《企業(yè)網(wǎng)D1Net》10月23日訊
隨著虛擬化在企業(yè)應(yīng)用中逐漸深入,虛擬化安全問題也成為企業(yè)發(fā)展中面臨的大問題,在虛擬化的安全保護中,常用的是防火墻。然而使用防火墻來保護數(shù)據(jù)中心網(wǎng)絡(luò)的物理服務(wù)器已經(jīng)很難了,把它用于保護虛擬服務(wù)器,或者私有云環(huán)境,那么難度會更大。畢竟,虛擬服務(wù)器會經(jīng)常遷移,所以防火墻不需要必須位于服務(wù)器物理邊界內(nèi)。有幾種策略可以為虛擬環(huán)境提供防火墻保護。
虛擬網(wǎng)絡(luò)安全
傳統(tǒng)數(shù)據(jù)中心架構(gòu)的網(wǎng)絡(luò)安全設(shè)計眾所周知:如果服務(wù)器的物理邊界屬于同一個安全域,那么防火墻通常位于聚合層。當(dāng)你開始實現(xiàn)服務(wù)器虛擬化,使用VMware的vMotion和分布式資源調(diào)度(DistributedResourceScheduler)部署虛擬機移動和自動負載分發(fā)時,物理定界的方式就失去作用。在這種情況下,服務(wù)器與剩余的網(wǎng)絡(luò)之間的流量仍然必須通過防火墻,這樣就會造成嚴重的流量長號,并且會增加數(shù)據(jù)中心的內(nèi)部負載。
虛擬網(wǎng)絡(luò)設(shè)備能夠讓你在網(wǎng)絡(luò)中任何地方快速部署防火墻、路由器或負載均衡器。但當(dāng)你開始部署這樣的虛擬網(wǎng)絡(luò)設(shè)備時,上述問題會越來越嚴重。這些虛擬化設(shè)備可以在物理服務(wù)器之間任意移動,其結(jié)果就是造成更加復(fù)雜的流量流。VMware的vCloudDirector就遇到這樣的設(shè)計問題。
使用DVFilter和虛擬防火墻
幾年前,VMware開發(fā)了一個虛擬機管理程序DVFilterAPI,它允許第三方軟件檢查網(wǎng)絡(luò)和存儲并列虛擬機的流量。有一些防火墻和入侵檢測系統(tǒng)(IDS)供應(yīng)商很快意識到它的潛在市場,開始發(fā)布不會出現(xiàn)過度行為的虛擬防火墻。VMware去年發(fā)布了vShieldZones和vShieldApp,也成為這類供應(yīng)商的一員。
基于DVFilter的網(wǎng)絡(luò)安全設(shè)備的工作方式與典型的防火墻不同。它不強迫流量必須通過基于IP路由規(guī)則的設(shè)備,而是明確地將防火墻插入到虛擬機的網(wǎng)卡(vNIC)和虛擬交換機(vSwitch)之間。這樣,不需要在虛擬機、虛擬交換機或物理網(wǎng)絡(luò)上進行任何配置,防火墻就能夠檢測所有進出vNIC的流量。vShield通過一個特別的配置層進一步擴充這個概念:你可以在數(shù)據(jù)中心、集群和端口組(安全域)等不同級別上配置防火墻規(guī)則,在創(chuàng)建每個vNIC的策略時防火墻會應(yīng)用相應(yīng)的規(guī)則。
并列防火墻自動保護虛擬機的概念似乎是完美的,但是由于DVFilterAPI的構(gòu)架原因,它只能運行在虛擬機管理程序中,所以它也有一些潛在的缺點。
虛擬交換機在虛擬化安全中的作用
虛擬化安全設(shè)備制造商也可以選擇vPathAPI,它可用于實現(xiàn)自定義虛擬交換機。思科系統(tǒng)最近發(fā)布了虛擬安全網(wǎng)關(guān)(VirtualSecurityGateway,VSG)產(chǎn)品,該產(chǎn)品可能整合傳統(tǒng)(非DVFilter)虛擬防火墻方法和流量流優(yōu)化技術(shù)。思科宣布VSG只進行初始流量檢測,并將卸載流量轉(zhuǎn)發(fā)到虛擬以太網(wǎng)模塊(VirtualEthernetModules,VEM:虛擬機管理程序中改良的虛擬交換機),從而防止出現(xiàn)流量長號和性能問題。如果這一切是真的,那么VSG可能是工程師部署安全云服務(wù)的最理想工具。
D1Net評論:
虛擬化安全保證不僅是必須的,也是必要的,虛擬化安全保護是企業(yè)發(fā)展中的必修課,如果這個問題解決不好,會影響到企業(yè)的長遠發(fā)展,防火墻和DVFilter是虛擬化安全保護的主要方法,隨著虛擬化技術(shù)的發(fā)展,會有更多的工具和解決方案出現(xiàn),讓我們拭目以待。
京公網(wǎng)安備 11010502049343號