美國新墨西哥州公共事業部門有160臺Dell服務器，當其中的80%虛擬化后，IT部門認識到他們不再需要依靠實體分隔技術來保證每臺服務器的安全性了。實體分隔技術只能限制數據中心內虛擬機(VM)的遷移，會減少虛擬化帶來的便利。帶來的其他困擾還包括現有的網絡防火墻與入侵監測或防御系統(IDS/IPS)無法與虛擬設置兼容。

所以該部門的系統管理處總管理員Gurusimran Khalsa開始尋找一種能夠實現集中訪問控制的虛擬化安全規劃，在虛擬化設置內登錄以及進行防火墻管理。他還部署了一種將基于網絡的策略管理的HyTrust設備與Altor Networks的虛擬防火墻登錄結合的策略。并對TechTarget編輯Rivka大致講述了其經驗。

記者：在數據中心內部實施虛擬化，您想要達到什么樣的目標？

Gurusimran Khalsa：從根本上來說，我們想要的就是虛擬化所能帶來的傳統意義上的利益，比如縮減成本，系統融合，管理的便捷性等，還包括一些如vMotion、快照、備份或者復制的便利，我們希望能夠實現所有這些好處。

但其中的挑戰之一就是安全性。我們曾創造過一個環境，用于生產、測試和部署我們的一個公共Web應用程序，同時也用了完全的實體分隔技術。在我們的系統中，有些分離的網絡交換機，有部分VLAN-ing，但是從大的方面來看，整個環境在物理層面上還是分離的。所以進入或離開這個環境的唯一方法就是使用RSA SecurID結束終端服務器。

記者：以上您所說的Web應用程序是指哪些？

Khalsa：就是標準的Web應用程序。比如.NET、IIS或者是SQL后端。之所以需要如此高安全水準的部分原因是在虛擬環境部署后不到一年的時間，就出現了針對這些應用程序的安全漏洞。雖然我們對虛擬化非常感興趣，但是在虛擬環境中，如何維持一個高級別的安全性還是挺讓我們擔憂的。我們不得不考慮一種方法，它既能得到實體分隔技術帶來的好處又能獲得虛擬化帶來的便利。

記者：除了分離技術問題外，安全性方面還有其他的難點嗎？

Khalsa：在一部分人看來，大的融合會帶來大的風險。所以，如果你有一個中樞管理點，并且只要有一點疏漏就很可能會損害整個系統環境。

值得一提的是，虛擬化與工作人員日常處理的事務有很大的差別。這和近期IT領域中的現象也是一致的，而對于確保安全性，結構化和組織化的最佳答案還沒有明確的答復。

記者：你是如何克服這些困難的？

Khalsa：當我獲得的虛擬化方面的信息越多，我越是認識到在虛擬環境中你不能使用相同的實體分隔技術，獲得虛擬化帶來的便利。如果你有一個進行了實體分隔的環境，并想對這些設備做虛擬化，那你需要把這些目標設備都放在一個ESX主機中，并用分離的物理NIC(網絡接口卡)和分離的虛擬交換機進行分割，仍有數據穿過的公共點，但這并不意味著一定就是安全隱患。

我們并不希望沿著分離物理主機的方法來處理所有的事情，因為你所面對的環境相比于你試圖替換的環境更復雜，服務器數量眾多。所以我們正在探索一條在替換實體分隔時又能夠交付完美安全性能環境的全新道路。

美國新墨西哥州公共事業部門有160臺Dell服務器，當其中的80%虛擬化后，IT部門認識到他們不再需要依靠實體分隔技術來保證每臺服務器的安全性了。實體分隔技術只能限制數據中心內虛擬機(VM)的遷移，會減少虛擬化帶來的便利。帶來的其他困擾還包括現有的網絡防火墻與入侵監測或防御系統(IDS/IPS)無法與虛擬設置兼容。

