網(wǎng)絡(luò)供應(yīng)商如何提高服務(wù)器虛擬化安全性

2010-09-30 11:28:31
云計算
虛擬化 為主機服務(wù)器上不同類型的虛擬機創(chuàng)建物理安全區(qū)，已無法保證服務(wù)器虛擬化安全了。因此，網(wǎng)絡(luò)和網(wǎng)絡(luò)安全供應(yīng)商推出了虛擬安全產(chǎn)品，它們可以在虛擬宿主的虛擬機上直接應(yīng)用安全控制和策略。

在瓜州等地區(qū)，都構(gòu)建了全面的區(qū)域性戰(zhàn)略布局，加強發(fā)展的系統(tǒng)性、市場前瞻性、產(chǎn)品創(chuàng)新能力，以專注、極致的服務(wù)理念，為客戶提供網(wǎng)站建設(shè)、網(wǎng)站制作 網(wǎng)站設(shè)計制作按需開發(fā),公司網(wǎng)站建設(shè),企業(yè)網(wǎng)站建設(shè),高端網(wǎng)站設(shè)計,成都全網(wǎng)營銷推廣,成都外貿(mào)網(wǎng)站制作,瓜州網(wǎng)站建設(shè)費用合理。

為主機服務(wù)器上不同類型的虛擬機創(chuàng)建物理安全區(qū)，已無法保證服務(wù)器虛擬化安全了。因此，網(wǎng)絡(luò)和網(wǎng)絡(luò)安全供應(yīng)商推出了虛擬安全產(chǎn)品，它們可以在虛擬宿主的虛擬機上直接應(yīng)用安全控制和策略。

虛擬化方案出現(xiàn)之初服務(wù)器虛擬化安全問題便一直困擾著網(wǎng)絡(luò)安全專業(yè)人員。問題的部分原因在于無法監(jiān)測虛擬機(VM)的行為，并且無法將安全策略應(yīng)用到虛擬機上，因為連接這些VM的網(wǎng)絡(luò)端口已經(jīng)抽象運行到物理主機上的超級管理程序中了。過去，網(wǎng)絡(luò)專業(yè)人員一直通過對物理主機服務(wù)器劃分安全區(qū)來解決這個問題。只要虛擬管理人員之間進行合作，并保持虛擬機器位于正確的物理VLAN上，這個問題還是可以解決的。

但是服務(wù)器虛擬方案正在迅速發(fā)展中。支持VM遷移的技術(shù)，如VMware vMotion，只需輕點一下鼠標(biāo)便可以使網(wǎng)絡(luò)安全控制完全失效。目前，VM的啟動和關(guān)閉非常頻繁，人為操作失誤逐漸成為一個較大的風(fēng)險。管理員可以很輕易地在一臺信用卡處理交易專用物理主機上啟動一個測試及開發(fā)VM，同時網(wǎng)絡(luò)安全團隊會馬上面臨審計的噩夢。

一家中型的East Coast 銀行的IT副總裁Dave Williams 表示，“你可以相對容易地啟動虛擬機器，這取決于你操作的熟練程度，但問題是，你會發(fā)現(xiàn)有些管理員還只是剛開始接手工作。他們可能會將開發(fā)系統(tǒng)和生產(chǎn)系統(tǒng)部署在同一臺ESX主機上”。

事實上，由Juniper Networks及其虛擬安全伙伴Altor Networks共同在VMworld 2010上所進行的一個IT專業(yè)人員調(diào)查顯示，70%的被訪者都在同一主機上部署不同的VM負載，以便提高他們的風(fēng)險預(yù)測水平。其中55%的被訪者表示在他們的網(wǎng)絡(luò)上，每天都會發(fā)生多次的VM增加和刪除操作，因此增加了人為失誤的風(fēng)險。

Altor Networks市場副總裁Johnnie Konstantas 表示，“他們在面向互聯(lián)網(wǎng)的服務(wù)器上安裝了數(shù)據(jù)庫，并為客戶資源應(yīng)用安裝了web服務(wù)器，而為合作伙伴提供外部網(wǎng)絡(luò)訪問。這可能使服務(wù)器處于更高風(fēng)險狀態(tài)，特別是那些連接到互聯(lián)網(wǎng)上的服務(wù)器，它們還可能將一些風(fēng)險帶到到一些沒有連接到互聯(lián)網(wǎng)且擁有高價值的設(shè)施上。從安全和法規(guī)的角度考慮，它們是必須被隔離的?！?/p>

Williams說道，“在談到DMZ這個問題時，我更傾向于盡可能地使用物理邊界。如果你用一個物理交換機將服務(wù)器連接到DMZ上，那么我不愿意將主機虛擬化到不同VLAN上。工程師們可能會說，‘我們可以將整個VLAN虛擬化，這樣VM就不會連接到一起了’，但是，管理員可能很快就把它搞壞?！?/p>

服務(wù)器虛擬化安全性產(chǎn)品正在不斷完善

供應(yīng)商正在快速地解決這些問題。在過去的兩年中，Juniper Networks已經(jīng)在其防火墻業(yè)務(wù)方面與Altor Networks發(fā)展成為緊密的伙伴關(guān)系。在VMworld大會上，Check Point發(fā)布了Security Gateway Virtual Edition，Cisco Systems推出了VMsafe，VMware的應(yīng)用程序接口(API)允許安全供應(yīng)商將Cisco System產(chǎn)品與vSphere整合為一體。

這些供應(yīng)商都致力于將自己的產(chǎn)品直接應(yīng)用到管理程序技術(shù)上來實現(xiàn)服務(wù)器虛擬化安全性，從而與支持靜態(tài)服務(wù)器的物理安全性控制一樣精確。

Konstantas 表示，“我們在操作系統(tǒng)底層和內(nèi)部安裝了管理程序，這樣我們就不僅能夠?qū)M出VM的數(shù)據(jù)包即時應(yīng)用安全性，而且我們還可以全面地監(jiān)測VM的運行狀況。我們可以觀察到VM上的網(wǎng)絡(luò)連接，它所分配的端口以及網(wǎng)絡(luò)的配置。我們還可以看到VM內(nèi)部安裝的應(yīng)用及服務(wù)?！?同時，他還表示，“我們可以將安全策略應(yīng)用到這些VM上，即使它只是一個將所有的虛擬化服務(wù)器都作為軟件元素運行的物理主機，我們可以控制它們，就如同Juniper的SRX在物理環(huán)境中進行的操作一樣。”

整合物理網(wǎng)絡(luò)安全和服務(wù)器虛擬化安全是至關(guān)重要的

一個產(chǎn)品能夠運行真正的虛擬化安全只是第一步。企業(yè)必須能夠?qū)⑽锢砗吞摂M安全整合為統(tǒng)一的管理點，這樣安全操作才可以變得更簡單和更自動化。

Enterprise Strategy Group資深分析師Jon Oltsik表示，“你必須將你的虛擬安全工具與物理工具管理整合到一起，這樣你就可以同時管理物理設(shè)備和虛擬設(shè)備。你擁有通用的策略管理、通用的策略執(zhí)行、通用的報告和通用的審計。如果我有物理的Juniper SRX設(shè)備和虛擬防火墻，那么我就希望創(chuàng)建一個將它們?nèi)堪趦?nèi)的安全策略?！?/p>
分享標(biāo)題：網(wǎng)絡(luò)供應(yīng)商如何提高服務(wù)器虛擬化安全性
網(wǎng)址分享：http://m.fisionsoft.com.cn/article/cdjdihd.html