网络安全 频道

如何定义软件定义数据中心的安全

  数据中心在虚拟化与云计算以及软件定义网络(SDN)这样的新技术驱动下迅速发展。与此同时也颠覆了数据中心的网络安全的设计与部署。

  软件定义网络(SDN:Software-Defined Networking)

  虚拟化与云计算方兴未艾,另一项技术模式软件定义网络(Software-Defined Networking)(或外沿更为宽泛为软件定义数据中心)的提出已然同样带来诸多的改变。SDN,SDDC、网络虚拟化以及网络功能虚拟化(NFV:network function virtualization)— 这些意味着,于安全又有怎样的影响?

  网络虚拟化

  要谈网络虚拟化应该从服务器虚拟化的历史谈起。服务器虚拟化或更确切的是x86虚拟化、物理计算硬件的抽象化,也就是x86 CPU、芯片与RAM;以及管理程序层面的从OS与应用都等同于虚拟,例如vCPU以及vRAM等。把这些虚拟的集合封装到一个VM的容器中,且与其他容器相隔离,从而实现了相比硬件组合更经济的方式。基于此,虚拟化网络中便有了虚拟化的交换机,也就是一种如何让多个vNIC共享一个物理接口卡的一种逻辑上的机制。但这并不是x86服务器的虚拟化,毕竟,一个板载的x86网络硬件是NIC或以太网适配器,并不是一个交换机,作为最早的虚拟化产品,例如VMware虚拟机是没有虚拟交换的(且现在也没有)。

  厂商与用户都快速的发现虚拟化网络可以提供除了硬件合并以外的其他网络方面的优势,例如带宽资源池、冗余、NIC冗余等,且虚拟化网络的功能快速扩展。但是虚拟化网络仍然是服务器虚拟化的副产品,虚拟化交换机如果独立于管理程序vmkernel外仍然不是一个真正的软件交换。虚拟网络实际上仍然要依靠物理网络,而不能反向行之(例如,依赖物理网络去定义802.1Q VLAN)。

  网络虚拟化将虚拟化网络提升到一般的部署层面且集中在物理网络层,例如交换机与路由。类似,如同x86服务器,网络端口抽象化为虚拟端口,可逻辑上与虚拟交换相结合。网络层hypervisor也可以甚至独立于x86的hypervisor平台而存在,或甚至可以在没有服务器虚拟化的环境下,虽然现如今采用网络虚拟化的任何的数据中心同样会使用虚拟化服务器。

  网络虚拟化中两个关键的话题是OpenFlow与overlay networks

  OpenFlow — 将控制与数据层虚拟化

  OpenFlow模式下,对管理层面解耦合的逻辑抽象或通过网络层hypervisor或SDN控制器抽象化控制层。OpenFlow是被推荐的通信标准之一,也就是通过在SDN控制器之间定义各个厂商层面需要的客户端服务器API接口,这样便会在固定的物理交换机/接口之间定义或控制数据流。 大多数网络硬件厂商都接受了OpenFlow,但是并不是全部的厂商都使用公开的标准为驱动产出价值。

  数据流控制提供了一种集成安全设备的方式,例如网络监控或逻辑网络内部的在线的防火墙设备;但是,安全产品应不能使用Openflow协议(或南向接口)直接去在网络接口对流量进行修改,也就是说,根本上作为一个OpenFlow客户端应只有一个“指挥控制中心”或SDN控制器。 为了与控制器协调工作,安全产品应使用其他控制器中可用的北向接口或编排相关的架构以与其他网络协议以及其自身的核心网络数据流相协调。

  但是,SDN带来的挑战,例如VMware NSX或甚至是开源的Floodlight,都没有标准的北向接口。一个潜在的解决方案是如同Openstack Quantum这样的开源项目,提供包括北向API等一套的东西,但是作为一个SDN控制器进行服务,而是作为支持控制器的接口。 即便这样,不断重新定义数据流且能够实时进行也不是一种理想的方式利用SDN进行安全策略的执行,且会带来复杂与冗余。

  VXLAN与Overlay网络

  SDN的另一个不同的方面就是Network overlay(以及underlay),包括所提出的标准,如VXLAN与 NVGRE。VXLAN可以使2层子网作为隧道穿过3层网络与WAN/互联网,再次在物理网络之上建立抽象化的逻辑网络。VXLAN也可以越过之前谈到的4096 可寻址 ID的VLAN界限,扩展到超过1600万。

  在SDDC层面定义安全

  对于进行评估物理与虚拟安全的公司机构的几点考虑:

  固定 VS 可变的网络容量

  网络带宽是持续在增加的,但是并不意味这是一成不变的。 有多少数据中心网络流量是稳定的或可预测的,如员工的网络使用率?有多少是可变的,例如用户的需求,是否呈现季节性增长模式或是完全不可预测,例如在新的在线交易活动驱动或者市场活动期间? 在如今的性价比水平上,采取硬件的方式可以以绝对最低的成本提供固定的容量,然而虚拟设备在提供几乎无限制与高弹性的流量方面是无可比拟的,且潜在的没有任何现实的局限。

  网络拓扑

  整理网络拓扑结构是层级化(南北向)或是扁平化(东西向)?答案是否关系到当前的架构或未来的SDN与网络虚拟化的采用? 有多少在数据中心内网络带宽应用流量之间是可以横行平移,且多少是外部到互联网的或企业边界的?

  吞吐量 VS 延迟

  吞吐与延迟怎样才是一个平衡? 高性能的物理设备在可接受的最小化延迟内可以提供经济的北南向流量。同时虚拟设备可以实现东西向的流量,但是在网络使用较高的时间段,会造成vCPU/vRAM的瓶颈。

  合规情况

  用户在使用某项技术进行网络部署方面合规一些政府规定或行业规范?即使不需要,额外的信息审计是否会将某项新的技术的应用拖成代价昂贵且不实用的结果?

  企业在定义SDDC安全架构之前评估其数据中心方案,既符合当下又适应不久未来。在用户与供应商层面的采用还为时尚早,就网络安全层面而论,没有一个一劳永逸的通用答案。

0
相关文章