云时代，相关企业人员不仅要知道云数据中心内部为什么要做隔离，东西向隔离应该具备什么能力，VLAN/VPC为什么不能解决内部隔离问题，更要了解云中心东西向隔离的最佳实践——微隔离。

      除了VLAN/VPC外，SDN流量牵引+安全池的方案也是国内集成商常推荐给客户的，此方案的确能够解决部分安全问题，但对于东西向隔离问题却有极大缺陷。 

       国内云计算发展较快，但云安全的发展相较于国外却有较大的差距。安全池的诞生主要为了解决云化环境中，传统安全产品缺少部署位置的问题——传统安全产品不用做过多修改，去掉“外壳”就可以平滑过渡到安全资源池，而且可以根据需求不断增加安全能力。

       解决了部署位置问题，接下来就要考虑如何把流量牵引到安全池。早期方案中提出过通过交换机进行引流，但基本上属于无法落地的PPT方案——云化数据中心中大二层网络根本找不到一个流量集中点，就算是沿用传统的三层网络，也有大量流量不经过核心交换，更别说同一台物理服务器上虚拟机之间的流量，都是无法牵引的。

       此时SDN技术快速发展，其将网络设备控制面与数据面分离，做到了对于网络流量的灵活控制，实现了软件定义网络。SDN的应用也给安全池方案提供了新的活力。

       但如果你正在考虑采用这类方案解决东西向隔离问题，那一定要谨慎思考，并看看下面的问题是否在你的数据中心可以解决，不然很有可能会导致项目最终的失败。

弊端一、无法涵盖物理服务器、以及容器，无法兼容混合云平台

       在选择东西向隔离方案时，要考虑目前数据中心的环境及未来的技术规划，如果未来很长一段时间都将是业务迁移期，传统数据中心、云化数据中心同存；或者除了本地的私有云、还有部分公有云、以及灾备云环境；再或者未来还将采用容器技术构建业务。那么SDN+安全池的方案并不是一个长期的有效投资，他将会使你的安全割裂。

弊端二、需要改变全网流量的流经方向，容易出现单点故障，有造成业务瘫痪的风险

       这也许是此方案最需要你注意的一点，东西向隔离要牵引任意两台虚拟机之间的流量，并汇聚到一个统一的处理点——安全池。我们都知道，东西向流量远大于南北向流量（据统计，南北向流量只占全网流量的20%），很难想象一个几千台虚拟机的环境需要多大的安全池来处理东西向的流量，而且一旦安全池出现问题，网络瘫痪难以避免。

弊端三、   同一台物理机上的两个虚拟机，互相访问也需要引出去，增加了网络的复杂度，延迟大大增加。

蔷薇灵动模拟业务场景

弊端四、  安全策略配置繁琐，无法适应环境变化

       如果传统的域间防火墙配置已经让你烦不胜烦，那么继续采用传统的安全设备只会让痛苦在东西向被无限放大。基于ip的安全策略模型已经不适用于大规模的云环境，安全池只是提供了解决能力，而并不是真正解决问题。

       但只有边界防护的确有较大漏洞，绕过者、隐藏者、伪造者甚至是内部攻击者都是边界无法审查到的。其实城市中的安防建设已经给我们提供了很好的示范，复杂环境中的安全控制能力不应该是集中，而是分散。

      这也就是Gartner所提出的微隔离，每个应用自己来保护自己，不管你来自哪里，想访问公司就要符合公司的要求。

蔷薇灵动微隔离策略

    综上所述，安全池的优势在于流量的审计与检测，而并不适用于实时性要求较高的东西向隔离。云中心东西隔离的最佳实践是微隔离。作为在此方面破有研究的初创企业，蔷薇灵动自适应微隔离安全平台可能是国内唯一一款与底层架构无关、单集群支持几千点大规模部署的微隔离产品。

蔷薇灵动不解决所有的云安全问题，但能帮助客户更专业、更便捷地解决东西向隔离问题。这就是微隔离的本质。

蔷薇灵动产品价值

蔷薇灵动微隔离拓扑

      微隔离内网流量拓扑、策略统一可视化管理