云計(jì)算改變的不僅僅是計(jì)算和網(wǎng)絡(luò)，對(duì)安全也產(chǎn)生了重大影響。影響之一是有了虛擬安全設(shè)備，而影響之二是從此之后需要考慮東西向安全。

最近這段時(shí)間來找我尋求云安全網(wǎng)絡(luò)解決方案的安全廠商差不多得兩只手才能數(shù)過來了，因?yàn)榇蠹叶加邢嗤目鄲?，這個(gè)苦惱就是如何把東西向虛機(jī)流量牽引出去。

物理網(wǎng)絡(luò)和物理安全時(shí)代，流量牽引到安全設(shè)備上很容易，即使到了云安全時(shí)代，要把南北向的流量牽引到安全設(shè)備上也很容易。我之前寫過一篇文章?TAP匯聚分流器，數(shù)據(jù)分析時(shí)代的輔助利器?和另外一篇文章?殺手級(jí)SDN應(yīng)用：基于SDN的服務(wù)鏈?，分別講了旁路引流和邏輯串接引流的方式，so easy。 實(shí)現(xiàn)方式很簡單，無非就是在核心設(shè)備旁掛分流器或者SDN交換機(jī)，進(jìn)行策略引流。

但是東西向流量就不同了。如圖所示，藍(lán)色虛機(jī)之間的流量，根本就不經(jīng)過核心出口交換機(jī)。沒法在出口引流，有人說那可以在每臺(tái)接入交換機(jī)上引流，先不說這樣做的可行性，就算這樣可行，如果同一臺(tái)服務(wù)器內(nèi)部的兩臺(tái)虛機(jī)流量直接內(nèi)部交換了，也還是沒轍。

所以真要將東西向流量牽引出去，最可行的做法還是在服務(wù)器內(nèi)的虛擬交換機(jī)上做文章，純粹從技術(shù)角度看，在虛機(jī)上做鏡像，把流量通過vxlan導(dǎo)出去，送到一臺(tái)支持vxlan終結(jié)的交換機(jī)上去，這臺(tái)交換機(jī)把vxlan剝離后，送給旁掛的安全設(shè)備。這臺(tái)交換機(jī)可以是SDN交換機(jī)，有可編程接口，用于聯(lián)動(dòng)。如下圖綠色軌跡。

從技術(shù)的角度，這個(gè)方案也是比較容易的。但是現(xiàn)實(shí)很無奈，充滿了很多別的因素。下面這兩種情況導(dǎo)致了云安全廠商們都很苦惱。

1）不少云平臺(tái)提供商并沒有在虛擬交換機(jī)（比如OVS）里面提供出這樣的接口，這就導(dǎo)致安全廠商沒法去控制引流，有些有能力的安全廠商或者第三方公司（比如云杉）做了插件，但是很多客戶不讓在自己的云平臺(tái)里面安裝插件。

2）有些實(shí)力強(qiáng)的云計(jì)算大廠商，他們倒是做了引流的接口，但是這些廠商很多都自己有安全產(chǎn)品，不配合第三方安全廠商。

從甲方的角度，應(yīng)該要想辦法來引導(dǎo)。比如招標(biāo)的時(shí)候，就要求所有的云平臺(tái)都有引流接口，可以方便讓第三方安全廠商來引流。而各個(gè)云平臺(tái)廠商們自己也得爭氣，把引流的接口做好，方便讓各個(gè)云安全廠商對(duì)接。

至于還有安全廠商想用這種方式做串接安全防護(hù)，那這個(gè)難度系數(shù)就不是一般的大了。還不如換種方式，把虛擬安全設(shè)備直接放到服務(wù)器里面去進(jìn)行防護(hù)。當(dāng)然，這個(gè)也需要跟云平臺(tái)對(duì)接。

來源：安全內(nèi)參