为主机服务器上不同类型的虚拟机创建物理安全区,已无法保证服务器虚拟化安全了。因此,网络和网络安全供应商推出了虚拟安全产品,它们可以在虚拟宿主的虚拟机上直接应用安全控制和策略。 虚拟化方案出现之初服务器虚拟化安全问题便一直困扰着网络安全专业人员。问题的部分原因在于无法监测虚拟机(VM)的行为,并且无法将安全策略应用到虚拟机上,因为连接这些VM的网络端口已经抽象运行到物理主机上的超级管理程序中了。
过去,网络专业人员一直通过对物理主机服务器划分安全区来解决这个问题。只要虚拟管理人员之间进行合作,并保持虚拟机器位于正确的物理VLAN上,这个问题还是可以解决的。 但是服务器虚拟方案正在迅速发展中……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
为主机服务器上不同类型的虚拟机创建物理安全区,已无法保证服务器虚拟化安全了。因此,网络和网络安全供应商推出了虚拟安全产品,它们可以在虚拟宿主的虚拟机上直接应用安全控制和策略。
虚拟化方案出现之初服务器虚拟化安全问题便一直困扰着网络安全专业人员。问题的部分原因在于无法监测虚拟机(VM)的行为,并且无法将安全策略应用到虚拟机上,因为连接这些VM的网络端口已经抽象运行到物理主机上的超级管理程序中了。过去,网络专业人员一直通过对物理主机服务器划分安全区来解决这个问题。只要虚拟管理人员之间进行合作,并保持虚拟机器位于正确的物理VLAN上,这个问题还是可以解决的。
但是服务器虚拟方案正在迅速发展中。支持VM迁移的技术,如VMware vMotion,只需轻点一下鼠标便可以使网络安全控制完全失效。目前,VM的启动和关闭非常频繁,人为操作失误逐渐成为一个较大的风险。管理员可以很轻易地在一台信用卡处理交易专用物理主机上启动一个测试及开发VM,同时网络安全团队会马上面临审计的噩梦。
一家中型的East Coast 银行的IT副总裁Dave Williams 表示,“你可以相对容易地启动虚拟机器,这取决于你操作的熟练程度,但问题是,你会发现有些管理员还只是刚开始接手工作。他们可能会将开发系统和生产系统部署在同一台ESX主机上”。
事实上,由Juniper Networks及其虚拟安全伙伴Altor Networks共同在VMworld 2010上所进行的一个IT专业人员调查显示,70%的被访者都在同一主机上部署不同的VM负载,以便提高他们的风险预测水平。其中55%的被访者表示在他们的网络上,每天都会发生多次的VM增加和删除操作,因此增加了人为失误的风险。
Altor Networks市场副总裁Johnnie Konstantas 表示,“他们在面向互联网的服务器上安装了数据库,并为客户资源应用安装了Web服务器,而为合作伙伴提供外部网络访问。这可能使服务器处于更高风险状态,特别是那些连接到互联网上的服务器,它们还可能将一些风险带到到一些没有连接到互联网且拥有高价值的设施上。从安全和法规的角度考虑,它们是必须被隔离的。”
Williams说道,“在谈到DMZ这个问题时,我更倾向于尽可能地使用物理边界。如果你用一个物理交换机将服务器连接到DMZ上,那么我不愿意将主机虚拟化到不同VLAN上。工程师们可能会说,‘我们可以将整个VLAN虚拟化,这样VM就不会连接到一起了’,但是,管理员可能很快就把它搞坏。”
服务器虚拟化安全性产品正在不断完善
供应商正在快速地解决这些问题。在过去的两年中,Juniper Networks已经在其防火墙业务方面与Altor Networks发展成为紧密的伙伴关系。在VMworld大会上,Check Point发布了Security Gateway Virtual Edition,Cisco Systems推出了VMsafe,VMware的应用程序接口(API)允许安全供应商将Cisco System产品与vSphere整合为一体。
这些供应商都致力于将自己的产品直接应用到管理程序技术上来实现服务器虚拟化安全性,从而与支持静态服务器的物理安全性控制一样精确。
Konstantas 表示,“我们在操作系统底层和内部安装了管理程序,这样我们就不仅能够对进出VM的数据包即时应用安全性,而且我们还可以全面地监测VM的运行状况。我们可以观察到VM上的网络连接,它所分配的端口以及网络的配置。我们还可以看到VM内部安装的应用及服务。” 同时,他还表示,“我们可以将安全策略应用到这些VM上,即使它只是一个将所有的虚拟化服务器都作为软件元素运行的物理主机,我们可以控制它们,就如同Juniper的SRX在物理环境中进行的操作一样。”
整合物理网络安全和服务器虚拟化安全是至关重要的
一个产品能够运行真正的虚拟化安全只是第一步。企业必须能够将物理和虚拟安全整合为统一的管理点,这样安全操作才可以变得更简单和更自动化。
Enterprise Strategy Group资深分析师Jon Oltsik表示,“你必须将你的虚拟安全工具与物理工具管理整合到一起,这样你就可以同时管理物理设备和虚拟设备。你拥有通用的策略管理、通用的策略执行、通用的报告和通用的审计。如果我有物理的Juniper SRX设备和虚拟防火墙,那么我就希望创建一个将它们全部包含在内的安全策略。”
翻译
TechTarget中国特约技术编辑,某高校计算机科学专业教师和网络实验室负责人,曾任职某网络国际厂商,关注数据中心、开发运维、数据库及软件开发技术。有多本关于思科数据中心和虚拟化技术的译著,如《思科绿色数据中心建设与管理》和《基于IP的能源管理》等。
相关推荐
-
VXLAN标准初探:扩展VLAN 支持远距离VM迁移
思科与VMware本月提出的VXLAN标准将创建一个逻辑网络,支持地理分散的数据中心之间实现远距离虚拟机迁移。VXLAN最终会实现多租户云网络所需要的远距离分割支持。
-
vSwitch架构实践
vSwitch构架取决于所管理的流量类型,根据主服务器上的NIC数量,vSwitch配置也不同。本文给出了三种类型的vSwitch,及其配置方法。并对此举了三个例子。
-
虚拟化的安全四个基本点
虽然移动设备和智能电话的安全性是时下虚拟化安全专家讨论的热门话题,但其他许多虚拟化的安全话题现在需要引起IT部门的注意。
-
虚拟交换对于云计算网络的重要性分析
每一个虚拟化软件产品或称为超级管理程序 都会带有一个虚拟交换机,由它来管理物理主机服务器内的网络帧流量。大多数情况下,这些虚拟交换机在管理员的工具……