随着软件定义网络(简称SDN)阵营的不断发展壮大,关于将全部用户网络设备替换为虚拟方案的讨论也开始成为重点议题并受到业界的广泛关注。
Gartner公司分析师Joerg Fritsch针对这方面争论提出了一个有趣的问题:“安装有虚拟机管理程序的计算节点是否已经拥有足够完善的安全机制,从而根据不同安全级别对各虚拟机系统加以隔离?”
Fritsch并没有从SDN的角度出发审视这一问题:他认为多层应用程序当中的不同组件应该采取差异化的安全要求。不过在他看来,在现有防火墙机制的支持之下、用户完全可以考虑利用虚拟版本取代目前的网络设备。
有鉴于此,我们是否需要解决虚拟机安全匮乏的问题并为其选择更具保障的主机托管方案?答案也许是肯定的,但实现这一目标势必需要投入大量资金。
Fritsch指出,各类信誉良好的虚拟机管理程序都已经在实践中证明,要让专用安全设备起到确切效果、每一位使用人员首先需要高度重视安全问题。因此使用安全机制匮乏的虚拟机本身并不意味着我们的设置流程一定存在安全问题。另外,安全机制调整的成本也不会太低:根据他的分析,大家在巩固服务器安全性以及确保(安全性低下的)虚拟机只处理非关键性工作负载方面所投入的资源,已经足以更购买一到两台新服务器了。
他所得出的结论对于那些有意尝试SDN的用户似乎颇具参考价值。下面我们一起来看他的思路:
“首先,大家的数据肯定是要来自某处,对吧?各位的虚拟机也许与某种SAN机制相对接,这就要求我们对SAN进行严格分区、否则所使用的SAN在与虚拟环境协作时将面临崩溃的可能。另外,大家的网络是否已经做好了充分准备?VLAN隔离呢?SR-IOV呢?如果大家真的希望让自己的网络跨越不同数据敏感级别,则必须将着眼点放得更远、而不能仅仅局限在虚拟机管理程序身上。也许管理程序本身反倒是最不需要关注的领域。”
当然,SDN的设计目的在于帮助使用者更好地打理日常工作:例如大大简化VLAN管理并建立起速度更快、运行更顺畅的配置方案。有鉴于此,SDN很可能成为新型管理体制的有力推动者,在这类新型体制下、缺乏安全保障的虚拟机将能够被定向至主机以及VLAN处,并在那里自由利用自有以及来自其它同类系统中的计算资源——而且不至于衍生更多安全风险。如果能够遵循这种处理思路,相信SDN完全值得一试。
