數據包,則B忽略或丟棄這些數據包。對于節點A,節點B在網絡上不可見。如果允許B和A進行通信,它們將通過加密隧道進行。在這種情況下,每次通信都通過一個點對點虛擬網絡(一個雙節點VLAN)進行。
(3)推進數據中心發展的虛擬網絡
數據中心虛擬網絡的前進道路在于從人工管理的VLAN到策略驅動的虛擬化的過渡。這種轉變將通過跨平臺的SDN控制器和自動化工具實現(盡管可能來自供應商而非開源)服務網格和基礎設施即代碼(IaC)。零信任的需求、向容器和微服務的轉變以及對網絡工程師的日益嚴格的時間限制,將使這種轉變成為必要。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號