企業(yè)CIO應(yīng)該怎樣保障虛擬化安全

責(zé)任編輯:sjia

2012-08-13 11:18:53

來源:企業(yè)網(wǎng)D1Net

原創(chuàng)

使用防火墻來保護(hù)數(shù)據(jù)中心網(wǎng)絡(luò)的物理服務(wù)器已經(jīng)很難了,把它用于保護(hù)虛擬服務(wù)器,或者私有云環(huán)境,那么難度會更大。

使用防火墻來保護(hù)數(shù)據(jù)中心網(wǎng)絡(luò)的物理服務(wù)器已經(jīng)很難了,把它用于保護(hù)虛擬服務(wù)器,或者私有云環(huán)境,那么難度會更大。畢竟,虛擬服務(wù)器會經(jīng)常遷移,所以防火墻不需要必須位于服務(wù)器物理邊界內(nèi)。有幾種策略可以為虛擬環(huán)境提供防火墻保護(hù)。

虛擬網(wǎng)絡(luò)安全

傳統(tǒng)數(shù)據(jù)中心架構(gòu)的網(wǎng)絡(luò)安全設(shè)計眾所周知:如果服務(wù)器的物理邊界屬于同一個安全域,那么防火墻通常位于聚合層。當(dāng)你開始實現(xiàn)服務(wù)器虛擬化,使用VMware的vMotion和分布式資源調(diào)度(DistributedResourceScheduler)部署虛擬機移動和自動負(fù)載分發(fā)時,物理定界的方式就失去作用。在這種情況下,服務(wù)器與剩余的網(wǎng)絡(luò)之間的流量仍然必須通過防火墻,這樣就會造成嚴(yán)重的流量長號,并且會增加數(shù)據(jù)中心的內(nèi)部負(fù)載。

虛擬網(wǎng)絡(luò)設(shè)備能夠讓你在網(wǎng)絡(luò)中任何地方快速部署防火墻、路由器或負(fù)載均衡器。但當(dāng)你開始部署這樣的虛擬網(wǎng)絡(luò)設(shè)備時,上述問題會越來越嚴(yán)重。這些虛擬化設(shè)備可以在物理服務(wù)器之間任意移動,其結(jié)果就是造成更加復(fù)雜的流量流。VMware的vCloudDirector就遇到這樣的設(shè)計問題。

使用DVFilter和虛擬防火墻

幾年前,VMware開發(fā)了一個虛擬機管理程序DVFilterAPI,它允許第三方軟件檢查網(wǎng)絡(luò)和存儲并列虛擬機的流量。有一些防火墻和入侵檢測系統(tǒng)(IDS)供應(yīng)商很快意識到它的潛在市場,開始發(fā)布不會出現(xiàn)過度行為的虛擬防火墻。VMware去年發(fā)布了vShieldZones和vShieldApp,也成為這類供應(yīng)商的一員。

基于DVFilter的網(wǎng)絡(luò)安全設(shè)備的工作方式與典型的防火墻不同。它不強迫流量必須通過基于IP路由規(guī)則的設(shè)備,而是明確地將防火墻插入到虛擬機的網(wǎng)卡(vNIC)和虛擬交換機(vSwitch)之間。這樣,不需要在虛擬機、虛擬交換機或物理網(wǎng)絡(luò)上進(jìn)行任何配置,防火墻就能夠檢測所有進(jìn)出vNIC的流量。vShield通過一個特別的配置層進(jìn)一步擴充這個概念:你可以在數(shù)據(jù)中心、集群和端口組(安全域)等不同級別上配置防火墻規(guī)則,在創(chuàng)建每個vNIC的策略時防火墻會應(yīng)用相應(yīng)的規(guī)則。

并列防火墻自動保護(hù)虛擬機的概念似乎是完美的,但是由于DVFilterAPI的構(gòu)架原因,它只能運行在虛擬機管理程序中,所以它也有一些潛在的缺點。

虛擬機防火墻的缺點:

每一個物理服務(wù)器都必須運行一個防火墻VM。防火墻設(shè)備只能保護(hù)運行在同一臺物理服務(wù)器上的虛擬機。如果希望保護(hù)所有物理位置的虛擬機,那么你必須在每一臺物理服務(wù)器上部署防火墻VM。

所有流量都會被檢測。你可能將DVFilterAPI只應(yīng)用到特定的vNIC上,只保護(hù)其中一些虛擬機,但是vShield產(chǎn)品并不支持這個功能。部署這些產(chǎn)品之后,所有通過虛擬機管理程序的流量都會被檢測到,這增加了CPU使用率,降低了網(wǎng)絡(luò)性能。

防火墻崩潰會影響到VM。防火墻VM的另一個問題是它會影響DVFilterAPI。受到影響的物理服務(wù)器上所有虛擬機網(wǎng)絡(luò)都會中斷。然而,物理服務(wù)器仍然可以運行,并且連到網(wǎng)絡(luò);因此,高可用特性無法將受影響的VM遷移到其他物理服務(wù)器上。

相同流量流會執(zhí)行多次檢測。DVFilterAPI在vNIC上檢測流量。因此,即使虛擬機之間傳輸?shù)牧髁繉儆谕粋€安全域,它們也會被檢測兩次,而傳統(tǒng)防火墻則不會出現(xiàn)這種情況。

虛擬交換機在虛擬化安全中的作用

虛擬化安全設(shè)備制造商也可以選擇vPathAPI,它可用于實現(xiàn)自定義虛擬交換機。思科系統(tǒng)最近發(fā)布了虛擬安全網(wǎng)關(guān)(VirtualSecurityGateway,VSG)產(chǎn)品,該產(chǎn)品可能整合傳統(tǒng)(非DVFilter)虛擬防火墻方法和流量流優(yōu)化技術(shù)。思科宣布VSG只進(jìn)行初始流量檢測,并將卸載流量轉(zhuǎn)發(fā)到虛擬以太網(wǎng)模塊(VirtualEthernetModules,VEM:虛擬機管理程序中改良的虛擬交換機),從而防止出現(xiàn)流量長號和性能問題。如果這一切是真的,那么VSG可能是工程師部署安全云服務(wù)的最理想工具。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號