云计算改变的不仅仅是计算和网络,对安全也产生了重大影响。影响之一是有了虚拟安全设备,而影响之二是从此之后需要考虑东西向安全。

最近这段时间来找我寻求云安全网络解决方案的安全厂商差不多得两只手才能数过来了,因为大家都有相同的苦恼,这个苦恼就是如何把东西向虚机流量牵引出去。

物理网络和物理安全时代,流量牵引到安全设备上很容易,即使到了云安全时代,要把南北向的流量牵引到安全设备上也很容易。我之前写过一篇文章 TAP汇聚分流器,数据分析时代的辅助利器 和另外一篇文章 杀手级SDN应用:基于SDN的服务链 ,分别讲了旁路引流和逻辑串接引流的方式,so easy。 实现方式很简单,无非就是在核心设备旁挂分流器或者SDN交换机,进行策略引流。

但是东西向流量就不同了。如图所示,蓝色虚机之间的流量,根本就不经过核心出口交换机。没法在出口引流,有人说那可以在每台接入交换机上引流,先不说这样做的可行性,就算这样可行,如果同一台服务器内部的两台虚机流量直接内部交换了,也还是没辙。

V3meymy

所以真要将东西向流量牵引出去,最可行的做法还是在服务器内的虚拟交换机上做文章,纯粹从技术角度看,在虚机上做镜像,把流量通过vxlan导出去,送到一台支持vxlan终结的交换机上去,这台交换机把vxlan剥离后,送给旁挂的安全设备。这台交换机可以是SDN交换机,有可编程接口,用于联动。如下图绿色轨迹。

VfIBjyq

从技术的角度,这个方案也是比较容易的。但是现实很无奈,充满了很多别的因素。下面这两种情况导致了云安全厂商们都很苦恼。

1)不少云平台提供商并没有在虚拟交换机(比如OVS)里面提供出这样的接口,这就导致安全厂商没法去控制引流,有些有能力的安全厂商或者第三方公司(比如云杉)做了插件,但是很多客户不让在自己的云平台里面安装插件。

2)有些实力强的云计算大厂商,他们倒是做了引流的接口,但是这些厂商很多都自己有安全产品,不配合第三方安全厂商。

从甲方的角度,应该要想办法来引导。比如招标的时候,就要求所有的云平台都有引流接口,可以方便让第三方安全厂商来引流。而各个云平台厂商们自己也得争气,把引流的接口做好,方便让各个云安全厂商对接。

至于还有安全厂商想用这种方式做串接安全防护,那这个难度系数就不是一般的大了。还不如换种方式,把虚拟安全设备直接放到服务器里面去进行防护。当然,这个也需要跟云平台对接。

相关阅读:

公共云安全仍然是组织关注的主要问题  

微软推出Azure云安全实验室,漏洞奖金提高至4万美元  

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排 行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2023-08-11 18:23:36
云资讯 阿里巴巴发布2024 Q1业绩,阿里云收入251.23亿元
阿里云收入增长4%至251.23亿元,经调整EBITA利润增长106%至3.87亿元。 <详情>
2023-08-02 08:44:58
云资讯 国家发改委:支持民营企业牵头承担云计算、人工智能、工业互联网等攻关任务
值得一提的是,《通知》指出,支持民营企业参与重大科技攻关,牵头承担工业软件、云计算、人工智能、工业互联网、基因和细胞医疗、新型储能等领域的攻关任务。 <详情>
2023-07-31 09:45:08
云资讯 云计算产业发展趋势及对运营商云业务的发展启示
随着新一轮科技革命与产业变革的蓬勃发展,经济社会数字化转型进程深入推进,作为数字化转型关键信息基础设施的云计算业务迎来广阔增长空间。 <详情>
2023-07-28 08:52:05
云资讯 《云计算白皮书(2023年)》:我国云计算市场处于快速发展期
7月25日,中国信通院发布《云计算白皮书(2023年)》(以下简称《白皮书》),《白皮书》聚焦过去一年多来云计算产业的新发展新变化,总结梳理国内外云计算政策、市场、技 <详情>
2023-07-25 15:25:54
云资讯 中国电信与国家信息中心共同发布国信政务云
下一步,双方将从科技支撑、智慧化应用创新和敏捷专业贴身服务全方位建设并运营好“国信政务云”。 <详情>