數(shù)據(jù)中心虛擬防火墻的需求與應(yīng)用

責(zé)任編輯:vivian

2012-11-15 09:01:42

摘自:比特網(wǎng)

虛擬防火墻更需要了解端口,協(xié)議之外的應(yīng)用,支持基于用戶的策略,并將完整的威脅架構(gòu)納入策略中對(duì)抗現(xiàn)在的安全威脅。

隨著我們的數(shù)據(jù)過(guò)渡到虛擬數(shù)據(jù)中心和云中,我們?nèi)绾伪3衷瓉?lái)的一切以及過(guò)渡之后又會(huì)有哪些變化呢?在本周專欄里,筆者解決了選擇物理防火墻還是虛擬防火墻的問(wèn)題以及如何根據(jù)環(huán)境確定理想的形成要素。許多為虛擬化環(huán)境和云環(huán)境尋找安全方案的企業(yè)會(huì)自然而然地認(rèn)為選擇的范圍只有一兩個(gè)。筆者認(rèn)為其實(shí)答案要根據(jù)架構(gòu)的實(shí)際情況來(lái)定。

對(duì)虛擬防火墻的需求

讓我們首先從虛擬防火墻的使用案例開(kāi)始。在下面的圖一中,請(qǐng)看一下A和B中描述的情境。假設(shè)在虛擬化的數(shù)據(jù)中心環(huán)境中,你通過(guò)不同的應(yīng)用層級(jí)——應(yīng)用,Web和數(shù)據(jù)庫(kù),為數(shù)據(jù)中心分層。在A中,你在相同服務(wù)器上保留了相同的應(yīng)用信任級(jí)別。在B中,你將應(yīng)用信任級(jí)別進(jìn)行了混合。在C中一個(gè)服務(wù)器上應(yīng)用的信任級(jí)別不同。

數(shù)據(jù)中心虛擬化 物理VS虛擬防火墻對(duì)比

在A中,流量是從應(yīng)用走向數(shù)據(jù)庫(kù),例如,微軟SharePoint到SQL服務(wù)器,而且每個(gè)應(yīng)用層級(jí)都位于自己的VLAN中。流量可通過(guò)虛擬交換機(jī)通向外部交換網(wǎng)絡(luò)和外部防火墻。

同樣的選擇可以應(yīng)用到B中,但是卻并不是這一情境最理想的選擇。大多數(shù)B情境的流量都是橫向的,迫使流量縱向通過(guò)物理防火墻是低效且昂貴的,因?yàn)檫@樣操作會(huì)增加為虛擬機(jī)流量提供服務(wù)的物理端口數(shù)量。虛擬服務(wù)器中的每個(gè)應(yīng)用都需要在自己的VLAN中保護(hù)從應(yīng)用VM到數(shù)據(jù)庫(kù)VM的數(shù)據(jù)。因此,一個(gè)虛擬的防火墻應(yīng)該比物理防火墻更適合用于內(nèi)部托管檢測(cè),如C情境所示。

盡管如此,對(duì)于虛擬防火墻的一些考量也很重要。一個(gè)虛擬防火墻如果不能夠從硬件加速中獲益,就不能與物理防火墻媲美的性能。但是,軟件架構(gòu)是差異所在,所以對(duì)于配備了軟件架構(gòu)可優(yōu)化性能和減少延時(shí)的虛擬化防火墻要認(rèn)真考慮。

還需要了解在自己的環(huán)境中虛擬防火墻支持的性能有哪些。在過(guò)去兩年里,虛擬化的網(wǎng)絡(luò)安全產(chǎn)品激增。許多供應(yīng)商都努力要與“虛擬化和云”沾上邊,但卻只是給物理防火墻加點(diǎn)虛擬要素的包裝而已,卻忽略了而對(duì)虛擬化環(huán)境中實(shí)際情況的考量。特別是安全策略應(yīng)該對(duì)虛擬機(jī)的創(chuàng)建或動(dòng)向進(jìn)行跟蹤,而且應(yīng)該將目前需要手動(dòng)執(zhí)行的策略更改變成自動(dòng)化操作。

