隨著我們的數(shù)據(jù)過渡到虛擬數(shù)據(jù)中心和云中，我們?nèi)绾伪３衷瓉淼囊磺幸约斑^渡之后又會(huì)有哪些變化呢?在本周專欄里，筆者解決了選擇物理防火墻還是虛擬防火墻的問題以及如何根據(jù)環(huán)境確定理想的形成要素。許多為虛擬化環(huán)境和云環(huán)境尋找安全方案的企業(yè)會(huì)自然而然地認(rèn)為選擇的范圍只有一兩個(gè)。筆者認(rèn)為其實(shí)答案要根據(jù)架構(gòu)的實(shí)際情況來定。

對(duì)虛擬防火墻的需求

讓我們首先從虛擬防火墻的使用案例開始。在下面的圖一中，請(qǐng)看一下A和B中描述的情境。假設(shè)在虛擬化的數(shù)據(jù)中心環(huán)境中，你通過不同的應(yīng)用層級(jí)——應(yīng)用，Web和數(shù)據(jù)庫，為數(shù)據(jù)中心分層。在A中，你在相同服務(wù)器上保留了相同的應(yīng)用信任級(jí)別。在B中，你將應(yīng)用信任級(jí)別進(jìn)行了混合。在C中一個(gè)服務(wù)器上應(yīng)用的信任級(jí)別不同。

在A中，流量是從應(yīng)用走向數(shù)據(jù)庫，例如，微軟SharePoint到SQL服務(wù)器，而且每個(gè)應(yīng)用層級(jí)都位于自己的VLAN中。流量可通過虛擬交換機(jī)通向外部交換網(wǎng)絡(luò)和外部防火墻。

同樣的選擇可以應(yīng)用到B中，但是卻并不是這一情境最理想的選擇。大多數(shù)B情境的流量都是橫向的，迫使流量縱向通過物理防火墻是低效且昂貴的，因?yàn)檫@樣操作會(huì)增加為虛擬機(jī)流量提供服務(wù)的物理端口數(shù)量。虛擬服務(wù)器中的每個(gè)應(yīng)用都需要在自己的VLAN中保護(hù)從應(yīng)用VM到數(shù)據(jù)庫VM的數(shù)據(jù)。因此，一個(gè)虛擬的防火墻應(yīng)該比物理防火墻更適合用于內(nèi)部托管檢測，如C情境所示。

盡管如此，對(duì)于虛擬防火墻的一些考量也很重要。一個(gè)虛擬防火墻如果不能夠從硬件加速中獲益，就不能與物理防火墻媲美的性能。但是，軟件架構(gòu)是差異所在，所以對(duì)于配備了軟件架構(gòu)可優(yōu)化性能和減少延時(shí)的虛擬化防火墻要認(rèn)真考慮。

還需要了解在自己的環(huán)境中虛擬防火墻支持的性能有哪些。在過去兩年里，虛擬化的網(wǎng)絡(luò)安全產(chǎn)品激增。許多供應(yīng)商都努力要與“虛擬化和云”沾上邊，但卻只是給物理防火墻加點(diǎn)虛擬要素的包裝而已，卻忽略了而對(duì)虛擬化環(huán)境中實(shí)際情況的考量。特別是安全策略應(yīng)該對(duì)虛擬機(jī)的創(chuàng)建或動(dòng)向進(jìn)行跟蹤，而且應(yīng)該將目前需要手動(dòng)執(zhí)行的策略更改變成自動(dòng)化操作。

你的虛擬平臺(tái)供應(yīng)商有虛擬安全裝置，可以了解環(huán)境的動(dòng)態(tài)屬性，但是不能提供合適的安全功能。對(duì)于網(wǎng)絡(luò)的安全威脅不會(huì)因?yàn)槟愀挠锰摂M化的環(huán)境就消失。攻擊者正在使用新型，定向的，復(fù)雜的技巧，如漏洞挖掘，惡意軟件和間諜軟件，侵犯你的網(wǎng)絡(luò)。你的應(yīng)用程序員正在部署應(yīng)用，并利用防火墻上的開放端口繞過安全策略。合作伙伴，承包商和移動(dòng)用戶需要隨時(shí)隨地訪問你的應(yīng)用。所以虛擬防火墻更需要了解端口，協(xié)議之外的應(yīng)用，支持基于用戶的策略，并將完整的威脅架構(gòu)納入策略中對(duì)抗現(xiàn)在的安全威脅。

如何對(duì)兩者同時(shí)進(jìn)行優(yōu)化呢?你需要對(duì)下一代防火墻進(jìn)行虛擬化操作，下一代防火墻已經(jīng)解決了安全應(yīng)用的挑戰(zhàn)，而且可以動(dòng)態(tài)了解虛擬機(jī)的動(dòng)向，還可以與管理編排軟件進(jìn)行融合。

虛擬防火墻會(huì)取代物理防火墻嗎?

就數(shù)據(jù)中心而言，虛擬防火墻會(huì)取代物理防火墻的地位嗎?答案是否定的。因?yàn)閿?shù)據(jù)中心的性能要求很苛刻，所以物理防火墻不會(huì)消失。在某些環(huán)境中，他們或許是唯一的選擇。而在其他環(huán)境中，則可能因傳輸量的需求而被用于邊緣數(shù)據(jù)中心過濾。在大多數(shù)混合的環(huán)境中，則是將物理防火墻與虛擬防火墻結(jié)合使用。物理防火墻與虛擬服務(wù)器交錯(cuò)，所以用戶正開始訪問虛擬服務(wù)器。同時(shí)，虛擬化的防火墻還在服務(wù)器中提供了分區(qū)，如圖二所示。

這種架構(gòu)的另一優(yōu)點(diǎn)是物理防火墻既可以保護(hù)虛擬服務(wù)器又可以防御hypervisor漏洞。防御hypervisor攻擊需要虛擬供應(yīng)商保障hypervisor的完整性和軟件加固。但是，對(duì)hypervisor提供合適訪問以及檢測虛擬平臺(tái)漏洞的補(bǔ)充性安全策略也很重要。這些無法在服務(wù)器里通過防火墻實(shí)現(xiàn)。畢竟，如果你已經(jīng)通過一次攻擊訪問過Hypervisor，你就可以控制整個(gè)服務(wù)器。

結(jié)語

數(shù)據(jù)中心環(huán)境正走向自動(dòng)化的，動(dòng)態(tài)的，按需服務(wù)。安全架構(gòu)必須與這些要求并駕齊驅(qū)，但是也還要解決安全保護(hù)和安全應(yīng)用的實(shí)際問題。簡而言之，虛擬數(shù)據(jù)中心和云環(huán)境的網(wǎng)絡(luò)安全應(yīng)該：

提供應(yīng)有的安全特性(安全應(yīng)用啟用，威脅保護(hù)，靈活的網(wǎng)絡(luò)整合)

動(dòng)態(tài)化：安全策略必須追蹤VM示例和動(dòng)向;安全策略應(yīng)經(jīng)過精心安排。

為數(shù)據(jù)中心的所有安全裝置提供持續(xù)的，集中的管理。