美国新墨西哥州公共事业部门有160台Dell服务器，当其中的80%虚拟化后，IT部门认识到他们不再需要依靠实体分隔技术来保证每台服务器的安全性了。实体分隔技术只能限制数据中心内虚拟机（VM）的迁移，会减少虚拟化带来的便利。带来的其他困扰还包括现有的网络防火墙与入侵监测或防御系统(IDS/IPS)无法与虚拟设置兼容。

　　所以该部门的系统管理处总管理员Gurusimran Khalsa开始寻找一种能够实现集中访问控制的虚拟化安全规划，在虚拟化设置内登录以及进行防火墙管理。他还部署了一种将基于网络的策略管理的HyTrust设备与Altor Networks 虚拟防火墙登录结合的策略。并对TechTarget编辑Rivka大致讲述了其经验。

　　TechTarget：对安全产品的考量是基于何种考虑？

　　Khalsa:在虚拟环境中，我深知我们需要一些防火墙而不是依赖于物理防火墙。并且我们也非常需要有一些可为虚拟环境交付更高安全水准的产品。同时，之前我也说过整合范围越风险越大，所以虚拟环境中部署实施较高级别安全性能的想法就越发的重要。值得一提的是，从安全观点出发，其准则的数量简直就是数不胜数，像一个良好的记录机制，它可以记录并整理你系统中发生的变更以及所有事件。

　　TechTarget：您最终选择了HyTrust 和 Altor的产品，请问您的理由是什么？

　　Khalsa:HyTrust的主要优点之一就是其为环境交付的单式记账点可达到非常高的安全水准。所以我们利用Active Directory进行验证，以及RSA SecurID，使用HyTrust实现对系统环境的访问。

　　除此之外，我们选择HyTrust的另一个原因就是考虑到了整合和记录。我们有能力去了解满足某些标准的配置，以及验证对这些标准的满足，然后监测它是否有所更改。这就为我们提供了良好的可视性能，系统环境在特定时间内的所有状况也都尽收眼底。

　　我们还用了Altor的产品套件，也就是其虚拟防火墙。我们使用了物理防火墙来对虚拟环境的外部做保护，然后使用Altor来提供系统环境的安全性能。Altor利用了VMware vSafe APIs，可以在VM的虚拟NIC和虚拟交换机之间进行自我嵌入。这种方法可以观测到所有流入流出VM的网络流量，并可以在同一级别内部署防火墙，这在一个物理环境中来说是不可能的。除了防火墙，Altor套件提供了通常的虚拟环境中无法实现的一些性能，如入侵检测系统（IDS）、入侵防御系统以及记录和流量监控等。

　　TechTarget：这种策略会比实体分隔中的安全性能更胜一筹吗？

　　Khalsa:虽然它不能提供相同的实体分隔，但是同时使用两种产品所获得的安全性能比单独使用一个所获得的安全性能级别更高，或者至少与在实体分隔技术中所获得的是等量的。另一个好处就是，你做这些变更付出的代价与你得到的好处相比，那简直就是微乎其微。

　　TechTarget：接下来的处理方法是什么？随着虚拟环境的不断发展，您将如何沿袭您的安全性路线？

　　Khalsa:在我看来未来的发展中还有一些像反病毒扫描这样的挑战。目前我们所有的服务器中都配有标准的反病毒程序，为了保证主机不负荷过多，我们必须保证所有的扫描都是交错进行的，这更多的是一个管理方面的措施。

　　TechTarget：您是如何把所有技术都集成到现有的以网络为基础的安全设备当中的？

　　Khalsa:以前我们的网络部门管理着IDS以及Juniper防火墙，但是这之间却并没有任何交集，而且我们也不能使用任何与集中式管理相关的产品。我所能找到的就是在虚拟化环境中可用的工具，通过工具得到更多合并视图的能力，并且在大多数程度上，这种管理界面所涉及到的虚拟化知识也并不是很多。我可以为大家介绍Altor防火墙中的IDS区域，它与任何IDS的工作原理都是一样的。Altor在整合自己的防火墙产品与Juniper的时相当协调，所以下一代产品的发展方向就是能够在Juniper的安全管理产品上实现管理和检测功能。

　　TechTarget：所以这个规划的最终目的就是在虚拟化环境中整合网络安全产品的管理？

　　Khalsa:这是我们最理想的结果了。我经常对我的员工说，不要把VM想的与其他任何产品不同。从管理的角度来看，这也是我们的目标。不管是虚拟环境还是物理环境，你都不需要对管理工具做任何区分，只要在虚拟和物理环境的边界处进行安全管理就可以了。

虚拟化安全规划：替换实体分隔技术(上)