目前,虚拟化技术正在企业中快速普及,云计算的应用也加快了步伐。据IDC今年亚太区CIO创新研究调查报告显示,接近70%的CIO表示未来两年会将云计算嵌入到业务运营当中。顺应这一趋势,新一代网络和安全将如何发展?在日前举办的NetEvents亚太媒体峰会上,全球领先的网络厂商汇聚一堂,数据中心网络、下一代网络安全和运营商以太网成为中心议题。
数据中心网络Fabric市场启动
Gartner曾表示,到2014年,80%的数据中心网络流量将是东西向的。然而现有的数据中心网络架构并不适应虚拟化所带来的流量变化,另外传统数据中心网络采用三层的架构,也不利于应用从一台设备迁移到另一台设备。因此,多家网络设备厂商已经推出或宣布将推出新一代的数据中心网络架构Fabric。
除了解决虚拟机迁移的问题之外,Brocade(博科)通讯系统公司副总裁兼首席市场官(CMO)John McHugh还指出:“通过建立数据中心Fabric,可以取消汇聚层,在大多数情况下,可以节省20-30%的网络设备,同时大幅减少成本。”
Extreme Networks也已经宣布了其数据中心架构Open Fabric。Extreme Networks技术副总裁Shehzad Merchant认为确实需要重新考虑数据中心网络的设计和运营问题:“显然,大二层网络会更好,可以优化东西流量,提供更好的弹性。”
网络仅仅是数据中心的一部分,因此HP全球技术营销总监Erik Papir认为要重视数据中心整体架构,不仅仅是网络。所以HP的数据中心策略是提倡融合础设施。其中网络部分称之为FlexNetwork,包括FlexFabric、FlexCampus、FlexBranch和FlexManagement。Erik Papir表示,HP已经有产品支持SPB,而待TRILL完善之后,也将推出支持TRILL的产品。
随着更多厂商产品的推出,数据中心Fabric市场已经启动。Brocade自年初开始,到现在已经有300多个用户部署安装了Brocade的数据中心Fabric解决方案。据Brocade亚太区副总裁Deb Dutta介绍,亚太地区的业务增长也非常快,目前已经有了40多个客户。截至到第三季度,VDX产品收入增长了716%。据Frost & Sullivan对亚太地区328名IT决策者进行的调查显示,有超过三分之一的受访者表示其企业计划在未来6个月内试点采用以太网Fabric的架构,另有25%的受访者表示他们打算在未来12个月内试用。
开放性的不同解读
就在多家厂商纷纷推出数据中心Fabric解决方案的时候,业界也存在不同的声音。在本次会议上,Arista 网络副总裁Douglas Gourlay就旗帜鲜明地提出了自己的看法:“用户不需要大二层网络,聪明的网络工程师是不会想要建设和运营这样的网络的。”
Arista 网络的数据中心解决方案使用基于IEEE链路聚合协议的M-LAG技术,是一个多厂商支持、完全开放的网络,而且能够提供数据中心关键的冗余性和单点管理。“有人说,为了虚拟化你需要大二层网络,我们不同意这种观点。我们通过软件就可在网络中任何服务器上迁移虚拟机,而且不用升级网络或改变网络架构。”Douglas Gourlay说道,“用户需要的是单点管理、可靠的、开放的、具有互操作性的网络。”
网络的发展一直都是基于开放标准和互操作性,而不是专有技术。在Douglas Gourlay看来,数据中心Fabric就意味着专有。不过其他厂商对Douglas Gourlay的结论并不认同,认为自己的Fabric并非专有。John McHugh称:“Brocade的架构是开放、多厂商的,兼容数据中心中的所有设备。”HP全球技术营销总监Erik Papir表示:“FlexFabric最重要的一点就是开放,支持与其他厂商的互操作性。”Extreme Networks技术副总裁Shehzad Merchant也强调:“架构开放至关重要,用户不能被锁定在专有架构上。所以我们的Fabric是Open Fabric。”虽然同样认同开放的重要性,但显然各方对开放的解读存在差异。如何判断,John McHugh表示:“我们认为现在应该由市场决定,来形成一个统一的标准。”
以太网将在云中担当重要角色
据Ovum预测,2011-2016年全球云计算市场达到2300亿美元,其中亚太地区占18%,约为420亿美元。来自思科的报告则称,到2015年云流量将占数据中心流量的33%以上。更大规模的虚拟化将是向云过渡的一个关键推动因素。
在全球大规模的云计算应用中,运营商以太网凭借其优势将大有可为。Ovum的首席分析师Matt Walker分析道,随着最终用户的应用转移到基于IP通信,以太网成为优选方案,代替了传统的SONET/SDH,运营商以太网将在云计算中担任重要角色。城域以太网论坛(MEF)总裁Nan Chen表示:“通过城域以太网可以连通多个数据中心,从而形成真正的虚拟化数据中心。”
当前成立已经10年的MEF正在为云运营商建立以太网标准,让新一代的运营商可以基于云服务,提供安全保障及区分业务等级的服务,并作为互联网业务的重要补充。Nan Chen预计:“通过提供创新的运营商级以太网服务,云服务提供商和运营商将开辟更广阔的新市场。”他还介绍了运营商级以太网多等级服务(Multi-CoS)、以太网移动回程和以太网批发服务等技术规范以及MEF运营商级以太网认证专业人士(CECP)认证计划所取得的最新进展。
下一代网络安全 防范新型恶意软件
当前的企业网络安全形势越来越复杂。当企业用各种方法保护数据中心的时候,发现直接对数据中心攻击的现象在减少。入侵者不再直接攻击安全基础设施,而是通过恶意软件攻击最终用户来获得访问数据中心的权限。
现在专业的入侵者首先使用社交媒体锁定某个员工,让用户打开一个为其专门定制的文档,例如PDF。第二步,这些文档会利用Adobe PDF Reader、PowerPoint或浏览器等应用程序的漏洞,运行恶意代码。第三步恶意代码会通过互联网下载后门程序,在用户电脑上安装木马。接下来恶意程序会与外部的入侵者建立命令与控制链接,如此就进入第五步,入侵者就可以通过获得用户权限进入数据中心。
在应对这种针对性攻击上,传统安全设备显得力不从心。“现在的安全设备可以很好地应对大规模的攻击,”Palo Alto网络公司创始人兼首席技术官Nir Zuk解释道,“而这种针对性攻击可能就是一个PDF文件,只进行了一次传输。”
当前文档传播途径多种多样,除了Web浏览和电子邮件外,还有Skype、Dropbox、SharePoint、WebEx等等。Nir Zuk认为,解决之道首先要保护所有应用,不仅是浏览和电子邮件。第二,响应时间非常关键。第三,必须采用自动化技术,解决人力的问题。这就需要完全自动化的分析流程,并对攻击响应。可以采用沙盒技术,让目标文件在虚拟机中运行,如果恶意软件作出可疑动作,软件就可以做出判断。接着会自动产生签名,包括IPS签名和反病毒软件签名。
为了阻止有针对性地恶意软件攻击,Palo Alto新推出了称为WildFire的技术,能够精确识别恶意软件产生的流量。“WildFire是一种云服务,”Nir Zuk介绍到,“我们在云中使用数千个CPU来自动分析文件。在试用的几个月时间里,我们发现了约700个以前未知的恶意软件。其中有57%当时没有被反病毒软件和IPS检测出来。”Nir Zuk认为,防范新型恶意软件,保护所有应用,且性能不受影响,是下一代防火墙的职责。
【编辑推荐】