各種規(guī)模和類型的企業(yè)和組織都處于幾場網(wǎng)絡(luò)革命的陣痛之中,而網(wǎng)絡(luò)虛擬化是所有這些革命的核心。
勒索軟件和其他惡意軟件的日益流行使企業(yè)重新考慮網(wǎng)絡(luò)安全,包括在數(shù)據(jù)中心的網(wǎng)絡(luò)安全。這種增長有助于激發(fā)人們對零信任架構(gòu)的興趣。DevOps及其衍生后代(即NetOps、DevSecOps、SecDevOps和DevNetSecOps)的持續(xù)興起,將基礎(chǔ)設(shè)施即代碼(IaC)的理念帶到了最前沿。
那么,這些舉措如何適應(yīng)網(wǎng)絡(luò)虛擬化呢?
數(shù)據(jù)中心的虛擬網(wǎng)絡(luò)并不新鮮
虛擬網(wǎng)絡(luò)是一個經(jīng)常被重新發(fā)現(xiàn)或重新創(chuàng)建的概念。從本質(zhì)上說,虛擬網(wǎng)絡(luò)系統(tǒng)使IT團隊能夠在共享物理網(wǎng)絡(luò)上覆蓋多個邏輯網(wǎng)絡(luò)。IT團隊可能會實施虛擬網(wǎng)絡(luò)來隔離端點的子集,以出于安全原因或滿足特定協(xié)議或應(yīng)用程序的需求。
網(wǎng)絡(luò)虛擬化技術(shù)至少可以追溯到上世紀80年代,包括以太網(wǎng)虛擬LAN(VLAN)和MPLS。
數(shù)據(jù)中心虛擬網(wǎng)絡(luò)的前進道路在于從人工管理的VLAN到策略驅(qū)動的虛擬化的過渡。
典型的數(shù)據(jù)中心在虛擬網(wǎng)絡(luò)中暢游。幾十年來,VLAN一直是數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)計的標準功能。服務(wù)器虛擬化也變得司空見慣,用于在主機服務(wù)器內(nèi)和主機服務(wù)器之間創(chuàng)建新的虛擬化層。
采用SDN策略
軟件定義網(wǎng)絡(luò)(SDN)的理念是網(wǎng)絡(luò)控制器和網(wǎng)絡(luò)數(shù)據(jù)平臺(實際移動數(shù)據(jù)包的部分)應(yīng)該彼此分離,從而實現(xiàn)對分布式網(wǎng)絡(luò)行為的集中控制。
SDN與簡單地集中管理網(wǎng)絡(luò)交換機配置不同,因為它假定數(shù)據(jù)平臺設(shè)備的自主性是有限的,而不是協(xié)調(diào)管理。SDN的理念是,任何網(wǎng)絡(luò)都可以支持大量的覆蓋,并且應(yīng)該能夠靈活、動態(tài)地控制端口如何映射到虛擬網(wǎng)絡(luò),以及通過虛擬網(wǎng)絡(luò)提供哪些服務(wù)。
SDN在最初被認為是一種開源策略,用于企業(yè)在數(shù)據(jù)中心和LAN上獲得更多對網(wǎng)絡(luò)的控制。其目標是通過使網(wǎng)絡(luò)架構(gòu)獨立于任何一個供應(yīng)商的架構(gòu)和功能集,在網(wǎng)絡(luò)供應(yīng)商的嚴密控制下獲得對網(wǎng)絡(luò)架構(gòu)的控制。
開放和跨平臺戰(zhàn)略催生了無數(shù)的實現(xiàn)——OpenvSwitch、OpenDaylight、開放網(wǎng)絡(luò)操作系統(tǒng)等,并取得了足夠的進展,迫使供應(yīng)商將基本的控制平臺-數(shù)據(jù)平臺模型投入通用。這些策略也讓初創(chuàng)公司接受了這種模式。
然而,企業(yè)首先采用SDN的地方不是數(shù)據(jù)中心,而是WAN。自從2015年以來,軟件定義的WAN已將SDN概念注入企業(yè)WAN戰(zhàn)略。
以下探索數(shù)據(jù)中心內(nèi)的三個網(wǎng)絡(luò)虛擬化計劃。
(1)基礎(chǔ)設(shè)施即代碼(IaC):更多的虛擬化方式和手段
隨著Docker等軟件容器的普及,覆蓋概念現(xiàn)在已經(jīng)在基礎(chǔ)設(shè)施中深入了一層,為容器間通信創(chuàng)建了另一層網(wǎng)絡(luò)。DevOps的興起使基礎(chǔ)設(shè)施即代碼(IaC)的想法變得突出。
基礎(chǔ)設(shè)施即代碼(IaC)的想法是,部署軟件以控制容器和虛擬機之間的虛擬網(wǎng)絡(luò)團隊應(yīng)該像管理環(huán)境中的其他代碼組件一樣管理它們。這帶來了一層與它們所服務(wù)的容器處于相同時間尺度的虛擬網(wǎng)絡(luò)。它還產(chǎn)生了用于管理這種虛擬化的新工具和概念,例如服務(wù)網(wǎng)格。
(2)零信任:虛擬化的最終狀態(tài)
在真正的零信任環(huán)境中,只有經(jīng)過批準的通信才會在網(wǎng)絡(luò)上進行。任何給定的應(yīng)用程序、用戶或端點只能與預(yù)先獲得許可的其他應(yīng)用程序、用戶和端點通信。因此,除非環(huán)境被告知允許特定對話,否則對話會被阻止。
在網(wǎng)絡(luò)層面,零信任可以轉(zhuǎn)化為稱為軟件定義邊界(SDP)的概念。使用軟件定義邊界(SDP),如果端點A向端點B發(fā)送數(shù)據(jù)包,但沒有告知B接受來自A的數(shù)據(jù)包,則B忽略或丟棄這些數(shù)據(jù)包。對于節(jié)點A,節(jié)點B在網(wǎng)絡(luò)上不可見。如果允許B和A進行通信,它們將通過加密隧道進行。在這種情況下,每次通信都通過一個點對點虛擬網(wǎng)絡(luò)(一個雙節(jié)點VLAN)進行。
(3)推進數(shù)據(jù)中心發(fā)展的虛擬網(wǎng)絡(luò)
數(shù)據(jù)中心虛擬網(wǎng)絡(luò)的前進道路在于從人工管理的VLAN到策略驅(qū)動的虛擬化的過渡。這種轉(zhuǎn)變將通過跨平臺的SDN控制器和自動化工具實現(xiàn)(盡管可能來自供應(yīng)商而非開源)服務(wù)網(wǎng)格和基礎(chǔ)設(shè)施即代碼(IaC)。零信任的需求、向容器和微服務(wù)的轉(zhuǎn)變以及對網(wǎng)絡(luò)工程師的日益嚴格的時間限制,將使這種轉(zhuǎn)變成為必要。
