虚拟化安全规划:替换实体分隔技术(上)

日期: 2011-06-12 作者:Rivka Gewirtz Little翻译:杨亚男 来源:TechTarget中国 英文

虚拟化逐渐脱离数据中心,网络和服务器管理员们必需得实施一种全新的虚拟化安全规划来保证核心应用程序在虚拟机上的稳定运行,可能还会需要一组相互结合的安全工具。   美国新墨西哥州公共事业部门有160台Dell服务器,当其中的80%虚拟化后,IT部门认识到他们不再需要依靠实体分隔技术来保证每台服务器的安全性了。实体分隔技术只能限制数据中心内虚拟机(VM)的迁移,会减少虚拟化带来的便利。带来的其他困扰还包括现有的网络防火墙与入侵监测或防御系统(IDS/IPS)无法与虚拟设置兼容。

  所以该部门的系统管理处总管理员Gurusimran Khalsa开始寻找一种能够实现集中访问控制的虚拟化安全规划,在虚……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

虚拟化逐渐脱离数据中心,网络和服务器管理员们必需得实施一种全新的虚拟化安全规划来保证核心应用程序在虚拟机上的稳定运行,可能还会需要一组相互结合的安全工具。

  美国新墨西哥州公共事业部门有160台Dell服务器,当其中的80%虚拟化后,IT部门认识到他们不再需要依靠实体分隔技术来保证每台服务器的安全性了。实体分隔技术只能限制数据中心内虚拟机(VM)的迁移,会减少虚拟化带来的便利。带来的其他困扰还包括现有的网络防火墙与入侵监测或防御系统(IDS/IPS)无法与虚拟设置兼容。

  所以该部门的系统管理处总管理员Gurusimran Khalsa开始寻找一种能够实现集中访问控制的虚拟化安全规划,在虚拟化设置内登录以及进行防火墙管理。他还部署了一种将基于网络的策略管理的HyTrust设备与Altor Networks的虚拟防火墙登录结合的策略。并对TechTarget编辑Rivka大致讲述了其经验。

  TechTarget:在数据中心内部实施虚拟化,您想要达到什么样的目标?

  Gurusimran Khalsa:从根本上来说,我们想要的就是虚拟化所能带来的传统意义上的利益,比如缩减成本,系统融合,管理的便捷性等,还包括一些如vMotion、快照、备份或者复制的便利,我们希望能够实现所有这些好处。

  但其中的挑战之一就是安全性。我们曾创造过一个环境,用于生产、测试和部署我们的一个公共Web应用程序,同时也用了完全的实体分隔技术。在我们的系统中,有些分离的网络交换机,有部分VLAN-ing,但是从大的方面来看,整个环境在物理层面上还是分离的。所以进入或离开这个环境的唯一方法就是使用RSA SecurID结束终端服务器。

  TechTarget:以上您所说的Web应用程序是指哪些?

  Khalsa:就是标准的Web应用程序。比如.NET、IIS 或者是SQL后端。之所以需要如此高安全水准的部分原因是在虚拟环境部署后不到一年的时间,就出现了针对这些应用程序的安全漏洞。虽然我们对虚拟化非常感兴趣,但是在虚拟环境中,如何维持一个高级别的安全性还是挺让我们担忧的。我们不得不考虑一种方法,它既能得到实体分隔技术带来的好处又能获得虚拟化带来的便利。

  TechTarget:除了分离技术问题外,安全性方面还有其他的难点吗?

  Khalsa:在一部分人看来,大的融合会带来大的风险。所以,如果你有一个中枢管理点,并且只要有一点疏漏就很可能会损害整个系统环境。

  值得一提的是,虚拟化与工作人员日常处理的事务有很大的差别。这和近期IT领域中的现象也是一致的,而对于确保安全性,结构化和组织化的最佳答案还没有明确的答复。

  TechTarget:你是如何克服这些困难的?

  Khalsa:当我获得的虚拟化方面的信息越多,我越是认识到在虚拟环境中你不能使用相同的实体分隔技术,获得虚拟化带来的便利。如果你有一个进行了实体分隔的环境,并想对这些设备做虚拟化,那你需要把这些目标设备都放在一个ESX主机中,并用分离的物理NIC(网络接口卡)和分离的虚拟交换机进行分割,仍有数据穿过的公共点,但这并不意味着一定就是安全隐患。

  我们并不希望沿着分离物理主机的方法来处理所有的事情,因为你所面对的环境相比于你试图替换的环境更复杂,服务器数量众多。所以我们正在探索一条在替换实体分隔时又能够交付完美安全性能环境的全新道路。

虚拟化安全规划:替换实体分隔技术(下)

相关推荐

  • 被忽略的企业网络中的硬件漏洞

    通常与应用相关的漏洞颇受瞩目,而硬件漏洞经常被众人所忽视。不断涌现的用户需求使得供应商实施相关措施以弥补这一缺陷。不过当硬件漏洞被检测出来时,通常需要供应商为固件编写特殊代码,实际上比为软件打补丁更困难……

  • 是否需要虚拟防火墙?

    企业安全的虚拟化漏洞越来越严重。虚拟防火墙可能是一种解决方法,但是还有许多因素需要考虑。本文介绍了什么是虚拟防火墙、为什么需要虚拟防火墙。

  • 虚拟化不再是网络安全黑洞

    由于虚拟基础架构缺少可见性,虚拟化一直是网络安全黑洞。除了避免对安全敏感应用程序使用虚拟化技,或者对虚拟机进行物理隔离,我们还能怎么办?

  • 如何应对层出不穷的虚拟化安全问题?

    使用DVFilter和虚拟防火墙看似是解决虚拟化安全问题的完美方案,但是其潜在的问题不容忽视,那么工程师部署安全云服务的理想工具是什么?