浅谈软件定义SDDC的安全性

　　如何适应现代软件定义的架构,SDN技术实现的单一窗格优势也扩展到网络可视化领域，由于SDN控制器的智能化，将策略推动到网络设备，因此在配置监控和日志记录功能时可以减轻负担。

软件定义数据中心（SDDC）的安全性可以通过多种形式来保障，身份和访问管理来对用户行为进行控制，操作系统安全性来保护虚拟服务器以及数据安全性，以保护数据和信息安全。本文将会介绍SDDC体系架构中的网络安全性，将介绍微分段、可视化、可扩展策略和自动化的概念，以佐证所有基础设施虚拟化时安全性的演变。

　　首先来看企业IT安全性的变化，如何适应现代软件定义的架构。数据中心的安全性通常由个别专用设备组成，数据通过这些设备进行过滤，从而扫描恶意行为。单独配置其他网络设备，如路由器和交换机，将进一步硬化网络。

　　这种方式的问题是，一个网络设备上的单个配置错误可能会导致整个数据中心受到影响。通过软件定义网络（SDN）在SDDC中发挥关键作用，一个主要的优点是统一控制器，用于管理数据中心网络的方方面面，当然也包括了安全功能。管理员可以专注于管理一组安全策略，可以将其推送到数据中心的所有部分，而不是配置各个网络设备。

　　这也导致了SDDC网络安全的特定领域：微分段。SDN的优势在于软件，而不是硬件，是控制网络路由和策略的方式。因此，整个数据中心可以以任意数量的方式进行逻辑分段。微分段将数据中心网络分解为逻辑部分，然后可以基于类似的安全策略将这些分段组合在一起。

　　微分段执行各种组件和应用程序的逻辑分离，同时创建和分组策略控制数据中心内的网络安全，SDN控制器根据网络设备的策略自动推出特定规则。

　　SDN技术实现的单一窗格优势也扩展到网络可视化领域，由于SDN控制器的智能化，将策略推动到网络设备，因此在配置监控和日志记录功能时可以减轻负担。事实上，SDDC架构可以打破传统的安全监控方式。默认情况下，较新的流量可视化和数据流工具利用虚拟化来查看真个数据中心的端到端，这使得管理更为简单，故障排除更快，合规性得以简化。

　　网络自动化是数据中心安全问题快速反应的关键技术，一方面能够自动化发布安全警报的过程，另一方面使用人工智能和M2M自动化安全事件修复。SDDC的架构模式使得这一切成为可能，从网络的角度来看，可以自动阻止或隔离恶意活动以进行其他安全扫描。

　　此外，用户可以跟踪网络上发生的任何违规行为，以查看受到影响的数据、应用程序和服务器，以便将这些部分与数据中心其他部分快速隔离，以便进行追溯修复。此外，影响网络功能的任何恶意行为如拒绝服务攻击等，可以通过在数据中心内的未受影响的网络链路重新路由加以处理。

　　软件定义的技术可以显著简化数据中心内安全事件的部署、管理和故障排除。多年来，网络安全日益复杂化。SDDC安全性将有助于通过利用网络功能虚拟化（NFV）、自动化、人工智能和集中管理的进步来消除许多复杂性。