云计算时代的安全变革:东西向流量防护的挑战与突破
云计算带来的变革不仅体现在计算和网络领域,更对安全体系产生了深远影响。其中两个核心变化尤为突出:一是虚拟安全设备的兴起,二是东西向流量安全成为必须考量的新维度。
近期,寻求云安全网络解决方案的厂商数量激增,他们面临的共同难题是:如何有效牵引东西向虚拟机流量,以实现安全防护。
一、流量牵引的难易之分:南北向与东西向的差异
在物理网络和物理安全时代,流量牵引至安全设备的操作相对简单;即便进入云安全时代,南北向流量(如外部用户与数据中心之间的流量)的牵引也并非难事。
此前在《TAP 汇聚分流器,数据分析时代的辅助利器》和《杀手级 SDN 应用:基于 SDN 的服务链》中,已分别介绍过两种主流引流方式:
旁路引流:通过在核心设备旁挂分流器,实现流量的复制与分析;
逻辑串接引流:借助 SDN 交换机,通过策略配置将流量引导至安全设备。
这两种方式操作便捷,能满足南北向流量的安全防护需求。
然而,东西向流量(如数据中心内部虚拟机之间的流量)的牵引则截然不同。如图所示,蓝色虚拟机之间的流量传输根本不经过核心出口交换机,传统出口引流方式完全失效。即便尝试在每台接入交换机上引流,也存在明显局限 —— 若同一台服务器内部的两台虚拟机直接进行流量交换,接入交换机层面的引流措施同样无能为力。
二、东西向流量牵引的技术方案
要实现东西向流量的有效牵引,最可行的技术路径是从服务器内的虚拟交换机入手。
从纯技术角度看,具体流程如下:
在虚拟机上进行流量镜像;
通过 VXLAN(虚拟扩展局域网)技术将镜像流量导出;
将流量发送至支持 VXLAN 终结的交换机,由其剥离 VXLAN 封装;
最终将原始流量送至旁挂的安全设备进行检测与防护(如绿色轨迹所示)。
此类交换机可选用 SDN 交换机,利用其可编程接口实现与安全设备的联动,提升引流效率与灵活性。
从技术原理而言,该方案具有可行性,但在实际落地过程中,却因诸多现实因素而举步维艰。
三、现实挑战:云平台的接口限制与生态壁垒
导致云安全厂商陷入困境的核心原因主要有两点:
虚拟交换机接口缺失
不少云平台提供商未在虚拟交换机(如 OVS)中开放流量牵引所需的接口,使安全厂商无法通过技术手段控制引流。尽管部分有能力的安全厂商或第三方公司(如云杉)开发了插件以弥补这一缺陷,但多数客户出于稳定性或安全性考虑,拒绝在自身云平台中安装此类插件。
云厂商的生态封闭性
部分实力较强的云计算厂商虽提供了引流接口,但由于其自身拥有安全产品线,为保护市场份额,往往拒绝与第三方安全厂商配合,形成 “接口开放但合作封闭” 的壁垒。
四、破局之道:甲方引导与云平台改进
要解决东西向流量防护的困境,需要甲方与云平台厂商共同发力:
甲方的引导作用:在招标环节明确要求,所有参与竞标云平台必须具备标准化的引流接口,为第三方安全厂商的接入提供便利,从需求端推动云平台开放生态。
云平台的自我完善:云平台厂商应主动优化引流接口的兼容性与易用性,降低第三方安全厂商的对接难度,通过构建开放生态提升自身平台的竞争力。
此外,对于试图通过流量牵引实现串接安全防护的厂商,建议转换思路 —— 将虚拟安全设备直接部署在服务器内部进行防护。当然,这种方式同样需要与云平台实现深度对接。
结语:开放与协同是关键
东西向流量防护的难题,本质上是云计算时代 “分布式架构” 与 “集中化安全” 之间矛盾的体现。技术方案的可行性已得到验证,真正的突破点在于打破生态壁垒,构建开放、协同的云安全生态。
唯有云平台厂商主动开放接口,甲方从需求端推动标准化,第三方安全厂商持续创新技术,才能实现东西向流量的有效防护,让云计算在安全可控的前提下释放更大价值。
