（机房360编译）现如今，世界各地的企业纷纷都选择从传统的物理数据中心迁移到虚拟基础架构，这影响着数据中心堆栈的每一个层。这种变化不仅会产生一个可扩展的，弹性的环境，同时也将增加了可持续性和安全性。这种新的融合的数据中心，有时也被称为软件定义的数据中心(SDDC)，其通过一个单一的仪表盘集中管理和控制功能需求​​和资源的分配。为了确保SDDC是可持续的、安全的，需要一种新的方法来管理数据中心的IT，而现在，没有比软件定义网络(SDN)更适合的了。

　　传统的数据中心依赖基于网络安全的设备在物理网络实施相关的战略。而SDN具备动态适应能力，引入新的抽象层，避免了传统路由对于更全面安全的需要的实现。网络安全必须是多功能且适应性强的，以便确保安全控制可以针对融合数据中心相关事件的改变做出反应。这种讨论特别侧重于SDN组件如何提供相关的机会，以提高网络安全控制和对法规的遵从，而与此同时企业也会随着技术专家的角色的转变而发生变革，并考虑何时在虚拟计算和网络架构中部署安全控制。

　　新的融合数据中心一览

　　新的融合数据中心，或软件定义的数据中心，是一个数据存储设施，其中所有基础设施元素——网络、存储、CPU和安全均是虚拟化和服务交付。部署、配置和操作整个数据中心的基础设施是从硬件中抽象的，并通过软件来实现。网络虚拟化是通过将可用带宽拆分成多个渠道，且每个渠道均是彼此独立的，可以实时地分配到一个特定的服务器或设备，对于一个网络中的可用资源进行组合的概念。

　　过渡到一个软件定义的环境始于对数据中心需要怎样的技术能力改变的了解。当大多数IT专业人士谈到SDN时，通常是以SDDC为背景的。没有适当的安全机制的SDN环境，只会使数据中心专业人士感到迷茫。功能管理需要标准化的架构，以及组件对于虚拟化和自动化方法的支持。例如，不同于传统网络的默认状态为“开放”，因此需要防火墙提供隔离和分割，SDN的默认状态为 “关闭”。只有当设备之间显示是连接状态时，其定义它们之间可以进行数据交流。所以防火墙和网络流量监控的功能必须适应网络流量。建立一个虚拟网络，并企图利用传统的设备加强安全，阻碍虚拟功能和破坏过程的自动化，同时提供很少的可视性和控制内部的虚拟过程是没有任何意义的。确定采用正确的技术控制是与选择基础设备以支持虚拟策略同样重要的。为了最大限度地提高效率和投资回报，企业必须从一开始就构建一个安全策略作为软件定义的环境的一部分。

　　网络安全在SDN环境的新机遇

　　软件定义的网络承诺高效的管理功能，以及简单和快速的执行，故而引起了供应商和消费者们的关注。而在构建和部署一个SDN时，有许多因素需要考虑。安全性是其中的一个重要组成部分，在SDN环境下，需要一种新方法来实现。在一个基本的层面，SDN的定义是一个独立于控制面板之外的数据面板，能够基于软件进行集中的控制。命令从控制器发出并传送回数据面板，并在交换机和路由器进行执行。最终，这种方法从一个完整的网络的角度为管理员提供了能够中央控制，集中更改的功能，而无需在每个交换机或路由器进行以设备为中心的配置变化。虽然一些供应商采取了更为直接的战术方法，即通过API提供了直接访问硬件的方法，但此方法不允许中央控制和且具有专属性质。

　　网络的中央控制是通过控制面板的逻辑集中功能完成的，使得网络管理员能够作为一个单一的实体处理网络设备池。通过一个全局抽象层，而不是通过OpenFlow协议使用单独的设备，然后控制网络流量。中央命令通过提供这种单点指令和执行简化了网络管理。网络配置成为可以实现的，能够比以往任何时候更为精确的掌握流量需求和带宽限制。所有这些功能将有助于IT工作团队面对今天不断发展的挑战;利用SDN的基本概念，确保了安全和对相关规定的遵守，带来了易于管理的机会。

　　确保安全控制是多功能且适应性强的，并能应对网络事件的变化是融合数据中心的重要组成部分。软件定义的安全性(SDS)能够满足这些需求，并从虚拟基础架构中保护网络。SDS的安全有三大特点：(1)利用逻辑分区，依靠SDDC的API (2)实现基于策略的多功能软件定义控件的连续监测和风险减轻，(3)部署在尽可能低的水平上的虚拟交换机结构。然后，依从性可以通过对安全的事件流的连续监测与适当的框架控制实现。

　　逻辑分区

　　逻辑分段，或信任区域的概念，是与软件定义的数据中心的概念一致的。信任区域是合乎逻辑的，灵活的政策不断检测并分配所有的虚拟机。它们通过SDDC的API与软件定义的安全紧密集成。这种自动分区机制，确保所有虚拟机能够被识别并分配到一个策略组，提供实时库存和安全保障。通过细分的信任区域提供了对所有的虚拟网络、网络设备、系统组件和云中的敏感数据的准确掌握和管理。

　　信任区域可以与SDN逻辑分组，如思科的应用为中心的基础设施架构(ACI)使用的终端组(EPG)。它们可以确保资产自动继承容器设置的安全策略，其中所述容器可被定义为EPG。适当的分割要求即使超出范围的系统组件被破坏，也不影响一个信任区域敏感数据的安全性。围绕信任区域的自动化提供了一个重要的好处作为对任何违反ACI政策变化控制的补偿，因为对于快速连续变化的虚拟基础架构而言，手动跟踪几乎是不可能的。另外一个好处是独立的审计和控制，以保证准确的库存映射，从而使所有系统和网络的网络流程图自动生成。毕竟，如果融合数据中心不可能完成，手工绘制精确的网络流量更是不切实际的。

