技术分享

金山云 > 大数据 > 虚拟云安全的尴尬:东西向流量该如何引流

虚拟云安全的尴尬:东西向流量该如何引流

发布时间: 2020-01-18 18:01:03

云计算改变的不仅仅是计算和网络,对安全也产生了重大影响。影响之一是有了虚拟安全设备,而影响之二是从此之后需要考虑东西向安全。


最近这段时间来找我寻求云安全网络解决方案的安全厂商差不多得两只手才能数过来了,因为大家都有相同的苦恼,这个苦恼就是如何把东西向虚机流量牵引出去。


物理网络和物理安全时代,流量牵引到安全设备上很容易,即使到了云安全时代,要把南北向的流量牵引到安全设备上也很容易。我之前写过一篇文章TAP汇聚分流器,数据分析时代的辅助利器和另外一篇文章杀手级SDN应用:基于SDN的服务链,分别讲了旁路引流和逻辑串接引流的方式,so easy。 实现方式很简单,无非就是在核心设备旁挂分流器或者SDN交换机,进行策略引流。


但是东西向流量就不同了。如图所示,蓝色虚机之间的流量,根本就不经过核心出口交换机。没法在出口引流,有人说那可以在每台接入交换机上引流,先不说这样做的可行性,就算这样可行,如果同一台服务器内部的两台虚机流量直接内部交换了,也还是没辙。


V3meymy


所以真要将东西向流量牵引出去,最可行的做法还是在服务器内的虚拟交换机上做文章,纯粹从技术角度看,在虚机上做镜像,把流量通过vxlan导出去,送到一台支持vxlan终结的交换机上去,这台交换机把vxlan剥离后,送给旁挂的安全设备。这台交换机可以是SDN交换机,有可编程接口,用于联动。如下图绿色轨迹。


VfIBjyq


从技术的角度,这个方案也是比较容易的。但是现实很无奈,充满了很多别的因素。下面这两种情况导致了云安全厂商们都很苦恼。


1)不少云平台提供商并没有在虚拟交换机(比如OVS)里面提供出这样的接口,这就导致安全厂商没法去控制引流,有些有能力的安全厂商或者第三方公司(比如云杉)做了插件,但是很多客户不让在自己的云平台里面安装插件。


2)有些实力强的云计算大厂商,他们倒是做了引流的接口,但是这些厂商很多都自己有安全产品,不配合第三方安全厂商。


从甲方的角度,应该要想办法来引导。比如招标的时候,就要求所有的云平台都有引流接口,可以方便让第三方安全厂商来引流。而各个云平台厂商们自己也得争气,把引流的接口做好,方便让各个云安全厂商对接。


至于还有安全厂商想用这种方式做串接安全防护,那这个难度系数就不是一般的大了。还不如换种方式,把虚拟安全设备直接放到服务器里面去进行防护。当然,这个也需要跟云平台对接。

以上就是金山云为您带来的虚拟云安全的尴尬:东西向流量该如何引流的相关内容,如果您还想了解更多云安全,流量,云计算,虚拟云安全的尴尬:东西向流量该如何引流的相关问题您可以点击页面中的链接进行具体了解。金山云提供云服务器,云主机,云存储,私有云,数据库,物理主机,RDS,KS3,SLB,KEC的全套产品服务,部分产品可以免费体验,而且会有定期的优惠、代金券等相关的活动。成立7年来,金山云始终坚持以客户为中心的服务理念,提供安全、可靠、稳定、高品质的云计算服务。以上是对虚拟云安全的尴尬:东西向流量该如何引流相关介绍,如果觉得对您有帮助可以收藏。欢迎随时查看。
以上就是金山云为您带来的大数据的全部内容,如果还想了解更多内容可访问金山云官网www.ksyun.com了解其它资讯。
*免责声明:部分文章信息来源于网络以及网友投稿,本网站只负责对文章进行整理、排版、编辑,是出于传递更多信息之目的,并不意味着赞同其观点或证实其内容的真实性。如本站文章和转稿涉及版权等问题,请作者在及时联系本站,我们会尽快处理。