云安全如何站队：SDN or NFV

2017，云安全的问题又成了广大用户关注的重点，交流和需求明显的增多。可能一直以来，不管是传统的网络厂商，安全厂商还是云服务提供商，似乎始终没给云安全提出过一个合理的架构和解决方案，在经历了相当长一段时间的低谷期，伴随着近期一些新老感念的热炒，云安全似乎又重新占据了各个安全管理员的“心”。

[[214117]]

对于云安全，笔者不能说了如指掌，但也确实一直关注着其动向，希望借由此文，帮助广大安全管理员对云安全有一个不同的认识。

一、SDN or NFV

众所周知，SDN(software defined network，软件定义网络)、NFV(network function virtualization，网络功能虚拟化)可以提升云平台在管理，组网，以及协同上的能力;因此，在云平台上引入SDN/NFV技术可以有效解决快速响应、资源调度、拓扑视图、需求感知等多方面的问题，可以说，基于SDN/NFV技术的云平台或者云数据中心是未来发展和演进的重要方向。

这里面不对SDN和NFV的概念、起源等做具体描述了，感兴趣的可以通过强大的搜索引擎去学习，但两者的区别还是要明确下的，具体如下图(来源互联网)：

从上图目标位置可以得出，SDN起源于园区网，成熟于数据中心，NFV多是一些电信运营商在做，这可能是很多安全厂商愿意往SDN上靠拢的原因，于是SDS(软件定义安全)的概念很早就被提出，而就我以及我交流的这些用户而言，大家更愿意把SDS理解成软件定义存储，且SDStorage软件定义存储已经有较为成熟的解决方案，而SDSecurity软件定义安全确始终还停留在理论实践阶段。

同样，从上图的适用范围(初始化应用)，我们可以看到，SDN更多的处理的是OSI七层模型中的2-3层(网络、数据链路)，而NFV更多的处理的是OSI七层模型中的4-7层，具体如下图(来源于互联网):

从上图我们可以明显的看出，对于网络安全设备，如防火墙，入侵检测/防御，WEB防护等更多的应该向NFV技术靠拢，然而，NFV同样是分离数据和控制平面，但其主要模式是通过部署标准化网络硬件平台，从而使得许多网络设备中的软件可以按需安装，修改，卸载，通过虚拟化软件功能的自动编排实现灵活的业务扩展，这种模式，可能是网络安全厂商不能接受或者说现阶段不能接受的。

二、SDN + NFV?

通过上一章节简单的对比可以得出，SDN和NFV是解决特定网络问题的。

不同点：SDN通过控制和数据平面的分离实现集中的控制，而NFV是软件和硬件的分离实现服务功能的虚拟化，即按需分配;

相同点：SDN/NFV都是架构从封闭到开放，从独享的硬件到共享的软件。

互补性：从二者的适用范围可以看出，两者的互补性是极强的，两者相加可以覆盖OSI七层模式的各个层面，可以说NFV的实现，离不开SDN 技术在流量方面提供的灵活性，而用户的业务功能的部署又需要依托于NFV架构，由此可见，SDN+NFV似乎是一种更加合理的解决方案。

三、超融合

近些年出现的一些概念，如超融合、区块链等，似乎与网络的关系越来越少，而随着网络发展而发展的网络安全，似乎更看不清自己的发展方向。

区块链是数据存储的应用模式，似乎和网络，安全相距更远，这里不多做介绍，超融合提供的是包括计算、存储、网络资源的平台，网络安全显然是网络资源的一部分，但目前主流的超融合方案全是计算与存储的融合，哪怕像Cisoc，华为这样的网络厂商，超融合方案中涉及网络的内容都相对较少，这是为什么呢?记得前一阵在网上看到一篇文章，提的是以”计算为主导，存储为区分，软件为核心，网络是未来“的发展轨迹，自己较为认同，可以说网络是其中非常重要的的一环，只是在目前以性能为瓶颈的大背景下，将网络功能融合进来似乎不太现实。

个人认为，超融合是SDN+NFV最佳实践，底层是共享的计算资源，存储资源以及网络资源，中间层实现软件定义存储，软件定义计算，软件定义网络等SDN功能，上层同样使用标准话的商用硬件，实现NFV的功能，并进行统一管理。

显然，超融合给出了一个相对合理的架构和模型，而安全显然是上层的一个主要应用，目前包括国内外的一些厂商，已经将安全作为其超融合解决方案的一部分，而安全超融合解决方案还需要不断完善并经受住市场的考研。

【本文是专栏作者“绿盟科技博客”的原创稿件，转载请通过联系原作者获取授权】

戳这里，看该作者更多好文