　　基于策略的控制

　　信任区域能自动分配虚拟资产的政策可以集中控制软件定义的安全，使其能够自动而精确地执行这些政策，保护敏感数据，无论其如何被处理，存储并在虚拟环境中传播。信任区域是自动的，基于资产的任何属性。而在SDS基于策略的安全控制是精心策划的，持续监控整个虚拟环境的网络组件，以确保遵守政策。连续监测的好处是能够立即发现可能影响企业安全性和违反相关功能规定的变化。政策可以包括自动映射到监管标准，并必须包括漏洞管理，虚拟机上的基于网络的检查和管理程序配置。之后可以执法手动或自动的基于策略的行动，以降低风险，并保持对于安全策略和合规性的警惕。

　　虚拟架构的部署

　　在虚拟交换结构，软件定义的安全部署和管理控制在最低水平，以确保最高水平的能见度以及对于软件定义的网络中的活动的控制。从单一的处理hub和接口进行管理，为企业提供了显著的运营效率的提升。从一个简化的基础设施开始，以支持安全控制和对虚拟环境相关规定的遵从。基于软件的安全有一个最小的处理足迹，很容易被现有的IT平台托管。利用多功能的安全，企业可以得到最大覆盖范围的系统化，而无需部署和管理多个工具。自动化的库存跟踪和监测可以准确报告需求。融合的数据中心技术人员以及安全合规管理人员可以专注于一个单一的接口，以促使企业效率的提升。

　　以一种焦点一致的敏捷的方式应用预定的规则和相关政策，并实施自动监控，数据中心的安全软件具有广泛的适应性和弹性。投资软件定义的环境只针对遗留安全方法实施不仅会被证明是无效的，同时对于安全形势和合规模型也是有害的。考虑到引人注目的驱动向SDDC模式过渡的因素具备瞬间适应企业需要的能力和要求。利用这个概念，企业在制定安全性策略时应该没有任何问题了。

　　企业角色的变化和转变

　　随着虚拟化技术的出现，数据中心架构的改变也导致了企业角色的转变。软件定义的网络和软件定义的安全为现有的IT人员接受改变并扩大他们的投资组合提供了一个机会。软件定义的数据中心极大的改变了网络管理员、安全管理和操作员传统的责任和角色定位。为了让IT人员有效地发挥其功能，他们必须了解和管理这些角色定位的变化。而这些变化非但没有减少他们的责任或者改变他们状况变得糟糕，软件定义的数据中心实际上为他们职责范围的扩大提供了一个机会。

　　传统业务和管理程序管理与网络和软件定义数据中心中的安全管理的整合需要一个工作流程的转变。其重点已经由工作流程管理转向前瞻性的开发管理，支持系统的提升和改进方向了。从历史上看，IT企业已经在网络拓扑变化控制方面有了多级审批流程，并已经投入了资源，以调整设备或事件验证防止误报。应用程序基于网络的局限性，软件定义的网络和安全性已经成为了焦点。随着预定义的自动执行规则能力的增强，现在网络可以根据应用程序的需求进行设计。 IT部门可以花费更少的时间在业务运营方面，而将更多的时间用来构建高效的应用程序。IT人员还可以通过扩展自己的角色定位，成为在融合基础设施管理的领导，进而为企业做出更大的贡献。

　　采用SDN需要思考的五大关键问题

　　随着企业计划迁移到虚拟化的系统和软件定义的网络，其对于他们更好的认清自己所面临的现实挑战有帮助的。为了能够利用软件定义的环境所带来的好处，环境架构师应该考虑以下几点：

　　1、漏洞：一个融合网络将秉承所以操作系统共同的漏洞。必须对补丁管理和配置更改引起更大的关注，并得到彻底的执行。连续监测是至关重要的，其可以用适当的正确的工具来自动完成。

　　2、访问控制：一个SDN的单一访问点妥协可以导致更广泛的访问。因此，系统必须施加身份验证和授权，实施强有力的访问控制策略。最好是使用基于角色的授权机制来分配访问级别，权限和特权。

　　3、故障转移：针对SDN运行失败进行设计，其中包括足够的备份来快速恢复，容错和故障转移功能。

　　4、控制面板：控制面板需要提升权限。管理SDN控制面板之外的包括路径分离正常的流量。从SDN删除所有默认配置，因为这都是常见的信息。

　　5、活动日志：实施日志记录机制和网络流量分析来跟踪活动和报告对相关规定的遵守情况。连续监测，确保快速针对任何错误或未经授权的活动采取措施。

　　结论

　　对于任何技术进步，其操作必须能够随着数据中心的发展而发展，其无疑是适应软件定义网络的关键。更具体地说，软件定义的数据中心是要制定一套计划，不仅需要解决基础设施的要求，而且还需要支持安全性及合规政策方面的要求。虚拟架构所带来的新的安全漏洞可以通过合适的工具集来管理。更好的安全性的实现将随着对于安全风险和法规的遵从增加。也许最重要的是，传统的工艺可以通过提高运营效率，促进更多的团队成员从以流程管理为重点转移到应用开发的改进和创新得到显著改善。

　　在过渡到融合的数据中心的过程中，安全的实现和企业面临的机遇会因为相关变化是必需的而令人生畏。解决方案正在不断改进，以便能够支持一个更安全、更坚实的虚拟架构。关键是要适应相关的变化，最终，将有助于数据中心和技术人员在行业内获得更大的竞争优势。

　　责任编辑：Mary