隨著虛擬化和云計(jì)算繼續(xù)吸引著注重成本的企業(yè)用戶,安全廠商們正致力于重新設(shè)計(jì)它們的技術(shù),用以集中解決在虛擬環(huán)境中實(shí)施安全時(shí)出現(xiàn)的問題。
隨著虛擬化和云計(jì)算繼續(xù)吸引著注重成本的企業(yè)用戶,安全廠商們正致力于重新設(shè)計(jì)它們的技術(shù),用以集中解決在虛擬環(huán)境中實(shí)施安全時(shí)出現(xiàn)的問題。
“毫無(wú)疑問,為物理環(huán)境所設(shè)計(jì)的安全性被引入到虛擬環(huán)境會(huì)引起性能問題,” Ogren集團(tuán)的創(chuàng)立者和首席分析師Eric Ogren說(shuō),“一個(gè)虛擬設(shè)備僅僅擁有安全是不夠的。雖然安全是毋庸置疑的,但是CPU、存儲(chǔ)器和網(wǎng)絡(luò)資源與虛擬機(jī)的連接可以迅速使系統(tǒng)的性能下降。”
市場(chǎng)研究公司Current Analysis的高級(jí)分析員Paula Musich表示,一些安全廠商已采取的策略,即在一個(gè)物理服務(wù)器上的每一個(gè)虛擬機(jī)內(nèi)安裝安全軟件的實(shí)例,會(huì)導(dǎo)致系統(tǒng)處于停滯狀態(tài)。
“每天早上當(dāng)人們登錄時(shí),做的第一件事通常是使用防病毒軟件,并同時(shí)掃描所有機(jī)器,”她說(shuō),“突然之間你的物理服務(wù)器癱瘓了,因?yàn)槟氵M(jìn)行的掃描接管了幾乎在它上面所有可用的CPU處理周期。”一些廠商已經(jīng)通過(guò)隨機(jī)化掃描時(shí)間來(lái)解決這個(gè)問題,以使它們不會(huì)同時(shí)地全部自動(dòng)發(fā)生,Musich說(shuō)道。“也許一個(gè)更加長(zhǎng)遠(yuǎn)的解決辦法是:在你試圖保護(hù)的每一個(gè)虛擬機(jī)上并不需要使用實(shí)例的方式來(lái)執(zhí)行安全。”她補(bǔ)充道。
打擊AV風(fēng)暴
Musich和其他安全專家贊揚(yáng)了Trend Micro公司,因其在固定的虛擬環(huán)境中處理“AV風(fēng)暴”問題的創(chuàng)新方法。
位于美國(guó)加州Cupertino的Trend Micro公司的云安全副總裁Dave Asprey表示,已經(jīng)有在100個(gè)虛擬桌面上安裝AV(反病毒)的情況引起了糟糕的性能問題,以至于公司不得不放棄安全,并“希望使性能重新恢復(fù)正常,但這并不是最好的做法。”
Trend公司的工程師檢查了需要采取什么措施來(lái)解決在虛擬架構(gòu)中的新威脅,并確定它們能帶來(lái)的效率。Asprey解釋了公司的深度安全產(chǎn)品的發(fā)展情況:“如果我們注意到了虛擬服務(wù)器上的云中所需要的大多數(shù)安全功能,在每個(gè)物理服務(wù)器上將它們集中到一個(gè)單一的虛擬實(shí)例里,那么我們將從根本上得到更好的密度和同等的效果,甚至?xí)懈玫陌踩浴?rdquo;
“我們使用虛擬機(jī)來(lái)工作,它擁有應(yīng)用程序接口,使我們可以檢查和管理文件請(qǐng)求,就像它們脫離了在物理主機(jī)上運(yùn)行的每個(gè)虛擬機(jī)。”他繼續(xù)說(shuō)道,“所以只需一個(gè)Trend Micro公司的實(shí)例,而不是100個(gè),并且我們得到了更好的性能和密度數(shù)字。”
Tolly集團(tuán),一個(gè)第三方的IT測(cè)試實(shí)驗(yàn)室,在今年早些時(shí)候報(bào)道說(shuō):Trend Micro公司的深度安全產(chǎn)品在使用關(guān)鍵系統(tǒng)資源方面的效率,是虛擬環(huán)境中的另外兩個(gè)競(jìng)爭(zhēng)產(chǎn)品的11倍。據(jù)Trend公司所說(shuō),這個(gè)效率可以幫助企業(yè)增加每個(gè)主機(jī)上的機(jī)器數(shù)量,或者虛擬機(jī)密度。
