隨著軟件定義網(wǎng)絡(luò)(簡(jiǎn)稱(chēng)SDN)陣營(yíng)的不斷發(fā)展壯大，關(guān)于將全部用戶網(wǎng)絡(luò)設(shè)備替換為虛擬方案的討論也開(kāi)始成為重點(diǎn)議題并受到業(yè)界的廣泛關(guān)注。

Gartner公司分析師Joerg Fritsch針對(duì)這方面爭(zhēng)論提出了一個(gè)有趣的問(wèn)題：“安裝有虛擬機(jī)管理程序的計(jì)算節(jié)點(diǎn)是否已經(jīng)擁有足夠完善的安全機(jī)制，從而根據(jù)不同安全級(jí)別對(duì)各虛擬機(jī)系統(tǒng)加以隔離?”

Fritsch并沒(méi)有從SDN的角度出發(fā)審視這一問(wèn)題：他認(rèn)為多層應(yīng)用程序當(dāng)中的不同組件應(yīng)該采取差異化的安全要求。不過(guò)在他看來(lái)，在現(xiàn)有防火墻機(jī)制的支持之下、用戶完全可以考慮利用虛擬版本取代目前的網(wǎng)絡(luò)設(shè)備。

有鑒于此，我們是否需要解決虛擬機(jī)安全匱乏的問(wèn)題并為其選擇更具保障的主機(jī)托管方案?答案也許是肯定的，但實(shí)現(xiàn)這一目標(biāo)勢(shì)必需要投入大量資金。

Fritsch指出，各類(lèi)信譽(yù)良好的虛擬機(jī)管理程序都已經(jīng)在實(shí)踐中證明，要讓專(zhuān)用安全設(shè)備起到確切效果、每一位使用人員首先需要高度重視安全問(wèn)題。因此使用安全機(jī)制匱乏的虛擬機(jī)本身并不意味著我們的設(shè)置流程一定存在安全問(wèn)題。另外，安全機(jī)制調(diào)整的成本也不會(huì)太低：根據(jù)他的分析，大家在鞏固服務(wù)器安全性以及確保(安全性低下的)虛擬機(jī)只處理非關(guān)鍵性工作負(fù)載方面所投入的資源，已經(jīng)足以更購(gòu)買(mǎi)一到兩臺(tái)新服務(wù)器了。

他所得出的結(jié)論對(duì)于那些有意嘗試SDN的用戶似乎頗具參考價(jià)值。下面我們一起來(lái)看他的思路：

“首先，大家的數(shù)據(jù)肯定是要來(lái)自某處，對(duì)吧?各位的虛擬機(jī)也許與某種SAN機(jī)制相對(duì)接，這就要求我們對(duì)SAN進(jìn)行嚴(yán)格分區(qū)、否則所使用的SAN在與虛擬環(huán)境協(xié)作時(shí)將面臨崩潰的可能。另外，大家的網(wǎng)絡(luò)是否已經(jīng)做好了充分準(zhǔn)備?VLAN隔離呢?SR-IOV呢?如果大家真的希望讓自己的網(wǎng)絡(luò)跨越不同數(shù)據(jù)敏感級(jí)別，則必須將著眼點(diǎn)放得更遠(yuǎn)、而不能僅僅局限在虛擬機(jī)管理程序身上。也許管理程序本身反倒是最不需要關(guān)注的領(lǐng)域。”

當(dāng)然，SDN的設(shè)計(jì)目的在于幫助使用者更好地打理日常工作：例如大大簡(jiǎn)化VLAN管理并建立起速度更快、運(yùn)行更順暢的配置方案。有鑒于此，SDN很可能成為新型管理體制的有力推動(dòng)者，在這類(lèi)新型體制下、缺乏安全保障的虛擬機(jī)將能夠被定向至主機(jī)以及VLAN處，并在那里自由利用自有以及來(lái)自其它同類(lèi)系統(tǒng)中的計(jì)算資源——而且不至于衍生更多安全風(fēng)險(xiǎn)。如果能夠遵循這種處理思路，相信SDN完全值得一試。