编者按：作者细数目前数据中心中所存在的问题，针对这些问题简单的分享了自己的建议。作者认为利用SDN和NFV可以给数据中心网络安全带来契机，有效的改善目前的问题。

在数据中心里，虚拟化使安全的边界模糊，在公有云里面有租户之间的隔离，租户内部的安全控制怎么做?现有的一些安全方案利用硬件去做，把租户之间的流量或者系统之间的流量去引流，然后做安全控制，它会引起一些效率的问题，流量引出来然后回溯回去，带来延时的影响。数据中心迁移也是特别大的问题。另外管理的问题。我们现在用管理系统管网络资源，但一个安全系统进来了，或一个负载均衡系统进来，它有自己的管理方法，怎么把管理融合?现在比较好的做法，就是把系统提供出去，让集成更加简单一点。

第一点就是SDN(软件定义网络)。SDN给数据中心安全带来一个契机，原来模糊的边界因为SDN变成一个有结构的网络，使得安全能够重新找到一个着力点。另外它能够使得网络资源和存储资源和计算资源一样，被用户分割使用。

第二点是NFV，网络功能的虚拟化。原来在网络的功能和安全功能，比如路由交换，以前是用硬件实现，在这种情况下是不是需要用软件实现? 目前在NFV的框架下，如果实现安全大概可以分为两种。一是把安全设备打包成一个VM;一是在内部做安全。

基于VM的防火墙比较简单，因为原代码跟硬件都是一样的，可以同时服务南北向、东西向流量，每个租户不是互相影响。但有明显的缺陷，首先是单个VM， 受限于你数据中心里面跑的最快的服务器，他没有办法保证对于突发的响应。

对于内部的做法也有局限性，因为它相当于一个操作系统内核，如果它崩溃了，整个机器上所有的VM都崩溃了。所以一般在上面提供安全，相对来说比较安全，做一些简单的设备控制这样的功能。

NFV的发展方向，从单虚拟机向多虚拟机发展，分布式的发展。首先性能可以弹性扩展，通过将多个VM集成以后提供给很多租户，达到资源更好利用。分布式带来一个好处，它解决了NFV想要达到这个目的，而且能够在云的弹性环境下，可以实现这个功能。

 
转载自：比特网