目前市場上的安全虛擬化方案可謂琳瑯滿目，廠商中既充斥老牌勁旅也不乏后起之秀。瞻博網(wǎng)絡拿出的是其vGW(即vGateway)系列虛擬方案，思科公司則擁有Nexus 1000v虛擬交換機外加ASA 1000v虛擬防火墻，5Nine Security Manager旨在為微軟的Hyper-V環(huán)境提供反惡意軟件及流量訪問控制服務。大多數(shù)IDS/IPS廠商同樣擁有虛擬型產(chǎn)品，其中包括Sourcefire、McAfee、TippingPoint等等，如何選擇CSO要擦亮眼睛。

在本文中，我們將共同探討網(wǎng)絡安全虛擬化產(chǎn)品評估工作中必要考慮的幾大關(guān)鍵性因素。

評估流程中最重要的一步在于確定哪些虛擬化產(chǎn)品真正適合企業(yè)的實際需求。以下幾項具體內(nèi)容可以作為大家進行判斷的衡量標準：

•成本。成本在評估是否有必要將現(xiàn)有網(wǎng)絡安全技術(shù)(可能在功能性方面存在局限、不具備虛擬化安全能力或者更新機制)更換為新型虛擬技術(shù)的重要依據(jù)。很多產(chǎn)品供應商會根據(jù)管理程序數(shù)量、虛擬機系統(tǒng)數(shù)量或者CPU使用數(shù)量等作為虛擬平臺的授權(quán)許可計費標準。計費方面的差異不僅直接影響到更新項目的前期資金投入量，同時也會隨時間推移、設施規(guī)模擴大而產(chǎn)生后續(xù)成本。

•供應商實力。無論最終選擇哪家供應商，大家都要在簽訂合約前做足功課。某些供應商比其它競爭對手更具實力，大家應當與這些廠商的現(xiàn)有客戶進行交流，了解使用者對于產(chǎn)品及合作關(guān)系的看法。明智的客戶還應該認真閱讀頭條新聞，掌握與廠商有關(guān)的任何重要消息，包括行政領(lǐng)導層變動、資金持有量公告以及收購傳聞等等。

•與管理程序平臺的本地集成效果。從技術(shù)角度出發(fā)，大多數(shù)虛擬安全產(chǎn)品供應商都會認真關(guān)注市場領(lǐng)導者VMware的最新動態(tài);不過也有不少技術(shù)企業(yè)支持微軟Hyper-V、思杰、KVM及其它主流平臺。如果您所在的機構(gòu)只選擇了某一家虛擬化平臺供應商，那么對安全廠商的評估過程也會變得更加輕松;如果當前使用的虛擬化平臺數(shù)量多種多樣，那么安全方案就必須具備多平臺支持能力。

•管理能力。思考虛擬網(wǎng)絡設備是否易于管理(無論其是否集成在現(xiàn)有安全控制臺當中)、支持哪些類型的遠程訪問機制(例如SSH)以及系統(tǒng)能否提供以角色為基礎的細化訪問控制方案。

•性能影響與可擴展性。虛擬網(wǎng)絡設備需要使用多大內(nèi)存及其它資源?使用狀態(tài)下的平均資源峰值是多少?供應商應該有能力明確地回答這些問題。

•架構(gòu)靈活性。虛擬防火墻能夠支持多少虛擬網(wǎng)卡/端口?產(chǎn)品支持哪些規(guī)則及協(xié)議?

•特殊虛擬化功能。客戶能夠利用哪些功能實現(xiàn)虛擬資產(chǎn)(從管理程序到虛擬機系統(tǒng))的控制與保護?

說到功能，大家需要優(yōu)先關(guān)注的重點相當之多，具體取決于您打算使用的虛擬防火墻、交換機或者網(wǎng)關(guān)的實際類型。其中最重要的幾條包括API可擴展性、是否允許與業(yè)務流程平臺相集成、環(huán)境能否實現(xiàn)自動化以及與其它供應商產(chǎn)品進行比較。當下的多數(shù)虛擬防火墻都能提供狀態(tài)檢測、入侵檢測、反惡意軟件、配置與補丁評估以及虛擬基礎設施監(jiān)控等功能。請確保自己選擇的平臺有能力對虛擬機內(nèi)部(管理程序內(nèi)部流程)以及虛擬機之外(虛擬機與外部網(wǎng)絡之間)進行監(jiān)控與過濾。最好能從內(nèi)核層面將安全方案與管理程序環(huán)境加以深度整合，這將有效提升性能表現(xiàn)并降低使用成本。在選擇具體解決方案時，對特定虛擬化流量及動態(tài)虛擬機遷移操作(例如vMotion)的識別、監(jiān)管與控制能力也非常關(guān)鍵。