虛擬環(huán)境的安全性優(yōu)化
惠普公司的主管說(shuō):考慮到在固定的虛擬環(huán)境中避免類似于AV風(fēng)暴的問題,公司設(shè)計(jì)了新的入侵防御系統(tǒng)設(shè)備。惠普網(wǎng)絡(luò)的安全產(chǎn)品管理總監(jiān)Greg Adams說(shuō)道,入侵防御系統(tǒng)S6100N為企業(yè)在物理和虛擬環(huán)境中應(yīng)用安全措施提供了一個(gè)無(wú)縫的方式。它檢查虛擬機(jī)到虛擬機(jī)的流量和虛擬機(jī)到物理系統(tǒng)的流量。
惠普公司的vController是一個(gè)輕量級(jí)的代理程序,它與虛擬機(jī)的VMsafe應(yīng)用程序接口相結(jié)合,攔截虛擬環(huán)境內(nèi)的流量,并把它發(fā)送到物理的入侵防御系統(tǒng),從而用于檢查,Adams說(shuō)道,這個(gè)架構(gòu)方法允許惠普公司“在虛擬機(jī)自身上放置一個(gè)資源利用率低的代理程序”。
位于加州桑尼維爾的PacketMotion公司也致力于用它最近的用于虛擬環(huán)境的安全產(chǎn)品版本來(lái)阻止性能問題。公司的PacketSentry虛擬探測(cè)(VirtualProbe)將公司的網(wǎng)絡(luò)活動(dòng)監(jiān)測(cè)技術(shù)擴(kuò)展到虛擬機(jī)集群。這項(xiàng)技術(shù)用于實(shí)時(shí)地檢測(cè)潛在的惡意內(nèi)部行為或者違反規(guī)定,并旨在填補(bǔ)公司首席執(zhí)行官Paul Smith所說(shuō)的缺乏用于監(jiān)測(cè)虛擬機(jī)到虛擬機(jī)流量的企業(yè)工具這一不足。
“我們作為客戶虛擬機(jī)被部署,它不會(huì)使虛擬主機(jī)負(fù)荷變重,” Smith說(shuō)道。據(jù)PacketMotion公司,作為一個(gè)客戶虛擬機(jī),PacketSentry虛擬探測(cè)只占用主機(jī)CPU的3%到5%。
同時(shí),位于卡爾加里的Wedge Networks公司最近宣稱它的BeSecure Web安全網(wǎng)關(guān)可以作為云服務(wù)提供商的虛擬設(shè)備。總裁和首席執(zhí)行官Hongwen Zhang表示,該技術(shù)在虛擬環(huán)境中提供了近乎無(wú)痕跡的深度內(nèi)容檢測(cè)。“我們的隱形路由技術(shù)沒有對(duì)虛擬網(wǎng)絡(luò)配置造成任何影響,利用這項(xiàng)技術(shù),我們可以在不改變流量流的介質(zhì)訪問控制/虛擬局域網(wǎng)/互聯(lián)網(wǎng)協(xié)議的情況下來(lái)進(jìn)行內(nèi)嵌策略執(zhí)行。”他說(shuō)道。
增長(zhǎng)的市場(chǎng)
安全廠商正在提升他們虛擬安全產(chǎn)品的供給,因?yàn)槠髽I(yè)越來(lái)越意識(shí)到它們的虛擬環(huán)境對(duì)安全的需要。據(jù)位于加州坎貝爾的Infonetics Research公司的最近的一項(xiàng)研究,企業(yè)預(yù)計(jì)在2012年將比2010年平均多花費(fèi)51%的費(fèi)用在虛擬環(huán)境的安全上。該公司調(diào)查了105個(gè)就職于北美公司的IT買家,這些買家公司都部署了服務(wù)器虛擬化技術(shù)。
該研究還表明,在虛擬環(huán)境中使用新的安全產(chǎn)品的三大驅(qū)動(dòng)力:阻止針對(duì)虛擬環(huán)境的威脅,阻擋虛擬機(jī)之間的威脅和維護(hù)安全的服務(wù)器配置。
Infonetics市場(chǎng)研究公司稱,虛擬化環(huán)境的安全解決方案的市場(chǎng)是很混亂的,包括許多虛擬化廠商, VMware就是其中的一個(gè)領(lǐng)導(dǎo)者。
京公網(wǎng)安備 11010502049343號(hào)