通信世界网讯(CWW)什么是网络?十年前这个问题很容易回答。今天,它不是那么容易。网络包括企业基础设施、运营商网络、云网络、和虚拟网络。网络什么都是 - 那也代表对组织实施网络或提供网络服务的挑战。实施和管理跨越多个建筑、多个运营商、和多个云提供商的连接已经够难了。当你希望这些连接都是安全的时候,你所面临的挑战是成倍增加的。
Alan Zeichick ,卡姆登联营公司(Camden Associates)首席分析师
管理大型的、多样化的由物理和虚拟连接组成的网络的新范式是 网络功能虚拟化(NFV, Network Functions Virtualization)[1] ,它包含了一组规范,这些规范是由欧洲电信标准协会(ETSI)赞助下的网络功能行业规范组(NFV ISG)所开发制定的。让我们来看看NFV意味着什么,并引入一个重要的扩展,网络功能虚拟化安全,或NFV-S。
网络功能虚拟化。 NFV背后的核心前提是,任何历史上在物理网络上需要专用的、专有的硬件的任何网络管理功能,应该能够通过软件在真实的或虚拟的网络上执行 - 并且通过标准接口以标准化的方式来执行。
NFV对专有的机架式网络盒的世界,诸如路由器、交换机、防火墙、和负载均衡器的世界造成翻天覆地的变化。NFV承诺,不使用专用的硬件,而是让大宗商品价格的基于PC的网络设备来提供本地网络、虚拟机、和云中相同的服务。
NFV背后的驱动是软件定义网络(SDN) ,它提供了一套开放的协议来连接基于软件的网络控制器与物理和虚拟网络设备,允许设备和拓扑发现,并启用连接和服务的快速配置和终止。 SDN和NFV是互补的举措。可以不用SDN的核心协议而实现NFV,但越来越多的服务提供商将在SDN上建立NFV。
由ETSI工作组从2012年10月推出其原始的概念以来,NFV为企业和网络服务供应商提出了真正的承诺。不仅NFV拆除了昂贵的专有网络设备之间的筒仓,而且它可以让网络运营商更快速地构建和提供网络服务、创建跨越多个网络的网络连接而无需考虑这些网络上网络设备的类型、以及降低运营成本和资本支出成本。
有关NFV更多的详细信息,请参阅ETSI “网络功能虚拟化(NFV)网络运营商对行业进展的观点”
越来越多的网络流量的流动正在发生变化。仅在几年前,企业(具有固定的高带宽线路)、消费者、和小型办公室(使用电缆调制解调器或基于电话的DSL)、和移动用户(使用WiFi或蜂窝数据网络)通过互联网连接到外部资源。互联网提供了到云、多租户托管服务、和虚拟机的链接。如今,企业数据中心越来越多地直接连接到云,通常通过在服务提供商的托管中心运行的云服务的本地实例。这些云服务再提供面向互联网的服务给客户,包括移动用户。这是一个新的范式,而且是完全改变服务供应商如何设计他们网络的新范式。这也是一个完美通过NFV实施的范式。
对于一些组织,敏捷是NFV背后的主要好处 - 他们可以快速提供和终止网络连接,并配置资源以跨越多个虚拟机和运营商网络。有些组织将专注于可扩展性,无论是向上还是向下:客户和运营商可以经济地按需要创建解决方案的大小。还有对于另外一些人,好处将是使用商品硬件而降低的成本 - 在许多情况下,完全不需要硬件就可以建立如路由器和负载均衡器等网络功能。服务供应商可以享受为他们的客户提供新服务的能力,无论客户是多么大或多么小,或这些客户在哪里。
安全是一个这样的服务。
网络功能虚拟化安全。 无论是局域网或广域网,安全是一个挑战。对于移动用户来说,他们经由蜂窝或WiFi网络连接,安全是一个巨大的顾虑。对于通过公共网络或通过专用管道连接到云服务提供商的数据中心而言,安全是一个大规模的挑战。随着现代解决方案架构桥接多个具备数据中心、局域网和移动网的云服务提供商,安全是一个偏头痛。
数据破坏和入侵行业杂志和主流报纸的头版 - 影响股价 - 没有任何一家企业的CEO或服务提供商的管理者可以经得起采用一个随便的方式来保护网络流量。在当今的虚拟化和基于云的世界里,NFV-S是受欢迎的、它是对NFV倡议的及时的和急需的扩展。
NFV-S ,由加拿大阿尔伯塔省卡尔加里的 稳捷网络(Wedge Networks) 首创,它利用NFV的所有重要属性,提供弹性、按需的安全服务,当威胁发生时可以立即控制和修复威胁。请记住NFV以软件实现了基本的网络功能,例如防火墙、路由器、和负载均衡器。这些功能可以在任何时点在虚拟网络中配置,在一瞬间就能连接虚拟服务器和真实服务器 - 并根据不断变化的交通状况和业务需求立即重新配置。
稳捷网络对NFV-S系统的愿景扩展了NFV的附加功能,全都围绕着安全 - 那些功能也可以在网络上的任何时点实施以连接真实设备和虚拟设备。
稳捷网络云安全平台™ (Wedge Networks Cloud Security Platform™)实现的功能,以及任何强大的NFV-S解决方案实现的功能,可以从逻辑上分为两类:基于流的和基于内容的。
• 基于流的功能集中在数据包报头,并且还研究单个的数据包的主体。该功能包括防病毒和反恶意软件、Web应用防火墙、和入侵检测/防御。
• 基于内容的功能,同时查看数据包和MIME编码对象,以检测恶意软件并应用数据丢失预防规则。
NFV-S可以保护移动设备、防止网络滥用、阻止结构化和非结构化数据的泄漏、并停止对网络的攻击 - 所有的功能对企业客户、网络服务提供商、和云公司是至关重要的。
保护网络。 SDN和NFV拆除不同类型网络之间的区别。网络可以是任何和一切东西。威胁可以在任何地方。无论攻击切入点来自互联网上或通过侵入云或本地局域网并不重要。重要的是制止攻击,而这也正是NFV-S的用武之地。因为NFV提供灵活性、节约成本、快速部署、和扩大规模(或缩小规模),在NFV-S中的安全功能可以由任何服务提供商和任何客户实施,不论需要保护的网络连接的位置、带宽、和持久性如何。
实施和管理跨越多个建筑、多个运营商、和多个云提供商的连接已经够难了。当你希望这些连接都是安全的时候,你所面临的挑战是成倍增加的。网络功能虚拟化安全,或NFV-S,是准备好迎接挑战的。
|