你的虛擬平臺(tái)供應(yīng)商有虛擬安全裝置,可以了解環(huán)境的動(dòng)態(tài)屬性,但是不能提供合適的安全功能。對(duì)于網(wǎng)絡(luò)的安全威脅不會(huì)因?yàn)槟愀挠锰摂M化的環(huán)境就消失。攻擊者正在使用新型,定向的,復(fù)雜的技巧,如漏洞挖掘,惡意軟件和間諜軟件,侵犯你的網(wǎng)絡(luò)。你的應(yīng)用程序員正在部署應(yīng)用,并利用防火墻上的開(kāi)放端口繞過(guò)安全策略。合作伙伴,承包商和移動(dòng)用戶需要隨時(shí)隨地訪問(wèn)你的應(yīng)用。所以虛擬防火墻更需要了解端口,協(xié)議之外的應(yīng)用,支持基于用戶的策略,并將完整的威脅架構(gòu)納入策略中對(duì)抗現(xiàn)在的安全威脅。

如何對(duì)兩者同時(shí)進(jìn)行優(yōu)化呢?你需要對(duì)下一代防火墻進(jìn)行虛擬化操作,下一代防火墻已經(jīng)解決了安全應(yīng)用的挑戰(zhàn),而且可以動(dòng)態(tài)了解虛擬機(jī)的動(dòng)向,還可以與管理編排軟件進(jìn)行融合。

虛擬防火墻會(huì)取代物理防火墻嗎?

就數(shù)據(jù)中心而言,虛擬防火墻會(huì)取代物理防火墻的地位嗎?答案是否定的。因?yàn)閿?shù)據(jù)中心的性能要求很苛刻,所以物理防火墻不會(huì)消失。在某些環(huán)境中,他們或許是唯一的選擇。而在其他環(huán)境中,則可能因傳輸量的需求而被用于邊緣數(shù)據(jù)中心過(guò)濾。在大多數(shù)混合的環(huán)境中,則是將物理防火墻與虛擬防火墻結(jié)合使用。物理防火墻與虛擬服務(wù)器交錯(cuò),所以用戶正開(kāi)始訪問(wèn)虛擬服務(wù)器。同時(shí),虛擬化的防火墻還在服務(wù)器中提供了分區(qū),如圖二所示。

這種架構(gòu)的另一優(yōu)點(diǎn)是物理防火墻既可以保護(hù)虛擬服務(wù)器又可以防御hypervisor漏洞。防御hypervisor攻擊需要虛擬供應(yīng)商保障hypervisor的完整性和軟件加固。但是,對(duì)hypervisor提供合適訪問(wèn)以及檢測(cè)虛擬平臺(tái)漏洞的補(bǔ)充性安全策略也很重要。這些無(wú)法在服務(wù)器里通過(guò)防火墻實(shí)現(xiàn)。畢竟,如果你已經(jīng)通過(guò)一次攻擊訪問(wèn)過(guò)Hypervisor,你就可以控制整個(gè)服務(wù)器。

數(shù)據(jù)中心虛擬化 物理VS虛擬防火墻對(duì)比

結(jié)語(yǔ)

數(shù)據(jù)中心環(huán)境正走向自動(dòng)化的,動(dòng)態(tài)的,按需服務(wù)。安全架構(gòu)必須與這些要求并駕齊驅(qū),但是也還要解決安全保護(hù)和安全應(yīng)用的實(shí)際問(wèn)題。簡(jiǎn)而言之,虛擬數(shù)據(jù)中心和云環(huán)境的網(wǎng)絡(luò)安全應(yīng)該:

提供應(yīng)有的安全特性(安全應(yīng)用啟用,威脅保護(hù),靈活的網(wǎng)絡(luò)整合)

動(dòng)態(tài)化:安全策略必須追蹤VM示例和動(dòng)向;安全策略應(yīng)經(jīng)過(guò)精心安排。

為數(shù)據(jù)中心的所有安全裝置提供持續(xù)的,集中的管理。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)