云計算改變的不僅僅是計算和網絡，虛擬主機，對安全也產生了重大影響。影響之一是有了虛擬安全設備，而影響之二是從此之后需要考慮東西向安全。

最近這段時間來找我尋求云安全網絡解決方案的安全廠商差不多得兩只手才能數過來了，因為大家都有相同的苦惱，這個苦惱就是如何把東西向虛機流量牽引出去。

物理網絡和物理安全時代，流量牽引到安全設備上很容易，即使到了云安全時代，要把南北向的流量牽引到安全設備上也很容易。我之前寫過一篇文章 TAP匯聚分流器，數據分析時代的輔助利器 和另外一篇文章 殺手級SDN應用：基于SDN的服務鏈 ，分別講了旁路引流和邏輯串接引流的方式，so easy。 實現方式很簡單，無非就是在核心設備旁掛分流器或者SDN交換機，進行策略引流。

但是東西向流量就不同了。如圖所示，藍色虛機之間的流量，根本就不經過核心出口交換機。沒法在出口引流，有人說那可以在每臺接入交換機上引流，先不說這樣做的可行性，就算這樣可行，如果同一臺服務器內部的兩臺虛機流量直接內部交換了，也還是沒轍。

所以真要將東西向流量牽引出去，最可行的做法還是在服務器內的虛擬交換機上做文章，純粹從技術角度看，在虛機上做鏡像，把流量通過vxlan導出去，送到一臺支持vxlan終結的交換機上去，這臺交換機把vxlan剝離后，送給旁掛的安全設備。這臺交換機可以是SDN交換機，有可編程接口，用于聯動。如下圖綠色軌跡。

從技術的角度，這個方案也是比較容易的。但是現實很無奈，充滿了很多別的因素。下面這兩種情況導致了云安全廠商們都很苦惱。

1）不少云平臺提供商并沒有在虛擬交換機（比如OVS）里面提供出這樣的接口，這就導致安全廠商沒法去控制引流，有些有能力的安全廠商或者第三方公司（比如云杉）做了插件，但是很多客戶不讓在自己的云平臺里面安裝插件。

2）有些實力強的云計算大廠商，他們倒是做了引流的接口，但是這些廠商很多都自己有安全產品，不配合第三方安全廠商。

從甲方的角度，應該要想辦法來引導。比如招標的時候，就要求所有的云平臺都有引流接口，可以方便讓第三方安全廠商來引流。而各個云平臺廠商們自己也得爭氣，把引流的接口做好，方便讓各個云安全廠商對接。

至于還有安全廠商想用這種方式做串接安全防護，免備案服務器，那這個難度系數就不是一般的大了。還不如換種方式，把虛擬安全設備直接放到服務器里面去進行防護。當然，這個也需要跟云平臺對接。