越来越多的迹象表明数据中心正在向以软件为中心的安全模式转变，这是网络功能虚拟化（NFV）和软件定义网络（SDN）技术的核心网络功能。这种新的模式意味着安全性能将成为NFV的关键。

云计算成功的将IT界的重心转移到数据中心，其中零信任安全模式（zero-trust stateful security）能增强东西向流量的安全性。根据戴尔Oro工作组的研究报告，全球3个最大的云服务提供商（Amazon、Google、Microsoft）占据了目前所有数据中心设备采购的35%。现在这些威胁已经进入到云计算中，大型云数据中心的重心是内部数据中心的安全，而不是周边安全。

如果物理设备的大部分功能都被转移到云端，这意味着安全必须迁移到云端。这需要对所谓的东西向流量加以关注，因为它能够改变数据中心的虚拟化层。

正如UBS分析师Brent Thill在最近的一份研究报告中提到的，终端用户软件和基于虚拟化的安全解决方案取代具体的安全硬件设备会造成“设备疲劳”。

这对SDN和NFV的硬件和软件都有巨大的影响。这意味着NFV和SDN基础设施将会被安全嵌入，同时也意味着用来提供这些服务的硬件平台必须具备处理虚拟化安全功能。

上周我们的撰稿人在文章中写道：NFV和SDN技术被用于在数据中心内部构建一个安全“隔离区（DMZ）”，文中表示现在数据中心内的每个虚拟机除了物理防火墙之外，还有自带的虚拟防火墙。

可以将此视为某种安全缩影，从cellular向molecular级过渡，将安全深入到数据中心内部，使之能够嵌入到分析穿越网络的每个数据包和应用程序中。

一般而言，SDN范式的核心能够促进一个更好的安全模式。一个集中式的SDN控制器可以分析和监督整改数据中心的安全，而不是管理单个设备或专用硬件系统的安全策略。

追求所有应用程序实时监控的零信任安全模式（zero-trust stateful security），可以增强数据中心内的东西向流量，使之与VMs和容器最接近。它能够提供以下优势：

自动配置轻松移除/添加/改变虚拟机和容器的工作负载策略在每个虚拟端口进行分布式执行通过分布式横向扩展内核中的防火墙功能在平台中使用虚拟机管理程序

有没有缺点？当然。所有的这些都需要实时监测以及IP和网络流量包检测，这可能会导致CPU价格过高，需要专门的硬件来实现。

业界将如何应对这种情况？正如我以前所写的那样，NFV平台将在硬件性能上需要投注更多的注意，特别是在服务提供商向云模型迁移的NFV领域，更需要考虑这一安全架构。顶级的NFV硬件产品需要处理运算所需的安全应用程序的能力。

在安全方面，这意味着专业安全产品越来越少，而订购的软件产品越来越多，这需要在分析能力和与虚拟化平台集成的能力上需要投入更多注意。

原文链接：https://www.sdxcentral.com/articles/analysis/security-performance-in-nfv/2016/09/