如何使用VMware防火墻作為縱深防御戰(zhàn)略的一部分?

責(zé)任編輯:editor007

2015-07-16 18:00:33

摘自:TechTarget中國(guó)

除了超出預(yù)期的過(guò)濾功能以外,vCloud Networking and Security Edge的其他可用功能還包括眾多數(shù)據(jù)中心周邊所預(yù)期的通用服務(wù):需要指出的是vShield App防火墻并不是一個(gè)七層的防火墻,它只是局限于第二、第三層的過(guò)濾。

簡(jiǎn)單而言就是沒(méi)有哪一種安全產(chǎn)品或技術(shù)是萬(wàn)能的。長(zhǎng)久以來(lái),整個(gè)行業(yè)已經(jīng)認(rèn)識(shí)到一個(gè)分層的托管安全實(shí)施是確保企業(yè)及其系統(tǒng)安全性的最佳方法。在本文中,我將介紹一下企業(yè)可以如何使用VMware防火墻技術(shù)的應(yīng)用來(lái)增強(qiáng)分層縱深戰(zhàn)略的。

vCloud的網(wǎng)絡(luò)和安全性

目前的vCloud網(wǎng)絡(luò)與安全產(chǎn)品包括了vShield Edge、vShield App以及vShield Data Security。其中涉及的安全組件如下:

vCloud Networking and Security Edge (即之前的vShield Edge)

vCloud Networking and Security App (即之前的vShield App)

vCloud Networking and Security Data Security (即之前的vShield Data Security)

外圍保護(hù)

我們首先從數(shù)據(jù)中心的外圍開(kāi)始,使用vCloud Networking and Security Edge來(lái)提供“信任區(qū)”分割。這可以是在一個(gè)多租戶環(huán)境中以租戶之間的隔離為寬度,或者在一個(gè)單一租戶環(huán)境中以DMZ和/或VPNextranet隔離為粒度。

基于vCloud Networking and Security Edge的防火墻過(guò)濾要優(yōu)于普通的IP地址過(guò)濾。

除了超出預(yù)期的過(guò)濾功能以外,vCloud Networking and Security Edge的其他可用功能還包括眾多數(shù)據(jù)中心周邊所預(yù)期的通用服務(wù):

DHCP(從一個(gè)預(yù)定義的資源池中為一臺(tái)服務(wù)器動(dòng)態(tài)分配或綁定一個(gè)特定的地址)

VPN (IPsec和SSL)

NAT(靜態(tài)和動(dòng)態(tài))

負(fù)載平衡(基本的HTTP(80)和HTTPS(443)負(fù)載平衡)

應(yīng)用程序保護(hù)

下一個(gè)防護(hù)層是直接在用戶想要保護(hù)的應(yīng)用程序前部署安全組件。

首先,需要指出的是vShield App防火墻并不是一個(gè)七層的防火墻,它只是局限于第二、第三層的過(guò)濾。也就是說(shuō),vShield App有著幾個(gè)值得注意的獨(dú)特功能:

流量監(jiān)控為網(wǎng)絡(luò)和應(yīng)用程序的流量狀況提供了實(shí)時(shí)的顯示。

SpoofGuard可阻止未知的虛擬機(jī)發(fā)送或接受流量,除非該操作已在vShield策略中明確。

雖然vShield App防火墻并不是我們所熟悉的傳統(tǒng)七層應(yīng)用程序防火墻,但是它確實(shí)超越了傳統(tǒng)IP地址過(guò)濾的方法,它允許基于邏輯結(jié)構(gòu)創(chuàng)建策略,例如vCenter服務(wù)器容器和vSheild安全組。

數(shù)據(jù)保護(hù)

vCloud Networking and Security Data Security是一個(gè)易于使用、圖形用戶界面驅(qū)動(dòng)的數(shù)據(jù)丟失保護(hù)(DLP)軟件,它可針對(duì)敏感數(shù)據(jù)提供掃描和報(bào)警服務(wù)。該產(chǎn)品部分基于RSA DLP技術(shù),并包含了來(lái)自于全球(包括北美、EMEA、亞太等地區(qū))的80個(gè)法規(guī)模板——例如個(gè)人身份信息、PCI DSS持卡人數(shù)據(jù)和受保護(hù)健康信息等。該產(chǎn)品可輕松實(shí)現(xiàn)客戶虛擬機(jī)下的數(shù)據(jù)分類(lèi),并能針對(duì)用戶數(shù)據(jù)提供完整的可見(jiàn)性。

最后的思考

VMware的vCloud Networking and Security在筑牢數(shù)據(jù)中心安全性籬笆方面還有很長(zhǎng)的一段路要走,而且請(qǐng)記住它在第七層所提供的保護(hù)是非常有限的。但是,如同其他大多數(shù)安全產(chǎn)品一樣,它并不是靈丹仙藥;用戶仍然需要采取額外的保護(hù)措施以便于配合vCloud Networking and Security的部署,同時(shí)還要有一個(gè)縱深防御的戰(zhàn)略。

用戶仍需面對(duì)的風(fēng)險(xiǎn)包括:SQL注入、跨站點(diǎn)偽造請(qǐng)求(CSRF)攻擊,所以用戶應(yīng)在完成VMware防火墻技術(shù)技術(shù)部署之后還應(yīng)對(duì)當(dāng)前威脅環(huán)境中各類(lèi)事件的應(yīng)對(duì)預(yù)案做好規(guī)劃。SQL注入風(fēng)險(xiǎn)可能是最有可能通過(guò)利用好內(nèi)置功能來(lái)解決的(例如Apache包括可針對(duì)一般攻擊提供保護(hù)的Mod安全應(yīng)用程序防火墻,其中就包括了SQL注入)。CSRF攻擊則可通過(guò)使用Apache Tomcat CSRF預(yù)防過(guò)濾器來(lái)減輕。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)