數據中心在虛擬化與云計算以及軟件定義網(wǎng)絡(luò )(SDN)這樣的新技術(shù)驅動(dòng)下迅速發(fā)展。與此同時(shí)也顛覆了數據中心的網(wǎng)絡(luò )安全的設計與部署。
軟件定義網(wǎng)絡(luò )(SDN:Software-Defined Networking)
虛擬化與云計算方興未艾,另一項技術(shù)模式軟件定義網(wǎng)絡(luò )(Software-Defined Networking)(或外沿更為寬泛為軟件定義數據中心)的提出已然同樣帶來(lái)諸多的改變。SDN,SDDC、網(wǎng)絡(luò )虛擬化以及網(wǎng)絡(luò )功能虛擬化(NFV:network function virtualization)- 這些意味著(zhù),于安全又有怎樣的影響?
網(wǎng)絡(luò )虛擬化
要談網(wǎng)絡(luò )虛擬化應該從服務(wù)器虛擬化的歷史談起。服務(wù)器虛擬化或更確切的是x86虛擬化、物理計算硬件的抽象化,也就是x86 CPU、芯片與RAM;以及管理程序層面的從OS與應用都等同于虛擬,例如vCPU以及vRAM等。把這些虛擬的集合封裝到一個(gè)VM的容器中,且與其他容器相隔離,從而實(shí)現了相比硬件組合更經(jīng)濟的方式。基于此,虛擬化網(wǎng)絡(luò )中便有了虛擬化的交換機,也就是一種如何讓多個(gè)vNIC共享一個(gè)物理接口卡的一種邏輯上的機制。但這并不是x86服務(wù)器的虛擬化,畢竟,一個(gè)板載的x86網(wǎng)絡(luò )硬件是NIC或以太網(wǎng)適配器,并不是一個(gè)交換機,作為最早的虛擬化產(chǎn)品,例如VMware虛擬機是沒(méi)有虛擬交換的(且現在也沒(méi)有)。
廠(chǎng)商與用戶(hù)都快速的發(fā)現虛擬化網(wǎng)絡(luò )可以提供除了硬件合并以外的其他網(wǎng)絡(luò )方面的優(yōu)勢,例如帶寬資源池、冗余、NIC冗余等,且虛擬化網(wǎng)絡(luò )的功能快速擴展。但是虛擬化網(wǎng)絡(luò )仍然是服務(wù)器虛擬化的副產(chǎn)品,虛擬化交換機如果獨立于管理程序vmkernel外仍然不是一個(gè)真正的軟件交換。虛擬網(wǎng)絡(luò )實(shí)際上仍然要依靠物理網(wǎng)絡(luò ),而不能反向行之(例如,依賴(lài)物理網(wǎng)絡(luò )去定義802.1Q VLAN)。
網(wǎng)絡(luò )虛擬化將虛擬化網(wǎng)絡(luò )提升到一般的部署層面且集中在物理網(wǎng)絡(luò )層,例如交換機與路由。類(lèi)似,如同x86服務(wù)器,網(wǎng)絡(luò )端口抽象化為虛擬端口,可邏輯上與虛擬交換相結合。網(wǎng)絡(luò )層hypervisor也可以甚至獨立于x86的hypervisor平臺而存在,或甚至可以在沒(méi)有服務(wù)器虛擬化的環(huán)境下,雖然現如今采用網(wǎng)絡(luò )虛擬化的任何的數據中心同樣會(huì )使用虛擬化服務(wù)器。
網(wǎng)絡(luò )虛擬化中兩個(gè)關(guān)鍵的話(huà)題是OpenFlow與overlay networks
OpenFlow - 將控制與數據層虛擬化
OpenFlow模式下,對管理層面解耦合的邏輯抽象或通過(guò)網(wǎng)絡(luò )層hypervisor或SDN控制器抽象化控制層。OpenFlow是被推薦的通信標準之一,也就是通過(guò)在SDN控制器之間定義各個(gè)廠(chǎng)商層面需要的客戶(hù)端服務(wù)器API接口,這樣便會(huì )在固定的物理交換機/接口之間定義或控制數據流。大多數網(wǎng)絡(luò )硬件廠(chǎng)商都接受了OpenFlow,但是并不是全部的廠(chǎng)商都使用公開(kāi)的標準為驅動(dòng)產(chǎn)出價(jià)值。
