軟體定義資料中心（SDDC）的網絡安全

軟體定義資料中心(SDDC)的安全性可以通過多種形式來保障，身份和通路管理來對使用者行為進行控制，作業系統安全性來保護虛拟伺服器以及資料安全性，以保護資料和資訊安全。本文将會介紹SDDC體系架構中的網絡安全性，将介紹微分段、可視化、可擴充政策和自動化的概念，以佐證所有基礎設施虛拟化時安全性的演變。

<a href="http://s4.51cto.com/oss/201710/23/bf897fc6d4f7316cf1e2abf6431f8300.jpg-wh_651x-s_2530495123.jpg" target="_blank"></a>

首先來看企業IT安全性的變化，如何适應現代軟體定義的架構。資料中心的安全性通常由個别專用裝置組成，資料通過這些裝置進行過濾，進而掃描惡意行為。單獨配置其他網絡裝置，如路由器和交換機，将進一步硬化網絡。

這種方式的問題是，一個網絡裝置上的單個配置錯誤可能會導緻整個資料中心受到影響。通過軟體定義網絡(SDN)在SDDC中發揮關鍵作用，一個主要的優點是統一控制器，用于管理資料中心網絡的方方面面，當然也包括了安全功能。管理者可以專注于管理一組安全政策，可以将其推送到資料中心的所有部分，而不是配置各個網絡裝置。

這也導緻了SDDC網絡安全的特定領域：微分段。SDN的優勢在于軟體，而不是硬體，是控制網絡路由和政策的方式。是以，整個資料中心可以以任意數量的方式進行邏輯分段。微分段将資料中心網絡分解為邏輯部分，然後可以基于類似的安全政策将這些分段組合在一起。

微分段執行各種元件和應用程式的邏輯分離，同時建立和分組政策控制資料中心内的網絡安全，SDN控制器根據網絡裝置的政策自動推出特定規則。

SDN技術實作的單一窗格優勢也擴充到網絡可視化領域，由于SDN控制器的智能化，将政策推動到網絡裝置，是以在配置監控和日志記錄功能時可以減輕負擔。事實上，SDDC架構可以打破傳統的安全監控方式。預設情況下，較新的流量可視化和資料流工具利用虛拟化來檢視真個資料中心的端到端，這使得管理更為簡單，故障排除更快，合規性得以簡化。

網絡自動化是資料中心安全問題快速反應的關鍵技術，一方面能夠自動化釋出安全警報的過程，另一方面使用人工智能和M2M自動化安全事件修複。SDDC的架構模式使得這一切成為可能，從網絡的角度來看，可以自動阻止或隔離惡意活動以進行其他安全掃描。

此外，使用者可以跟蹤網絡上發生的任何違規行為，以檢視受到影響的資料、應用程式和伺服器，以便将這些部分與資料中心其他部分快速隔離，以便進行追溯修複。此外，影響網絡功能的任何惡意行為如拒絕服務攻擊等，可以通過在資料中心内的未受影響的網絡鍊路重新路由加以處理。

軟體定義的技術可以顯著簡化資料中心内安全事件的部署、管理和故障排除。多年來，網絡安全日益複雜化。SDDC安全性将有助于通過利用網絡功能虛拟化(NFV)、自動化、人工智能和集中管理的進步來消除許多複雜性。

本文作者：佚名

來源：51CTO