前言

云数据中心（SDDC）实现离不开成熟的虚拟化技术支持。云数据中心物理资源的抽象化和资源池的实现也得益于计算虚拟化、网络虚拟化、存储虚拟化和云数据中心服务的灵活性、敏捷性和高效性。为了充分发挥这一优势，促进我国云数据中心的进一步发展，正是本文围绕云数据中心网络安全服务架构进行具体研究的原因。

1云数据中心网络安全服务需求分析

云数据中心的灵活性、敏捷性和高效性使其对网络安全的需求更高，这使得云数据中心的安全服务必须统一到管理平台，因此其网络安全服务需求可以概括为以下两个方面。

1.1特性需求

由于安全服务必须统一到云数据中心管理平台，因此云数据中心的灵活性、敏捷性和高效性将对安全服务提出一定的要求，具体表现如下：（1）敏捷性。安全服务需要灵活部署在云数据中心，整个数据中心和具体业务应用需要纳入安全服务保障，安全服务需要确保自身启停不影响中心的日常业务运行，因此必须注意敏捷性需求。（2）灵活性。安全服务需要动态调整能力，以满足业务变化的需要。这种动态调整应根据具体的服务规则进行，而不受管理员的干扰。（3）效率。确保所有用户共享安全服务，实现统一管理和资源高效利用[1]。

1.2具体需求

云数据中心网络安全服务的具体需求除络安全服务的具体需求，主要内容如下：（1）业务跟踪。确保安全服务随用户虚拟机迁移，实现安全保护，跟随业务流量的全过程。（2）服务扩展。安全服务需要随时结合攻击演变进行扩展和调整。是否可以在现有的基础上更新，扩展将直接影响安全服务的效用。（3）支持多类数据中心。安全服务需要满足不同云数据中心的需求，使其需要独立于管理平台，必要时放弃Hypervisor实现不同云数据中相同的技术支持和安全保障。

2云数据中心网络安全服务架构思路

在简单了解了云数据中心网络安全服务的需求后，本文提出了分布式网络安全虚拟化架构的思路，结合云数据中心网络安全服务架构的具体组成也具有很高的参考意义。

2.1基本思路

部署在用户虚拟网络边界，在所有需要安全服务的物理机上启动虚拟安全设备属于两种虚拟安全设备网络部署模式，前者本质上属于个人物理安全设备虚拟化，后者属于多设备管理器和网络设备虚拟化，但考虑到两种方式不能更好地满足云数据中心网络安全服务架构的需要，本文提出了分布式网络安全虚拟化架构。该架构主要由数据中心管理平台、安全服务控制平面、安全服务平面和物理服务器集群组成，实现流量可视化、微隔离、安全服务、支持业务迁移、全网行为分析等安全服务[2]。云数据中心分布式网络安全虚拟化架构的具体组成如下：（1）安全服务控制平面。主要由NBI，生命周期管理、用户资产轮询、安全管理界面、安全策略管理、日志监控、服务管理拓展等组成部分NBI负责提供北向接口，通过这些功能实现实时用户资产配置，管理员也可以进行高质量的安全服务管理。(2)安全服务平面。主要由安全服务虚机、扩展服务虚机、虚拟机、虚拟网络、Hypervisor组成，虚拟机负责集成复杂功能，扩展服务模块，形成服务链，Hypervisor它可以支持全服务虚拟机的运行。

2.2具体组成

结合进一步分析，确定了由排水平面和安全服务平面分离组成的控制平面（支持高可用性），采用分布式部署和运行在虚拟机上的安全服务平面SDN排水和虚拟交换机排水平面，通过启动虚拟机扩展服务模块。云数据中心网络安全服务架构理念不仅满足上述所有需求，而且具有统一管理和开放接口的特点。流量可视化、微隔离、安全服务、支持业务迁移、整个网络行为分析属于该架构的主要服务能力，如安全服务可以提供L2到L7安全服务、防火墙、应用识别、攻击防护、URL过滤等都是安全服务的具体组成部分，可见该结构的完善性[3]。