數據流控制提供了一種集成安全設備的方式,例如網(wǎng)絡(luò )監控或邏輯網(wǎng)絡(luò )內部的在線(xiàn)的防火墻設備;但是,安全產(chǎn)品應不能使用Openflow協(xié)議(或南向接口)直接去在網(wǎng)絡(luò )接口對流量進(jìn)行修改,也就是說(shuō),根本上作為一個(gè)OpenFlow客戶(hù)端應只有一個(gè)“指揮控制中心”或SDN控制器。為了與控制器協(xié)調工作,安全產(chǎn)品應使用其他控制器中可用的北向接口或編排相關(guān)的架構以與其他網(wǎng)絡(luò )協(xié)議以及其自身的核心網(wǎng)絡(luò )數據流相協(xié)調。
但是,SDN帶來(lái)的挑戰,例如VMware NSX或甚至是開(kāi)源的Floodlight,都沒(méi)有標準的北向接口。一個(gè)潛在的解決方案是如同Openstack Quantum這樣的開(kāi)源項目,提供包括北向API等一套的東西,但是作為一個(gè)SDN控制器進(jìn)行服務(wù),而是作為支持控制器的接口。 即便這樣,不斷重新定義數據流且能夠實(shí)時(shí)進(jìn)行也不是一種理想的方式利用SDN進(jìn)行安全策略的執行,且會(huì )帶來(lái)復雜與冗余。
VXLAN與Overlay網(wǎng)絡(luò )
SDN的另一個(gè)不同的方面就是Network overlay(以及underlay),包括所提出的標準,如VXLAN與 NVGRE.VXLAN可以使2層子網(wǎng)作為隧道穿過(guò)3層網(wǎng)絡(luò )與WAN/互聯(lián)網(wǎng),再次在物理網(wǎng)絡(luò )之上建立抽象化的邏輯網(wǎng)絡(luò )。VXLAN也可以越過(guò)之前談到的4096 可尋址 ID的VLAN界限,擴展到超過(guò)1600萬(wàn)。
在SDDC層面定義安全
對于進(jìn)行評估物理與虛擬安全的公司機構的幾點(diǎn)考慮:
- 固定 VS 可變的網(wǎng)絡(luò )容量
網(wǎng)絡(luò )帶寬是持續在增加的,但是并不意味這是一成不變的。有多少數據中心網(wǎng)絡(luò )流量是穩定的或可預測的,如員工的網(wǎng)絡(luò )使用率?有多少是可變的,例如用戶(hù)的需求,是否呈現季節性增長(cháng)模式或是完全不可預測,例如在新的在線(xiàn)交易活動(dòng)驅動(dòng)或者市場(chǎng)活動(dòng)期間?在如今的性?xún)r(jià)比水平上,采取硬件的方式可以以絕對最低的成本提供固定的容量,然而虛擬設備在提供幾乎無(wú)限制與高彈性的流量方面是無(wú)可比擬的,且潛在的沒(méi)有任何現實(shí)的局限。
- 網(wǎng)絡(luò )拓撲
整理網(wǎng)絡(luò )拓撲結構是層級化(南北向)或是扁平化(東西向)?答案是否關(guān)系到當前的架構或未來(lái)的SDN與網(wǎng)絡(luò )虛擬化的采用?有多少在數據中心內網(wǎng)絡(luò )帶寬應用流量之間是可以橫行平移,且多少是外部到互聯(lián)網(wǎng)的或企業(yè)邊界的?
- 吞吐量 VS 延遲
吞吐與延遲怎樣才是一個(gè)平衡?高性能的物理設備在可接受的最小化延遲內可以提供經(jīng)濟的北南向流量。同時(shí)虛擬設備可以實(shí)現東西向的流量,但是在網(wǎng)絡(luò )使用較高的時(shí)間段,會(huì )造成vCPU/vRAM的瓶頸。
- 合規情況
用戶(hù)在使用某項技術(shù)進(jìn)行網(wǎng)絡(luò )部署方面合規一些政府規定或行業(yè)規范?即使不需要,額外的信息審計是否會(huì )將某項新的技術(shù)的應用拖成代價(jià)昂貴且不實(shí)用的結果?
企業(yè)在定義SDDC安全架構之前評估其數據中心方案,既符合當下又適應不久未來(lái)。在用戶(hù)與供應商層面的采用還為時(shí)尚早,就網(wǎng)絡(luò )安全層面而論,沒(méi)有一個(gè)一勞永逸的通用答案。
