縱觀虛擬安全市場 大牌產(chǎn)品各有千秋
虛擬數(shù)據(jù)中心有許多優(yōu)點(diǎn)——節(jié)約成本、靈活性和可擴(kuò)展性,但是它也存在相應(yīng)的安全問題。隨著服務(wù)器虛擬化的成熟,IT部門發(fā)現(xiàn)他們需要采用新的方法來保護(hù)系統(tǒng),防御來自內(nèi)部網(wǎng)絡(luò)(如管理員)和外部網(wǎng)絡(luò)的威脅。當(dāng)然,供應(yīng)商們也為虛擬網(wǎng)絡(luò)安全產(chǎn)品這個(gè)新市場做好了準(zhǔn)備。
Forrester Research副總裁和首席分析師Chenxi Wang說:“無論在虛擬數(shù)據(jù)中心內(nèi)部署什么應(yīng)用程序,安全策略都應(yīng)該能夠保證應(yīng)用程序的數(shù)據(jù)與運(yùn)行在物理基礎(chǔ)架構(gòu)時(shí)是完全相同的。因此,為這些應(yīng)用程序部署的所有安全措施(防火墻規(guī)則、網(wǎng)絡(luò)分片、反病毒程序和數(shù)據(jù)控制)都必須復(fù)制到虛擬化基礎(chǔ)架構(gòu)。”
但是,網(wǎng)絡(luò)安全控制和網(wǎng)絡(luò)管理員在物理基礎(chǔ)架構(gòu)中使用的方法不能應(yīng)用于虛擬數(shù)據(jù)中心。Wang解釋說,例如在物理基礎(chǔ)架構(gòu)中,管理員可以使用防火墻分隔服務(wù)器,但是它在虛擬環(huán)境中是不可行的。可能有一臺Web服務(wù)器連接外部網(wǎng)絡(luò),另一臺服務(wù)器則在內(nèi)部網(wǎng)絡(luò)中,當(dāng)我們將這兩臺服務(wù)器轉(zhuǎn)移到虛擬基礎(chǔ)架構(gòu)時(shí),它們就不再運(yùn)行在兩個(gè)獨(dú)立的硬件上,而可能是運(yùn)行在同一臺服務(wù)器的兩臺虛擬機(jī)上,但是它們?nèi)匀恍枰綦x。
Wang說:“除了VMware之外,現(xiàn)在的虛擬技術(shù)本身都不支持控制,所以您需要第三方技術(shù),或者手工保證它們是分隔的。”
對于更復(fù)雜的問題,供應(yīng)商解決數(shù)據(jù)中心網(wǎng)絡(luò)安全問題的方法則略有不同。Wang說,有一些供應(yīng)商出品了部署在物理服務(wù)器上的虛擬網(wǎng)絡(luò)安全軟件,還有一些則是直接部署在數(shù)據(jù)中心的硬件上。
目前,只有少數(shù)供應(yīng)商提供數(shù)據(jù)中心虛擬網(wǎng)絡(luò)安全產(chǎn)品。其中大型供應(yīng)商包括思科、惠普、Juniper和VMware,小型供應(yīng)商則有HyTrust、Vyatta和Catbird。
思科虛擬安全網(wǎng)關(guān)和ASA 1000V
思科的虛擬安全架構(gòu)由虛擬安全網(wǎng)關(guān)和自適應(yīng)安全設(shè)備 (Adaptive Security Appliance,ASA) 1000V 云防火墻組成。這兩個(gè)產(chǎn)品都整合了Cisco Nexus 1000v分布式虛擬交換機(jī),能作為虛擬設(shè)備運(yùn)行在ESX或Cisco Nexus 1010 虛擬服務(wù)設(shè)備上,這讓思科的產(chǎn)品只能夠運(yùn)行在思科的環(huán)境中。然而,Nexus 1000V支持多個(gè)虛擬機(jī)管理程序(VMware和未來即將支持的Microsoft Hyper-V),因此對于這些IT部門而言,優(yōu)點(diǎn)是他們能夠?qū)崿F(xiàn)一個(gè)運(yùn)行多虛擬管理程序的數(shù)據(jù)中心。
虛擬安全網(wǎng)關(guān)(VSG)是基于域的防火墻,保護(hù)特定租賃者的虛擬機(jī)內(nèi)部通信。它支持虛擬機(jī)之間的訪問控制。VSG與ASA 1000V整合,ASA 1000V是思科物理安全基礎(chǔ)架構(gòu)防火墻:思科自適應(yīng)安全設(shè)備(ASA)的云版本。Cisco ASA 1000V云防火墻能夠保證租賃者邊界的安全。
HP TippingPoint保證虛擬安全
