《企業(yè)網(wǎng)D1Net》12月20日
虛擬化的出現(xiàn),為IT部分帶來一份大禮,虛擬化讓不可能變成可能,讓可能成為普遍,從服務器整合到云計算,虛擬化是目前世界范圍內占主導地位的計算平臺。
除了擴展計算能力,虛擬化也被認為是增加網(wǎng)絡安全性的一種方法。在網(wǎng)絡虛擬化中可以通過隔離和多租戶的方式改善安全性。
網(wǎng)絡虛擬化如何提高安全性
在云數(shù)據(jù)中心,應用程序工作負載隨意配置,遷移和下線,云管理軟件按需分配計算、存儲和網(wǎng)絡容量。
添加網(wǎng)絡虛擬化到動態(tài)環(huán)境,徹底改變網(wǎng)絡的運作模式。這樣的深刻變化往往使安全人員緊張。但實際上,網(wǎng)絡虛擬化包括了幾個內置的網(wǎng)絡安全優(yōu)勢。這些優(yōu)勢包括隔離和多租戶;網(wǎng)絡分段;分布式防火墻,以及服務插入和鏈接。網(wǎng)絡虛擬化平臺可以將這些功能與其他安全功能結合,在軟件定義的數(shù)據(jù)中心簡化安全運營。
隔離和多租戶
網(wǎng)絡虛擬化的一個核心功能是隔離(isolation) - 這是大多數(shù)網(wǎng)絡安全的基礎,無論是合規(guī)性,安全殼,或只為不讓開發(fā),測試和生產(chǎn)環(huán)境相互影響。在默認情況下,虛擬網(wǎng)絡與其他的虛擬網(wǎng)絡從底層物理網(wǎng)絡隔離,提供最低權限的安全原則。啟用此隔離需要無物理子網(wǎng),VLAN ,ACL,或防火墻規(guī)則。
任何隔離的虛擬網(wǎng)絡,可以由分布在數(shù)據(jù)中心任何地方的工作負載組成。相同的虛擬網(wǎng)絡中的工作負載,可以駐留在相同的或不同的虛擬機監(jiān)控程序。在多個相互隔離的虛擬網(wǎng)絡工作負載可以駐留在同一個虛擬機管理程序。虛擬網(wǎng)絡之間的隔離允許重疊的IP地址,從而可以有獨立開發(fā),測試和生產(chǎn)虛擬網(wǎng)絡- 每個虛擬網(wǎng)絡有不同的應用程序版本,但具有相同的IP地址,并且所有的操作在相同的時間相同的底層物理基礎設施。
虛擬網(wǎng)絡也隔離于底層物理基礎設施。由于虛擬機管理程序之間的流量被封裝,物理網(wǎng)絡設備運行在一個完全不同的地址空間,而不是連接到虛擬網(wǎng)絡的工作負載。例如,一個虛擬網(wǎng)絡可以在IPv4物理網(wǎng)絡之上支持IPv6的應用工作負載。這種隔離,可以防止由任何虛擬網(wǎng)絡工作負載可能發(fā)起的任何攻擊影響底層物理基礎設施。
D1Net評論:
隨著網(wǎng)絡虛擬化熱度走高,網(wǎng)絡虛擬化在深入應用的同時,安全問題也成為阻礙網(wǎng)絡虛擬化功能發(fā)揮的重要影響因素,提高網(wǎng)絡虛擬化的安全性,采用隔離和多租戶的措施是非常有效的,用戶不妨一試。
京公網(wǎng)安備 11010502049343號