云安全如何站隊:SDN or NFV
2017,云安全的問題又成了廣大用戶關注的重點,交流和需求明顯的增多。可能一直以來,不管是傳統的網絡廠商,安全廠商還是云服務提供商,似乎始終沒給云安全提出過一個合理的架構和解決方案,在經歷了相當長一段時間的低谷期,伴隨著近期一些新老感念的熱炒,云安全似乎又重新占據了各個安全管理員的“心”。
對于云安全,筆者不能說了如指掌,但也確實一直關注著其動向,希望借由此文,幫助廣大安全管理員對云安全有一個不同的認識。
一、SDN or NFV
眾所周知,SDN(software defined network,軟件定義網絡)、NFV(network function virtualization,網絡功能虛擬化)可以提升云平臺在管理,組網,以及協同上的能力;因此,在云平臺上引入SDN/NFV技術可以有效解決快速響應、資源調度、拓撲視圖、需求感知等多方面的問題,可以說,基于SDN/NFV技術的云平臺或者云數據中心是未來發展和演進的重要方向。
這里面不對SDN和NFV的概念、起源等做具體描述了,感興趣的可以通過強大的搜索引擎去學習,但兩者的區別還是要明確下的,具體如下圖(來源互聯網):
從上圖目標位置可以得出,SDN起源于園區網,成熟于數據中心,NFV多是一些電信運營商在做,這可能是很多安全廠商愿意往SDN上靠攏的原因,于是SDS(軟件定義安全)的概念很早就被提出,而就我以及我交流的這些用戶而言,大家更愿意把SDS理解成軟件定義存儲,且SDStorage軟件定義存儲已經有較為成熟的解決方案,而SDSecurity軟件定義安全確始終還停留在理論實踐階段。
同樣,從上圖的適用范圍(初始化應用),我們可以看到,SDN更多的處理的是OSI七層模型中的2-3層(網絡、數據鏈路),而NFV更多的處理的是OSI七層模型中的4-7層,具體如下圖(來源于互聯網):
從上圖我們可以明顯的看出,對于網絡安全設備,如防火墻,入侵檢測/防御,WEB防護等更多的應該向NFV技術靠攏,然而,NFV同樣是分離數據和控制平面,但其主要模式是通過部署標準化網絡硬件平臺,從而使得許多網絡設備中的軟件可以按需安裝,修改,卸載,通過虛擬化軟件功能的自動編排實現靈活的業務擴展,這種模式,可能是網絡安全廠商不能接受或者說現階段不能接受的。
二、SDN + NFV?
通過上一章節簡單的對比可以得出,SDN和NFV是解決特定網絡問題的。
不同點:SDN通過控制和數據平面的分離實現集中的控制,而NFV是軟件和硬件的分離實現服務功能的虛擬化,即按需分配;
相同點:SDN/NFV都是架構從封閉到開放,從獨享的硬件到共享的軟件。
互補性:從二者的適用范圍可以看出,兩者的互補性是極強的,兩者相加可以覆蓋OSI七層模式的各個層面,可以說NFV的實現,離不開SDN 技術在流量方面提供的靈活性,而用戶的業務功能的部署又需要依托于NFV架構,由此可見,SDN+NFV似乎是一種更加合理的解決方案。
三、超融合
近些年出現的一些概念,如超融合、區塊鏈等,似乎與網絡的關系越來越少,而隨著網絡發展而發展的網絡安全,似乎更看不清自己的發展方向。
區塊鏈是數據存儲的應用模式,似乎和網絡,安全相距更遠,這里不多做介紹,超融合提供的是包括計算、存儲、網絡資源的平臺,網絡安全顯然是網絡資源的一部分,但目前主流的超融合方案全是計算與存儲的融合,哪怕像Cisoc,華為這樣的網絡廠商,超融合方案中涉及網絡的內容都相對較少,這是為什么呢?記得前一陣在網上看到一篇文章,提的是以”計算為主導,存儲為區分,軟件為核心,網絡是未來“的發展軌跡,自己較為認同,可以說網絡是其中非常重要的的一環,只是在目前以性能為瓶頸的大背景下,將網絡功能融合進來似乎不太現實。
個人認為,超融合是SDN+NFV最佳實踐,底層是共享的計算資源,存儲資源以及網絡資源,中間層實現軟件定義存儲,軟件定義計算,軟件定義網絡等SDN功能,上層同樣使用標準話的商用硬件,實現NFV的功能,并進行統一管理。
顯然,超融合給出了一個相對合理的架構和模型,而安全顯然是上層的一個主要應用,目前包括國內外的一些廠商,已經將安全作為其超融合解決方案的一部分,而安全超融合解決方案還需要不斷完善并經受住市場的考研。
【本文是51CTO專欄作者“綠盟科技博客”的原創稿件,轉載請通過51CTO聯系原作者獲取授權】
