如今数据中心的网络设备和服务器都拥有抽象层,虚拟化层以及管理层。前不久我与独立安全专家Edward Haletky讨论了很多网络问题,从中我发现,现在是时候该重新审视一下在新的和已有的网络架构中,安全区域是如何被实现的了。
Edward指出,很多管理员,包括我在内,甚至在不知道安全区域的情况下跨越了安全区域。这里我指的安全区域是针对网络架构各个层的一系列服务。
举个例子,数据中心里有一台常见的服务器,这台服务器上运行了多个虚拟机。这样的一台服务器可能会具备以下属性:一个硬件管理接口,如HP Integrated Lights-Out management 处理器,一个操作系统管理接口,虚拟化层迁移接口,为iSCSI等设备准备的存储接口,以及在独立VLAN上的一系列虚拟机。在这个例子里,一个服务器设备至少需要与五个安全区域进行交互。
这次讨论让我感觉到,在有了诸如VLAN或者其他虚拟化技术后,该认真的思考一下安全区域是如何被实现的了。不考虑安全问题的情况下,只要简单的将每个网络设备点分隔在它们所属的安全区域内即可。这样做对于网络整体性能也有好处,比如将iSCSI设备单独隔离出来。
你是如何在网络上实现不同的安全区域的呢?通过足够多的VLAN吗,还是通过独立的交换环境来分隔设备?这个领域很复杂,并且与设备有关,因此并没有一个统一的标准答案。欢迎读者与我们分享自己的看法。