Gartner分析師尼爾·麥克唐納德預(yù)測，到2015年，企業(yè)數(shù)據(jù)中心40%的安全控制將是虛擬化的，比2010年的5%有大幅度提高。

Gartner分析師尼爾·麥克唐納德（Neil MacDonald）的專業(yè)是安全。他不僅密切關(guān)注安全廠商正在做什么，而且還主張隨著基本的網(wǎng)絡(luò)技術(shù)的發(fā)展而進(jìn)行改變。虛擬化正在產(chǎn)生巨大影響，提出了有關(guān)物理安全設(shè)備在虛擬化環(huán)境中的任務(wù)的問題。麥克唐納德預(yù)測，到2015年，企業(yè)數(shù)據(jù)中心40%的安全控制將是虛擬化的，比2010年的5%有大幅度提高。麥克唐納德最近接受了《Network World》的采訪，談到了虛擬化領(lǐng)域安全的未來。

《網(wǎng)絡(luò)世界》：為了適應(yīng)虛擬化網(wǎng)絡(luò)，安全廠商推出了專門針對VMware等環(huán)境的軟件產(chǎn)品。但是，令人感到意外的是聽說McAfee將發(fā)布最新的殺毒軟件MOVE（優(yōu)化的虛擬環(huán)境管理）2.5版。這個(gè)軟件支持VMware vShield安全技術(shù)。這種技術(shù)要求無代理方式。人們抱怨稱無代理方法是不充分的。McAfee想讓VMware改變他們對vShield的無代理方法的看法，并且表示基于代理的方法更好。整個(gè)行業(yè)現(xiàn)在似乎都對此感到不安。這是怎么回事？

麥克唐納德：McAfee稱，這沒有像在虛擬機(jī)內(nèi)部運(yùn)行一個(gè)代理程序那樣好。這個(gè)事情有一些事實(shí)。緩存溢出保護(hù)、內(nèi)存保護(hù)等所有這些事情都是在內(nèi)部完成的，使用無代理程序不能做這些事情。它們?nèi)鄙傩袨榈膯l(fā)式分析。它們能夠打開和關(guān)閉文件。采用MOVE 2.5,McAfee增加了這個(gè)無代理的流程。但是，McAfee支持有代理的和無代理的應(yīng)用。它是不依賴于管理程序的。

問：運(yùn)行基于代理的殺毒軟件和虛擬機(jī)有什么問題？

答：這叫作“A/V風(fēng)暴”.這產(chǎn)生了新的大量的流量。假如它們都設(shè)置在中午啟動，你可以把它設(shè)置為管理員，在12點(diǎn)至2點(diǎn)之間隨機(jī)啟動。這是一個(gè)答案，但是，不是最佳答案。我們?yōu)槭裁匆辉賿呙柰粋€(gè)鏡像？這些VMware API（應(yīng)用程序編程接口）讓你掃描一次?？ò退够С诌@種做法。但是，賽門鐵克還不支持。賽門鐵克的端點(diǎn)保護(hù)12版使用一種不同的架構(gòu)。

問：VMware在過去幾年里開發(fā)這些vShield安全API似乎是一個(gè)有爭議的過程。VMware現(xiàn)在好像僅與具體的安全廠商合作。你對此有何看法？

答：VMware依靠自己創(chuàng)建了第一套API,沒有依賴廠商。但是，他們確實(shí)直接與趨勢科技合作了。趨勢科技和VMware使用自己的模式所做的事情是創(chuàng)新的。對于趨勢科技來說，這個(gè)事情做的很好。他們簽署了許多交易。委員會提出的API一般都不是很好。但是，把重點(diǎn)放在幾家廠商，他們就會更成功。對于這種無代理的方法有支持意見和反對意見。有一些新的或者離線的虛擬機(jī)保護(hù)技術(shù)。這些技術(shù)改善了資源利用。在反對意見方面，它要求管理程序擴(kuò)展。如果僅使用VMware的管理程序，就需要許可證。如果是僅使用Windows并且不是真正的“無代理的”,就只有殺毒掃描。你不能做基于主機(jī)的入侵防御或者行為監(jiān)視。

問：vShield API為VMware提供了一個(gè)防火墻能力。當(dāng)一個(gè)網(wǎng)絡(luò)虛擬化的時(shí)候，你對于為了安全目的使用物理防火墻和虛擬防火墻有什么看法？

答：目前，人們對于每一個(gè)工作量使用單獨(dú)的接口卡。你信任VMware把內(nèi)存隔離開，但是，對于網(wǎng)絡(luò)流量，你要把它單獨(dú)發(fā)送到物理防火墻。下一個(gè)合乎邏輯的步驟是，為什么不虛擬化防火墻？VMware防火墻能夠做此事。對于基本的隔離來說，它做得很好。Check Point、瞻博網(wǎng)絡(luò)和思科等公司也有虛擬防火墻。Check Point的防火墻做入侵檢測系統(tǒng)的事情。這是VMware不做的事情。VMware將在這方面進(jìn)行合作。在虛擬化方面，這意味著我已經(jīng)取得安全控制并且吸收了這個(gè)功能。問題是，誰負(fù)責(zé)這個(gè)事情？你必須保持單獨(dú)的職責(zé)。HyTrust也是如此。我們不想讓所有的事情都交給一個(gè)人手中。網(wǎng)絡(luò)由安全管理員提供防火墻，其余的由VMware管理員提供。但是，未來是混合的，一些防火墻是虛擬化的，一些是硬件的。讓Palo Alto Networks退縮的事情是他們使用許多專有的硬件。Palo Alto Networks的防火墻目前還不是虛擬化的，但是，它將是虛擬化的。（編輯注：Palo Alto Networks證實(shí)它將在今年秋季公開發(fā)布虛擬化的防火墻）。