[[129783]]

在數(shù)據(jù)中心里，虛擬化使安全的邊界模糊，在公有云里面有租戶之間的隔離，租戶內部的安全控制怎么做?現(xiàn)有的一些安全方案利用硬件去做，把租戶之間的流量或者系統(tǒng)之間的流量去引流，然后做安全控制，它會引起一些效率的問題，流量引出來然后回溯回去，帶來延時的影響。數(shù)據(jù)中心遷移也是特別大的問題。另外管理的問題。我們現(xiàn)在用管理系統(tǒng)管網(wǎng)絡資源，但一個安全系統(tǒng)進來了，或一個負載均衡系統(tǒng)進來，它有自己的管理方法，怎么把管理融合?現(xiàn)在比較好的做法，就是把系統(tǒng)提供出去，讓集成更加簡單一點。

 第一點就是SDN（軟件定義網(wǎng)絡）。SDN給數(shù)據(jù)中心安全帶來一個契機，原來模糊的邊界因為SDN變成一個有結構的網(wǎng)絡，使得安全能夠重新找到一個著力點。另外它能夠使得網(wǎng)絡資源和存儲資源和計算資源一樣，被用戶分割使用。

第二點是NFV，網(wǎng)絡功能的虛擬化。原來在網(wǎng)絡的功能和安全功能，比如路由交換，以前是用硬件實現(xiàn)，在這種情況下是不是需要用軟件實現(xiàn)? 目前在NFV的框架下，如果實現(xiàn)安全大概可以分為兩種。一是把安全設備打包成一個VM;一是在內部做安全。

基于VM的防火墻比較簡單，因為原代碼跟硬件都是一樣的，可以同時服務南北向、東西向流量，每個租戶不是互相影響。但有明顯的缺陷，首先是單個VM， 受限于你數(shù)據(jù)中心里面跑的最快的服務器，他沒有辦法保證對于突發(fā)的響應。

對于內部的做法也有局限性，因為它相當于一個操作系統(tǒng)內核，如果它崩潰了，整個機器上所有的VM都崩潰了。所以一般在上面提供安全，相對來說比較安全，做一些簡單的設備控制這樣的功能。

NFV的發(fā)展方向，從單虛擬機向多虛擬機發(fā)展，分布式的發(fā)展。首先性能可以彈性擴展，通過將多個VM集成以后提供給很多租戶，達到資源更好利用。分布式帶來一個好處，它解決了NFV想要達到這個目的，而且能夠在云的彈性環(huán)境下，可以實現(xiàn)這個功能。