02月07日 綜合消息:隨著軟件定義網絡(簡稱SDN)陣營的不斷發展壯大,關于將全部用戶網絡設備替換為虛擬方案的討論也開始成為重點議題并受到業界的廣泛關注。
Gartner公司分析師Joerg Fritsch針對這方面爭論提出了一個有趣的問題:“安裝有虛擬機管理程序的計算節點是否已經擁有足夠完善的安全機制,從而根本不同安全級別對各虛擬機系統加以隔離?”
Fritsch并沒有從SDN的角度出發審視這一問題:他認為多層應用程序當中的不同組件應該采取差異化的安全要求。不過在他看來,在現有防火墻機制的支持之下、用戶完全可以考慮利用虛擬版本取代目前的網絡設備。
有鑒于此,我們是否需要解決虛擬機安全匱乏的問題并為其選擇更具保障的主機托管方案?答案也許是肯定的,但實現這一目標勢必需要投入大量資金。
Fritsch指出,各類信譽良好的虛擬機管理程序都已經在實踐中證明,要讓專用安全設備起到確切效果、每一位使用人員首先需要高度重視安全問題。因此使用安全機制匱乏的虛擬機本身并不意味著我們的設置流程一定存在安全問題。另外,安全機制調整的成本也不會太低:根據他的分析,大家在鞏固服務器安全性以及確保(安全性低下的)虛擬機只處理非關鍵性工作負載方面所投入的資源,已經足以更購買一到兩臺新服務器了。
他所得出的結論對于那些有意嘗試SDN的用戶似乎頗具參考價值。下面我們一起來看他的思路:
“首先,大家的數據肯定是要來自某處,對吧?各位的虛擬機也許與某種SAN機制相對接,這就要求我們對SAN進行嚴格分區、否則所使用的SAN在與虛擬環境協作時將面臨崩潰的可能。另外,大家的網絡是否已經做好了充分準備?VLAN隔離呢?SR-IOV呢?如果大家真的希望讓自己的網絡跨越不同數據敏感級別,則必須將著眼點放得更遠、而不能僅僅局限在虛擬機管理程序身上。也許管理程序本身反倒是最不需要關注的領域。”
當然,SDN的設計目的在于幫助使用者更好地打理日常工作:例如大大簡化VLAN管理并建立起速度更快、運行更順暢的配置方案。有鑒于此,SDN很可能成為新型管理體制的有力推動者,在這類新型體制下、缺乏安全保障的虛擬機將能夠被定向至主機以及VLAN處,并在那里自由利用自有以及來自其它同類系統中的計算資源——而且不至于衍生更多安全風險。如果能夠遵循這種處理思路,相信SDN完全值得一試。
京公網安備 11010502049343號