惠普推出了虛擬網(wǎng)絡(luò)安全產(chǎn)品Secure Virtualization Framework,它由HP虛擬控制器(vController)、虛擬防火墻(VFW)、虛擬管理中心 (VMC)和HP TippingPoint N Series IPS組成。VFW 能夠創(chuàng)建可信域,在虛擬機(jī)、集群和應(yīng)用程序分組中執(zhí)行分片。vController和VFW位于各個(gè)虛擬機(jī)管理程序中,可對虛擬機(jī)間的流量應(yīng)用安全策略。它們共同控制虛擬機(jī)之間的通信。vController還能夠?qū)⒘髁堪l(fā)送給入侵防御系統(tǒng)(IPS)。TippingPoint N Series IPS可以檢測流量,并根據(jù)VMC設(shè)置的策略將流量發(fā)送回虛擬集群,或者丟棄該流量。
Juniper vGW
Juniper vGW是一個(gè)運(yùn)行在虛擬機(jī)管理程序內(nèi)部的防火墻,能夠在內(nèi)核中執(zhí)行安全處理。它只兼容VMware。它與VMware vCenter整合,通過管理控制臺和vGW安全策略進(jìn)行管理。除了有狀態(tài)防火墻功能,vGW還包括合規(guī)性、反病毒及監(jiān)控與報(bào)告功能。它是基于Juniper 2010年末收購的虛擬網(wǎng)絡(luò)安全公司Altor的技術(shù)。
VMware vShield
VMware vShield產(chǎn)品線包括vShield App、vShield Edge和vShield Endpoint。VShield Edge是一個(gè)網(wǎng)絡(luò)和安全網(wǎng)關(guān),它能夠保護(hù)虛擬數(shù)據(jù)中心邊界。VShield App支持虛擬機(jī)內(nèi)部通信分片,它能夠?qū)?yīng)用程序鎖定到某些特定端口和必要服務(wù)。VShield Endpoint可以將反病毒功能轉(zhuǎn)移到一個(gè)專用的虛擬設(shè)備上,從而減少虛擬機(jī)中的反病毒客戶端。這三個(gè)軟件產(chǎn)品可以在VMware基礎(chǔ)架構(gòu)中獨(dú)單獨(dú)部署或一起部署。
Vyatta OS
這家公司的虛擬路由器軟件Vyatta OS包含了的傳統(tǒng)網(wǎng)絡(luò)安全功能——例如,狀態(tài)防火墻、基于IPsec與SSL的VPN、網(wǎng)絡(luò)入侵防御、Web過濾和動態(tài)路由,它可以用作預(yù)打包虛擬機(jī)。這個(gè)軟件運(yùn)行在虛擬機(jī)管理程序中,兼容VMware、Xen、XenServer和Red Hat KVM。Vyatta OS通過命令行、Vyatta的Web GUI或第三方管理系統(tǒng)進(jìn)行管理。
HyTrust
HyTrust是一個(gè)部署在VMware基礎(chǔ)架構(gòu)的虛擬硬件。這個(gè)軟件能夠攔截VMware管理工具的管理請求,根據(jù)定義好的策略允許或拒絕請求。HyTrust支持用戶身份驗(yàn)證,能夠防止對虛擬基礎(chǔ)架構(gòu)的未授權(quán)訪問。例如,如果網(wǎng)絡(luò)管理員準(zhǔn)備將一個(gè)虛擬機(jī)連接到錯(cuò)誤的網(wǎng)段,那么HyTrust 將會阻止這個(gè)請求。HyTrust可以與VMware vShield一起使用。
Catbird vSecurity
Catbird vSecurity由一個(gè)部署在各個(gè)虛擬宿主內(nèi)的虛擬設(shè)備和管理控制臺Catbird 控制中心組成。這個(gè)虛擬設(shè)備包含四個(gè)組件:VCompliance監(jiān)控和保證合規(guī)性。Hypervisor Shield負(fù)責(zé)監(jiān)控服務(wù)器和網(wǎng)絡(luò),保護(hù)虛擬機(jī)管理程序不出現(xiàn)未授權(quán)訪問、錯(cuò)誤配置和連接公共網(wǎng)絡(luò)。VMshield保護(hù)虛擬機(jī)本身。如果虛擬機(jī)配置不符合策略,那么未修正之前,它會與其余網(wǎng)絡(luò)隔離。最后,TrustZones負(fù)責(zé)保證任意位置的主機(jī)安全,它還可用于執(zhí)行網(wǎng)絡(luò)分片。Catbird vSecurity支持VMware和XenServer環(huán)境。
【編輯推薦】
