簡(jiǎn)單而言就是沒(méi)有哪一種安全產(chǎn)品或技術(shù)是萬(wàn)能的。長(zhǎng)久以來(lái),整個(gè)行業(yè)已經(jīng)認(rèn)識(shí)到一個(gè)分層的托管安全實(shí)施是確保企業(yè)及其系統(tǒng)安全性的最佳方法。在本文中,我將介紹一下企業(yè)可以如何使用VMware防火墻技術(shù)的應(yīng)用來(lái)增強(qiáng)分層縱深戰(zhàn)略的。
vCloud的網(wǎng)絡(luò)和安全性
目前的vCloud網(wǎng)絡(luò)與安全產(chǎn)品包括了vShield Edge、vShield App以及vShield Data Security。其中涉及的安全組件如下:
vCloud Networking and Security Edge (即之前的vShield Edge)
vCloud Networking and Security App (即之前的vShield App)
vCloud Networking and Security Data Security (即之前的vShield Data Security)
外圍保護(hù)
我們首先從數(shù)據(jù)中心的外圍開(kāi)始,使用vCloud Networking and Security Edge來(lái)提供“信任區(qū)”分割。這可以是在一個(gè)多租戶環(huán)境中以租戶之間的隔離為寬度,或者在一個(gè)單一租戶環(huán)境中以DMZ和/或VPNextranet隔離為粒度。
基于vCloud Networking and Security Edge的防火墻過(guò)濾要優(yōu)于普通的IP地址過(guò)濾。
除了超出預(yù)期的過(guò)濾功能以外,vCloud Networking and Security Edge的其他可用功能還包括眾多數(shù)據(jù)中心周邊所預(yù)期的通用服務(wù):
DHCP(從一個(gè)預(yù)定義的資源池中為一臺(tái)服務(wù)器動(dòng)態(tài)分配或綁定一個(gè)特定的地址)
VPN (IPsec和SSL)
NAT(靜態(tài)和動(dòng)態(tài))
負(fù)載平衡(基本的HTTP(80)和HTTPS(443)負(fù)載平衡)
應(yīng)用程序保護(hù)
下一個(gè)防護(hù)層是直接在用戶想要保護(hù)的應(yīng)用程序前部署安全組件。
首先,需要指出的是vShield App防火墻并不是一個(gè)七層的防火墻,它只是局限于第二、第三層的過(guò)濾。也就是說(shuō),vShield App有著幾個(gè)值得注意的獨(dú)特功能:
流量監(jiān)控為網(wǎng)絡(luò)和應(yīng)用程序的流量狀況提供了實(shí)時(shí)的顯示。
SpoofGuard可阻止未知的虛擬機(jī)發(fā)送或接受流量,除非該操作已在vShield策略中明確。
雖然vShield App防火墻并不是我們所熟悉的傳統(tǒng)七層應(yīng)用程序防火墻,但是它確實(shí)超越了傳統(tǒng)IP地址過(guò)濾的方法,它允許基于邏輯結(jié)構(gòu)創(chuàng)建策略,例如vCenter服務(wù)器容器和vSheild安全組。
數(shù)據(jù)保護(hù)
vCloud Networking and Security Data Security是一個(gè)易于使用、圖形用戶界面驅(qū)動(dòng)的數(shù)據(jù)丟失保護(hù)(DLP)軟件,它可針對(duì)敏感數(shù)據(jù)提供掃描和報(bào)警服務(wù)。該產(chǎn)品部分基于RSA DLP技術(shù),并包含了來(lái)自于全球(包括北美、EMEA、亞太等地區(qū))的80個(gè)法規(guī)模板——例如個(gè)人身份信息、PCI DSS持卡人數(shù)據(jù)和受保護(hù)健康信息等。該產(chǎn)品可輕松實(shí)現(xiàn)客戶虛擬機(jī)下的數(shù)據(jù)分類(lèi),并能針對(duì)用戶數(shù)據(jù)提供完整的可見(jiàn)性。
最后的思考
VMware的vCloud Networking and Security在筑牢數(shù)據(jù)中心安全性籬笆方面還有很長(zhǎng)的一段路要走,而且請(qǐng)記住它在第七層所提供的保護(hù)是非常有限的。但是,如同其他大多數(shù)安全產(chǎn)品一樣,它并不是靈丹仙藥;用戶仍然需要采取額外的保護(hù)措施以便于配合vCloud Networking and Security的部署,同時(shí)還要有一個(gè)縱深防御的戰(zhàn)略。
用戶仍需面對(duì)的風(fēng)險(xiǎn)包括:SQL注入、跨站點(diǎn)偽造請(qǐng)求(CSRF)攻擊,所以用戶應(yīng)在完成VMware防火墻技術(shù)技術(shù)部署之后還應(yīng)對(duì)當(dāng)前威脅環(huán)境中各類(lèi)事件的應(yīng)對(duì)預(yù)案做好規(guī)劃。SQL注入風(fēng)險(xiǎn)可能是最有可能通過(guò)利用好內(nèi)置功能來(lái)解決的(例如Apache包括可針對(duì)一般攻擊提供保護(hù)的Mod安全應(yīng)用程序防火墻,其中就包括了SQL注入)。CSRF攻擊則可通過(guò)使用Apache Tomcat CSRF預(yù)防過(guò)濾器來(lái)減輕。