云计算改变的不仅仅是计算和网络,对安全也产生了重大影响。影响之一是有了虚拟安全设备,而影响之二是从此之后需要考虑东西向安全。

最近这段时间来找我寻求云安全网络解决方案的安全厂商差不多得两只手才能数过来了,因为大家都有相同的苦恼,这个苦恼就是如何把东西向虚机流量牵引出去。

物理网络和物理安全时代,流量牵引到安全设备上很容易,即使到了云安全时代,要把南北向的流量牵引到安全设备上也很容易。我之前写过一篇文章 TAP汇聚分流器,数据分析时代的辅助利器 和另外一篇文章 杀手级SDN应用:基于SDN的服务链 ,分别讲了旁路引流和逻辑串接引流的方式,so easy。 实现方式很简单,无非就是在核心设备旁挂分流器或者SDN交换机,进行策略引流。

但是东西向流量就不同了。如图所示,蓝色虚机之间的流量,根本就不经过核心出口交换机。没法在出口引流,有人说那可以在每台接入交换机上引流,先不说这样做的可行性,就算这样可行,如果同一台服务器内部的两台虚机流量直接内部交换了,也还是没辙。

V3meymy

所以真要将东西向流量牵引出去,最可行的做法还是在服务器内的虚拟交换机上做文章,纯粹从技术角度看,在虚机上做镜像,把流量通过vxlan导出去,送到一台支持vxlan终结的交换机上去,这台交换机把vxlan剥离后,送给旁挂的安全设备。这台交换机可以是SDN交换机,有可编程接口,用于联动。如下图绿色轨迹。

VfIBjyq

从技术的角度,这个方案也是比较容易的。但是现实很无奈,充满了很多别的因素。下面这两种情况导致了云安全厂商们都很苦恼。

1)不少云平台提供商并没有在虚拟交换机(比如OVS)里面提供出这样的接口,这就导致安全厂商没法去控制引流,有些有能力的安全厂商或者第三方公司(比如云杉)做了插件,但是很多客户不让在自己的云平台里面安装插件。

2)有些实力强的云计算大厂商,他们倒是做了引流的接口,但是这些厂商很多都自己有安全产品,不配合第三方安全厂商。

从甲方的角度,应该要想办法来引导。比如招标的时候,就要求所有的云平台都有引流接口,可以方便让第三方安全厂商来引流。而各个云平台厂商们自己也得争气,把引流的接口做好,方便让各个云安全厂商对接。

至于还有安全厂商想用这种方式做串接安全防护,那这个难度系数就不是一般的大了。还不如换种方式,把虚拟安全设备直接放到服务器里面去进行防护。当然,这个也需要跟云平台对接。

相关阅读:

公共云安全仍然是组织关注的主要问题  

微软推出Azure云安全实验室,漏洞奖金提高至4万美元  

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排 行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2019-08-07 09:19:00
国内资讯 你还单身,但这些云计算公司已经结婚了
娱乐圈忙着分手离婚,云计算圈却忙着结婚,七夕快乐 <详情>
2019-08-07 09:16:00
运营商 不限量套餐取消:运营商的生存逻辑
上周,中国电信宣布推出取消达量降速规则的畅享套餐,并提供了更加优惠的套外资费(低至3元/GB)。中国移动和中国联通表示后续也会调整跟进。 <详情>
2019-08-07 08:56:27
云技术 时至今日,你对混合云是不是还有什么误解?
2006年8月,被定义为“互联网第三次革命”的云计算首次闯入了人们的视野。在此后发展的十多年间,无论是颠覆我们生活的互联网企业,还是积极拥抱变化的传统行业,都将云计 <详情>
2019-08-06 16:16:29
Saas SaaS步入快车道 企业如何实现“上云”?
近年来,随着云计算和大数据的发展,云服务作为助推业务创新、企业升级的动力覆盖到了越来越多的领域。企业为了紧追技术变革,寻求新的发展机遇,纷纷向“云”敞开了怀抱。 <详情>
2019-08-06 13:33:37
运营商 IPv6部署在全球推进迅速,全球IPv6发展形势如何?
国外权威机构统计数据显示,近年来IPv6 部署在全球推进迅速,主要发达国家IPv6部署率持续稳步提升,部分发展中国家推进迅速,比利时、美国等国家IPv6部署率已超过50%, Goo <详情>