在数据中心里,虚拟化使安全的边界模糊,在公有云里面有租户之间的隔离,租户内部的安全控制怎么做?现有的一些安全方案利用硬件去做,把租户之间的流量或者系统之间的流量去引流,然后做安全控制,它会引起一些效率的问题,流量引出来然后回溯回去,带来延时的影响。数据中心迁移也是特别大的问题。另外管理的问题。我们现在用管理系统管网络资源,但一个安全系统进来了,或一个负载均衡系统进来,它有自己的管理方法,怎么把管理融合?现在比较好的做法,就是把系统提供出去,让集成更加简单一点。
第一点就是SDN(软件定义网络)。SDN给数据中心安全带来一个契机,原来模糊的边界因为SDN变成一个有结构的网络,使得安全能够重新找到一个着力点。另外它能够使得网络资源和存储资源和计算资源一样,被用户分割使用。
第二点是NFV,网络功能的虚拟化。原来在网络的功能和安全功能,比如路由交换,以前是用硬件实现,在这种情况下是不是需要用软件实现? 目前在NFV的框架下,如果实现安全大概可以分为两种。一是把安全设备打包成一个VM;一是在内部做安全。
基于VM的防火墙比较简单,因为原代码跟硬件都是一样的,可以同时服务南北向、东西向流量,每个租户不是互相影响。但有明显的缺陷,首先是单个VM, 受限于你数据中心里面跑的最快的服务器,他没有办法保证对于突发的响应。
对于内部的做法也有局限性,因为它相当于一个操作系统内核,如果它崩溃了,整个机器上所有的VM都崩溃了。所以一般在上面提供安全,相对来说比较安全,做一些简单的设备控制这样的功能。
NFV的发展方向,从单虚拟机向多虚拟机发展,分布式的发展。首先性能可以弹性扩展,通过将多个VM集成以后提供给很多租户,达到资源更好利用。分布式带来一个好处,它解决了NFV想要达到这个目的,而且能够在云的弹性环境下,可以实现这个功能。