云计算改变的不仅仅是计算和网络,对安全也产生了重大影响。影响之一是有了虚拟安全设备,而影响之二是从此之后需要考虑东西向安全。

最近这段时间来找我寻求云安全网络解决方案的安全厂商差不多得两只手才能数过来了,因为大家都有相同的苦恼,这个苦恼就是如何把东西向虚机流量牵引出去。

物理网络和物理安全时代,流量牵引到安全设备上很容易,即使到了云安全时代,要把南北向的流量牵引到安全设备上也很容易。我之前写过一篇文章TAP汇聚分流器,数据分析时代的辅助利器 和另外一篇文章杀手级SDN应用:基于SDN的服务链,分别讲了旁路引流和逻辑串接引流的方式,so easy。 实现方式很简单,无非就是在核心设备旁挂分流器或者SDN交换机,进行策略引流。

但是东西向流量就不同了。如图所示,蓝色虚机之间的流量,根本就不经过核心出口交换机。没法在出口引流,有人说那可以在每台接入交换机上引流,先不说这样做的可行性,就算这样可行,如果同一台服务器内部的两台虚机流量直接内部交换了,也还是没辙。

所以真要将东西向流量牵引出去,最可行的做法还是在服务器内的虚拟交换机上做文章,纯粹从技术角度看,在虚机上做镜像,把流量通过vxlan导出去,送到一台支持vxlan终结的交换机上去,这台交换机把vxlan剥离后,送给旁挂的安全设备。这台交换机可以是SDN交换机,有可编程接口,用于联动。如下图绿色轨迹。

从技术的角度,这个方案也是比较容易的。但是现实很无奈,充满了很多别的因素。下面这两种情况导致了云安全厂商们都很苦恼。

1)不少云平台提供商并没有在虚拟交换机(比如OVS)里面提供出这样的接口,这就导致安全厂商没法去控制引流,有些有能力的安全厂商或者第三方公司(比如云杉)做了插件,但是很多客户不让在自己的云平台里面安装插件。

2)有些实力强的云计算大厂商,他们倒是做了引流的接口,但是这些厂商很多都自己有安全产品,不配合第三方安全厂商。

从甲方的角度,应该要想办法来引导。比如招标的时候,就要求所有的云平台都有引流接口,可以方便让第三方安全厂商来引流。而各个云平台厂商们自己也得争气,把引流的接口做好,方便让各个云安全厂商对接。

至于还有安全厂商想用这种方式做串接安全防护,那这个难度系数就不是一般的大了。还不如换种方式,把虚拟安全设备直接放到服务器里面去进行防护。当然,这个也需要跟云平台对接。

声明:本文来自跨界网工笔记,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。