2017，云安全的問題又成了廣大用戶關(guān)注的重點，交流和需求明顯的增多?？赡芤恢币詠恚还苁莻鹘y(tǒng)的網(wǎng)絡廠商，安全廠商還是云服務提供商，似乎始終沒給云安全提出過一個合理的架構(gòu)和解決方案，在經(jīng)歷了相當長一段時間的低谷期，伴隨著近期一些新老感念的熱炒，云安全似乎又重新占據(jù)了各個安全管理員的“心”。

[[214117]]

對于云安全，筆者不能說了如指掌，但也確實一直關(guān)注著其動向，希望借由此文，幫助廣大安全管理員對云安全有一個不同的認識。

一、SDN or NFV

眾所周知，SDN(software defined network，軟件定義網(wǎng)絡)、NFV(network function virtualization，網(wǎng)絡功能虛擬化)可以提升云平臺在管理，組網(wǎng)，以及協(xié)同上的能力;因此，在云平臺上引入SDN/NFV技術(shù)可以有效解決快速響應、資源調(diào)度、拓撲視圖、需求感知等多方面的問題，可以說，基于SDN/NFV技術(shù)的云平臺或者云數(shù)據(jù)中心是未來發(fā)展和演進的重要方向。

這里面不對SDN和NFV的概念、起源等做具體描述了，感興趣的可以通過強大的搜索引擎去學習，但兩者的區(qū)別還是要明確下的，具體如下圖(來源互聯(lián)網(wǎng))：

從上圖目標位置可以得出，SDN起源于園區(qū)網(wǎng)，成熟于數(shù)據(jù)中心，NFV多是一些電信運營商在做，這可能是很多安全廠商愿意往SDN上靠攏的原因，于是SDS(軟件定義安全)的概念很早就被提出，而就我以及我交流的這些用戶而言，大家更愿意把SDS理解成軟件定義存儲，且SDStorage軟件定義存儲已經(jīng)有較為成熟的解決方案，而SDSecurity軟件定義安全確始終還停留在理論實踐階段。

同樣，從上圖的適用范圍(初始化應用)，我們可以看到，SDN更多的處理的是OSI七層模型中的2-3層(網(wǎng)絡、數(shù)據(jù)鏈路)，而NFV更多的處理的是OSI七層模型中的4-7層，具體如下圖(來源于互聯(lián)網(wǎng)):

從上圖我們可以明顯的看出，對于網(wǎng)絡安全設備，如防火墻，入侵檢測/防御，WEB防護等更多的應該向NFV技術(shù)靠攏，然而，NFV同樣是分離數(shù)據(jù)和控制平面，但其主要模式是通過部署標準化網(wǎng)絡硬件平臺，從而使得許多網(wǎng)絡設備中的軟件可以按需安裝，修改，卸載，通過虛擬化軟件功能的自動編排實現(xiàn)靈活的業(yè)務擴展，這種模式，可能是網(wǎng)絡安全廠商不能接受或者說現(xiàn)階段不能接受的。

二、SDN + NFV?

通過上一章節(jié)簡單的對比可以得出，SDN和NFV是解決特定網(wǎng)絡問題的。

不同點：SDN通過控制和數(shù)據(jù)平面的分離實現(xiàn)集中的控制，而NFV是軟件和硬件的分離實現(xiàn)服務功能的虛擬化，即按需分配;

相同點：SDN/NFV都是架構(gòu)從封閉到開放，從獨享的硬件到共享的軟件。

互補性：從二者的適用范圍可以看出，兩者的互補性是極強的，兩者相加可以覆蓋OSI七層模式的各個層面，可以說NFV的實現(xiàn)，離不開SDN 技術(shù)在流量方面提供的靈活性，而用戶的業(yè)務功能的部署又需要依托于NFV架構(gòu)，由此可見，SDN+NFV似乎是一種更加合理的解決方案。

三、超融合

近些年出現(xiàn)的一些概念，如超融合、區(qū)塊鏈等，似乎與網(wǎng)絡的關(guān)系越來越少，而隨著網(wǎng)絡發(fā)展而發(fā)展的網(wǎng)絡安全，似乎更看不清自己的發(fā)展方向。

區(qū)塊鏈是數(shù)據(jù)存儲的應用模式，似乎和網(wǎng)絡，安全相距更遠，這里不多做介紹，超融合提供的是包括計算、存儲、網(wǎng)絡資源的平臺，網(wǎng)絡安全顯然是網(wǎng)絡資源的一部分，但目前主流的超融合方案全是計算與存儲的融合，哪怕像Cisoc，華為這樣的網(wǎng)絡廠商，超融合方案中涉及網(wǎng)絡的內(nèi)容都相對較少，這是為什么呢?記得前一陣在網(wǎng)上看到一篇文章，提的是以”計算為主導，存儲為區(qū)分，軟件為核心，網(wǎng)絡是未來“的發(fā)展軌跡，自己較為認同，可以說網(wǎng)絡是其中非常重要的的一環(huán)，只是在目前以性能為瓶頸的大背景下，將網(wǎng)絡功能融合進來似乎不太現(xiàn)實。

個人認為，超融合是SDN+NFV最佳實踐，底層是共享的計算資源，存儲資源以及網(wǎng)絡資源，中間層實現(xiàn)軟件定義存儲，軟件定義計算，軟件定義網(wǎng)絡等SDN功能，上層同樣使用標準話的商用硬件，實現(xiàn)NFV的功能，并進行統(tǒng)一管理。

顯然，超融合給出了一個相對合理的架構(gòu)和模型，而安全顯然是上層的一個主要應用，目前包括國內(nèi)外的一些廠商，已經(jīng)將安全作為其超融合解決方案的一部分，而安全超融合解決方案還需要不斷完善并經(jīng)受住市場的考研。

【本文是51CTO專欄作者“綠盟科技博客”的原創(chuàng)稿件，轉(zhuǎn)載請通過51CTO聯(lián)系原作者獲取授權(quán)】

戳這里，看該作者更多好文