所以該部門的系統管理處總管理員Gurusimran Khalsa開始尋找一種能夠實現集中訪問控制的虛擬化安全規劃，在虛擬化設置內登錄以及進行防火墻管理。他還部署了一種將基于網絡的策略管理的HyTrust設備與Altor Networks虛擬防火墻登錄結合的策略。

記者：對安全產品的考量是基于何種考慮？

Khalsa：在虛擬環境中，我深知我們需要一些防火墻而不是依賴于物理防火墻。并且我們也非常需要有一些可為虛擬環境交付更高安全水準的產品。同時，之前我也說過整合范圍越風險越大，所以虛擬環境中部署實施較高級別安全性能的想法就越發的重要。值得一提的是，從安全觀點出發，其準則的數量簡直就是數不勝數，像一個良好的記錄機制，它可以記錄并整理你系統中發生的變更以及所有事件。

記者：您最終選擇了HyTrust和Altor的產品，請問您的理由是什么？

Khalsa： HyTrust的主要優點之一就是其為環境交付的單式記賬點可達到非常高的安全水準。所以我們利用Active Directory進行驗證，以及RSA SecurID，使用HyTrust實現對系統環境的訪問。

除此之外，我們選擇HyTrust的另一個原因就是考慮到了整合和記錄。我們有能力去了解滿足某些標準的配置，以及驗證對這些標準的滿足，然后監測它是否有所更改。這就為我們提供了良好的可視性能，系統環境在特定時間內的所有狀況也都盡收眼底。

我們還用了Altor的產品套件，也就是其虛擬防火墻。我們使用了物理防火墻來對虛擬環境的外部做保護，然后使用Altor來提供系統環境的安全性能。Altor利用了VMwarev Safe APIs，可以在VM的虛擬NIC和虛擬交換機之間進行自我嵌入。這種方法可以觀測到所有流入流出VM的網絡流量，并可以在同一級別內部署防火墻，這在一個物理環境中來說是不可能的。除了防火墻，Altor套件提供了通常的虛擬環境中無法實現的一些性能，如入侵檢測系統(IDS)、入侵防御系統以及記錄和流量監控等。

記者：這種策略會比實體分隔中的安全性能更勝一籌嗎？

Khalsa：雖然它不能提供相同的實體分隔，但是同時使用兩種產品所獲得的安全性能比單獨使用一個所獲得的安全性能級別更高，或者至少與在實體分隔技術中所獲得的是等量的。另一個好處就是，你做這些變更付出的代價與你得到的好處相比，那簡直就是微乎其微。

記者：接下來的處理方法是什么？隨著虛擬環境的不斷發展，您將如何沿襲您的安全性路線？

Khalsa：在我看來未來的發展中還有一些像反病毒掃描這樣的挑戰。目前我們所有的服務器中都配有標準的反病毒程序，為了保證主機不負荷過多，我們必須保證所有的掃描都是交錯進行的，這更多的是一個管理方面的措施。

記者：您是如何把所有技術都集成到現有的以網絡為基礎的安全設備當中的？

Khalsa：以前我們的網絡部門管理著IDS以及Juniper防火墻，但是這之間卻并沒有任何交集，而且我們也不能使用任何與集中式管理相關的產品。我所能找到的就是在虛擬化環境中可用的工具，通過工具得到更多合并視圖的能力，并且在大多數程度上，這種管理界面所涉及到的虛擬化知識也并不是很多。我可以為大家介紹Altor防火墻中的IDS區域，它與任何IDS的工作原理都是一樣的。Altor在整合自己的防火墻產品與Juniper的時相當協調，所以下一代產品的發展方向就是能夠在Juniper的安全管理產品上實現管理和檢測功能。

記者：所以這個規劃的最終目的就是在虛擬化環境中整合網絡安全產品的管理？

Khalsa：這是我們最理想的結果了。我經常對我的員工說，不要把VM想的與其他任何產品不同。從管理的角度來看，這也是我們的目標。不管是虛擬環境還是物理環境，你都不需要對管理工具做任何區分，只要在虛擬和物理環境的邊界處進行安全管理就可以了。