我們要如何應對虛擬化安全

發布時間: 2015/8/22 14:19:06

使用防火墻來保護數據中心網絡的物理服務器已經很難了，把它用于保護虛擬服務器，或者私有云環境，那么難度會更大。畢竟，虛擬服務器會經常遷移，所以防火墻不需要必須位于服務器物理邊界內。有幾種策略可以為虛擬環境提供防火墻保護。

虛擬網絡安全

傳統數據中心架構的網絡安全設計眾所周知：如果服務器的物理邊界屬于同一個安全域，那么防火墻通常位于聚合層。當你開始實現服務器虛擬化，使用VMware的vMotion和分布式資源調度（DistributedResourceScheduler）部署虛擬機移動和自動負載分發時，物理定界的方式就失去作用。在這種情況下，服務器與剩余的網絡之間的流量仍然必須通過防火墻，這樣就會造成嚴重的流量長號，并且會增加數據中心的內部負載。

虛擬網絡設備能夠讓你在網絡中任何地方快速部署防火墻、路由器或負載均衡器。但當你開始部署這樣的虛擬網絡設備時，上述問題會越來越嚴重。這些虛擬化設備可以在物理服務器之間任意移動，其結果就是造成更加復雜的流量流。VMware的vCloudDirector就遇到這樣的設計問題。

使用DVFilter和虛擬防火墻

幾年前，VMware開發了一個虛擬機管理程序DVFilterAPI，它允許第三方軟件檢查網絡和存儲并列虛擬機的流量。有一些防火墻和入侵檢測系統（IDS）供應商很快意識到它的潛在市場，開始發布不會出現過度行為的虛擬防火墻。VMware去年發布了vShieldZones和vShieldApp，也成為這類供應商的一員。

基于DVFilter的網絡安全設備的工作方式與典型的防火墻不同。它不強迫流量必須通過基于IP路由規則的設備，而是明確地將防火墻插入到虛擬機的網卡（vNIC）和虛擬交換機（vSwitch）之間。這樣，不需要在虛擬機、虛擬交換機或物理網絡上進行任何配置，防火墻就能夠檢測所有進出vNIC的流量。vShield通過一個特別的配置層進一步擴充這個概念：你可以在數據中心、集群和端口組（安全域）等不同級別上配置防火墻規則，在創建每個vNIC的策略時防火墻會應用相應的規則。

并列防火墻自動保護虛擬機的概念似乎是完美的，但是由于DVFilterAPI的構架原因，它只能運行在虛擬機管理程序中，所以它也有一些潛在的缺點。

虛擬機防火墻的缺點：

每一個物理服務器都必須運行一個防火墻VM.防火墻設備只能保護運行在同一臺物理服務器上的虛擬機。如果希望保護所有物理位置的虛擬機，那么你必須在每一臺物理服務器上部署防火墻VM.

所有流量都會被檢測。你可能將DVFilterAPI只應用到特定的vNIC上，只保護其中一些虛擬機，但是vShield產品并不支持這個功能。部署這些產品之后，所有通過虛擬機管理程序的流量都會被檢測到，這增加了CPU使用率，降低了網絡性能。

防火墻崩潰會影響到VM.防火墻VM的另一個問題是它會影響DVFilterAPI.受到影響的物理服務器上所有虛擬機網絡都會中斷。然而，物理服務器仍然可以運行，并且連到網絡；因此，高可用特性無法將受影響的VM遷移到其他物理服務器上。

相同流量流會執行多次檢測。DVFilterAPI在vNIC上檢測流量。因此，即使虛擬機之間傳輸的流量屬于同一個安全域，它們也會被檢測兩次，而傳統防火墻則不會出現這種情況。

虛擬交換機在虛擬化安全中的作用

虛擬化安全設備制造商也可以選擇vPathAPI，它可用于實現自定義虛擬交換機。思科系統最近發布了虛擬安全網關（VirtualSecurityGateway，VSG）產品，該產品可能整合傳統（非DVFilter）虛擬防火墻方法和流量流優化技術。思科宣布VSG只進行初始流量檢測，并將卸載流量轉發到虛擬以太網模塊（VirtualEthernetModules，VEM：虛擬機管理程序中改良的虛擬交換機），從而防止出現流量長號和性能問題。如果這一切是真的，那么VSG可能是工程師部署安全云服務的最理想工具。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]

上一篇 >> 虛擬化技術是如何加強數據中心運作的
下一篇 >> 如何解決服務器虛擬化中遇到的問題

服務器租用

服務器托管

機柜批發

云服務器

建站俠

空間/域名

安全保姆

幫助類別

幫助中心

文章內容

我們要如何應對虛擬化安全

虛擬網絡安全

使用DVFilter和虛擬防火墻

虛擬機防火墻的缺點：

虛擬交換機在虛擬化安全中的作用

同類文章

億恩公告

在線客服