業(yè)務(wù)部門和IT運營部門正在緩慢推動數(shù)據(jù)中心服務(wù)器和組件的虛擬化，這給安全專家提出了新的難題：如何在虛擬環(huán)境中保持足夠的控制。所幸的是，現(xiàn)在出現(xiàn)了很多解決虛擬化挑戰(zhàn)的新的成熟的網(wǎng)絡(luò)安全方案，這些解決方案具有強大的功能，足以與對應(yīng)的物理產(chǎn)品相媲美。那么，我們應(yīng)該如何在這些產(chǎn)品中做出選擇呢?在這篇文章中，我們將討論在評估網(wǎng)絡(luò)安全虛擬化產(chǎn)品時需要考慮的關(guān)鍵因素。

在評估過程中，第一步(可以說是最重要的一步)是確定哪些安全虛擬化產(chǎn)品最適合你和你的企業(yè)。下面幾個因素可以幫助你確定這個問題：

• 成本。在考慮是否要使用新虛擬技術(shù)來取代現(xiàn)有網(wǎng)絡(luò)安全技術(shù)(可能沒有或者只有有限的虛擬化安全功能)或者加強現(xiàn)有技術(shù)時，成本是主要的考慮因素。很多供應(yīng)商的虛擬平臺的定價模式是根據(jù)每個管理程序、每特定數(shù)量的虛擬機或者每CPU來收取許可費用。這種定價模式可能導(dǎo)致企業(yè)需要使用完全不同的公式來計算產(chǎn)品的成本，并且隨著時間的推移，虛擬化使用的增加，還可能產(chǎn)生額外的費用。

• 供應(yīng)商的可靠性。對于任何供應(yīng)商，請確保你事先做了足夠的功課。一些供應(yīng)商比其他供應(yīng)商更可靠，為了驗證供應(yīng)商的可靠性，你需要與現(xiàn)有的客戶交談，看看他們對產(chǎn)品以及與供應(yīng)商的關(guān)系的看法。另外，企業(yè)還可以查看與供應(yīng)商相關(guān)的各種新聞，包括行政領(lǐng)導(dǎo)變動、籌資公告或者收購傳聞等。

• 與管理程序平臺的本地集成。在技術(shù)考慮因素方面，大多數(shù)虛擬安全供應(yīng)商都簇?fù)碓谑袌鲱I(lǐng)導(dǎo)者Vmware周圍，但更多技術(shù)公司支持微軟Hyper-V、Citrix、KVM等其他平臺。如果你的企業(yè)選擇了單一的虛擬化平臺供應(yīng)商，那么，安全供應(yīng)商評估過程會更簡單;而如果你的企業(yè)存在幾個不同的虛擬化平臺，那么，你必須要有多平臺支持。

• 管理功能。需要考慮的問題包括：虛擬網(wǎng)絡(luò)設(shè)備是否易于管理、它是否能整合到現(xiàn)有安全控制臺、哪種遠(yuǎn)程訪問(例如SSH)可用以及該系統(tǒng)是否提供基于角色的細(xì)粒度訪問。

• 性能影響和可擴展性。虛擬網(wǎng)絡(luò)設(shè)備需要多少RAM和其他資源?一般的峰值使用用例是什么?供應(yīng)商應(yīng)該能夠提供這些信息。

• 架構(gòu)靈活性。虛擬防火墻可以支持多少個虛擬NIC/端口?支持哪些類型的規(guī)則以及在哪些協(xié)議棧層?

• 虛擬化特定功能。哪些功能可以幫助企業(yè)控制和保護(hù)虛擬資產(chǎn)，從管理程序到虛擬機?

說到功能，企業(yè)應(yīng)該去確定一些數(shù)據(jù)，這取決于你所感興趣的虛擬防火墻、交換機或網(wǎng)關(guān)的類型。其中最重要的數(shù)據(jù)是API可擴展性，它允許與業(yè)務(wù)流程平臺、自動化環(huán)境和其他供應(yīng)商的產(chǎn)品整合?，F(xiàn)在很多虛擬化防火墻為虛擬基礎(chǔ)設(shè)施提供狀態(tài)檢測、入侵檢測功能、反惡意軟件功能，以及配置和補丁評估和檢測。企業(yè)應(yīng)該確保平臺可以同時執(zhí)行跨VM(管理程序上的內(nèi)部流量)以及VM間(虛擬機和外部網(wǎng)絡(luò)間)的監(jiān)控和過濾。另外，與管理程序環(huán)境的深度整合(最好是在內(nèi)核級別)能夠提高性能和降低開銷。同時，在選擇這些解決方案時，識別、監(jiān)視和控制虛擬流量和動態(tài)VM遷移操作(例如vMotion)的功能也應(yīng)該作為優(yōu)先考慮因素。

現(xiàn)在有很多安全虛擬化方案，既有知名廠商的產(chǎn)品，也有初創(chuàng)公司的產(chǎn)品。例如，瞻博網(wǎng)絡(luò)提供vGW(vGateway)系列虛擬設(shè)備，思科提供Nexus 1000v虛擬交換機和ASA 1000v虛擬防火墻，而5Nine Security Manager for Hyper-V則提供針對微軟環(huán)境的反惡意和流量訪問控制。大多數(shù)IDS/IPS供應(yīng)商都提供虛擬模型，包括Sourcefire、McAfee、TippingPoint等供應(yīng)商。