6.3 安全和监控

安全和监控是网络领域一直重大的研究课题，监控是对网络的各种流量进行统计识别，安全则是在监控的基础上对异常流量的适当处理，并保证正常流量的转发。

从业务安全上，如何说服客户将自己的业务尤其是核心业务的敏感数据搬到云平台，尤其是公有云平台上，本身就是个巨大的难题，这不仅仅涉及信息安全问题也涉及商业核心机密方面的保障问题；虽然可以用客户的财政金钱存进了银行此类例子来试图说服客户将业务搬到云平台上，但是从隐秘性而言，客户存钱到银行只是一部分业务类似，因为有些信息对客户而言可能根本上就不想让其他公司的人甚至非公司核心人员掌握，甚至于这些信息的存在都不想被低信任级别的人员知晓；所以从这点来看，云计算业务市场肯定是公有云与私有云同在，公有云跑用户不敏感的业务以减少维护和运营的成本，而私有云上则布置核心业务来保障对公司核心业务数据的安全性，那么如何将公有云和私有云统一管理和底层网络的互通则是摆在人们面前的难题，所以将来的云市场在混合云方面的发展和需求是趋势。

从技术的实现上，传统网络无论是企业内网还是数据中心的网络，在入口处都需要防火墙防止外网的入侵和木马病毒的肆虐，对于提供向外网用户提供服务的网络设备还需要用流量清洗系统对DDoS攻击进行识别和防御；这些安全问题在云计算的虚拟网络一样存在，而且虚拟网络里的安全和物理网络有些不同，最大的差异在于物理网络可以随时通过MIRROR等方式进行监控，而虚拟网络的流量监控因为是在一个服务器内部，无法通过插拔线缆方式来监控和定位，虽然现在Neutron中可以通过Open vSwitch等支持MIRROR和sFlow等流量监控功能，但是监控流量转发到物理服务器外部也需要占用网卡的带宽和CPU等资源，势必对物理服务器的资源规划产生影响；另外为了让监控平台尽量少占用云计算的资源，监控分析部分的系统会尽量布置到云计算系统之外的物理服务器上，这样做也是对监控系统稳定和性能的一个重要保障，但是云计算网络的某些流量尤其是内网流量，比如某个租户在同一个服务器的两台VM之间的东西流量，这些流量需要被识别和监控到就会有点复杂，一方面是采集服务器的内网流量（比如一个租户分布在同一个计算节点里同一个隔离域内的两台VM之间的通信流量）非常困难，并且流量采集信息大时会占用外卡数据带宽，并可能导致无法进行流量统计分析，另一方面则是流量采集的方式很可能引起租户对其业务安全和数据保密的担忧、从而导致无法部署流量采集，最后则是当流量采用Overlay新技术进行隔离时，若要对这种网络环境里的流量实现监控就需要对OTV数据流进行识别和统计，这就需要后买新的硬件，而在物理设备上加大投资。

这些问题都是向云计算研发厂商、云计算网络设备商、云计算监控设备商或云计算安全厂商抛出的挑战，如何保证云计算网络中用户VM里的业务稳定运行前提下，向用户提供包括物理服务器、租户虚拟机、物理交换机和虚拟交换机等硬件设备的监控和保证租户虚拟机运营业务的网络安全的服务，值得每个云计算网络监控和安全相关研发从业者思考。