[[129783]]

在數(shù)據(jù)中心里，虛擬化使安全的邊界模糊，在公有云里面有租戶(hù)之間的隔離，租戶(hù)內(nèi)部的安全控制怎么做?現(xiàn)有的一些安全方案利用硬件去做，把租戶(hù)之間的流量或者系統(tǒng)之間的流量去引流，然后做安全控制，它會(huì)引起一些效率的問(wèn)題，流量引出來(lái)然后回溯回去，帶來(lái)延時(shí)的影響。數(shù)據(jù)中心遷移也是特別大的問(wèn)題。另外管理的問(wèn)題。我們現(xiàn)在用管理系統(tǒng)管網(wǎng)絡(luò)資源，但一個(gè)安全系統(tǒng)進(jìn)來(lái)了，或一個(gè)負(fù)載均衡系統(tǒng)進(jìn)來(lái)，它有自己的管理方法，怎么把管理融合?現(xiàn)在比較好的做法，就是把系統(tǒng)提供出去，讓集成更加簡(jiǎn)單一點(diǎn)。

 第一點(diǎn)就是SDN（軟件定義網(wǎng)絡(luò)）。SDN給數(shù)據(jù)中心安全帶來(lái)一個(gè)契機(jī)，原來(lái)模糊的邊界因?yàn)镾DN變成一個(gè)有結(jié)構(gòu)的網(wǎng)絡(luò)，使得安全能夠重新找到一個(gè)著力點(diǎn)。另外它能夠使得網(wǎng)絡(luò)資源和存儲(chǔ)資源和計(jì)算資源一樣，被用戶(hù)分割使用。

第二點(diǎn)是NFV，網(wǎng)絡(luò)功能的虛擬化。原來(lái)在網(wǎng)絡(luò)的功能和安全功能，比如路由交換，以前是用硬件實(shí)現(xiàn)，在這種情況下是不是需要用軟件實(shí)現(xiàn)? 目前在NFV的框架下，如果實(shí)現(xiàn)安全大概可以分為兩種。一是把安全設(shè)備打包成一個(gè)VM;一是在內(nèi)部做安全。

基于VM的防火墻比較簡(jiǎn)單，因?yàn)樵a跟硬件都是一樣的，可以同時(shí)服務(wù)南北向、東西向流量，每個(gè)租戶(hù)不是互相影響。但有明顯的缺陷，首先是單個(gè)VM， 受限于你數(shù)據(jù)中心里面跑的最快的服務(wù)器，他沒(méi)有辦法保證對(duì)于突發(fā)的響應(yīng)。

對(duì)于內(nèi)部的做法也有局限性，因?yàn)樗喈?dāng)于一個(gè)操作系統(tǒng)內(nèi)核，如果它崩潰了，整個(gè)機(jī)器上所有的VM都崩潰了。所以一般在上面提供安全，相對(duì)來(lái)說(shuō)比較安全，做一些簡(jiǎn)單的設(shè)備控制這樣的功能。

NFV的發(fā)展方向，從單虛擬機(jī)向多虛擬機(jī)發(fā)展，分布式的發(fā)展。首先性能可以彈性擴(kuò)展，通過(guò)將多個(gè)VM集成以后提供給很多租戶(hù)，達(dá)到資源更好利用。分布式帶來(lái)一個(gè)好處，它解決了NFV想要達(dá)到這個(gè)目的，而且能夠在云的彈性環(huán)境下，可以實(shí)現(xiàn)這個(gè)功能。