簡單而言就是沒有哪一種安全產品或技術是萬能的。長久以來，整個行業已經認識到一個分層的托管安全實施是確保企業及其系統安全性的最佳方法。在本文中，我將介紹一下企業可以如何使用VMware防火墻技術的應用來增強分層縱深戰略的。

 [[140910]]

vCloud的網絡和安全性

目前的vCloud網絡與安全產品包括了vShield Edge、vShield App以及vShield Data Security。其中涉及的安全組件如下：

vCloud Networking and Security Edge (即之前的vShield Edge)

vCloud Networking and Security App (即之前的vShield App)

vCloud Networking and Security Data Security (即之前的vShield Data Security)

外圍保護

我們首先從數據中心的外圍開始，使用vCloud Networking and Security Edge來提供“信任區”分割。這可以是在一個多租戶環境中以租戶之間的隔離為寬度，或者在一個單一租戶環境中以DMZ和/或VPNextranet隔離為粒度。

基于vCloud Networking and Security Edge的防火墻過濾要優于普通的IP地址過濾。

除了超出預期的過濾功能以外，vCloud Networking and Security Edge的其他可用功能還包括眾多數據中心周邊所預期的通用服務：

DHCP(從一個預定義的資源池中為一臺服務器動態分配或綁定一個特定的地址)

VPN (IPsec和SSL)

NAT(靜態和動態)

負載平衡(基本的HTTP(80)和HTTPS(443)負載平衡)

應用程序保護

下一個防護層是直接在用戶想要保護的應用程序前部署安全組件。

首先，需要指出的是vShield App防火墻并不是一個七層的防火墻，它只是局限于第二、第三層的過濾。也就是說，vShield App有著幾個值得注意的獨特功能：

流量監控為網絡和應用程序的流量狀況提供了實時的顯示。

SpoofGuard可阻止未知的虛擬機發送或接受流量，除非該操作已在vShield策略中明確。

雖然vShield App防火墻并不是我們所熟悉的傳統七層應用程序防火墻，但是它確實超越了傳統IP地址過濾的方法，它允許基于邏輯結構創建策略，例如vCenter服務器容器和vSheild安全組。

數據保護

vCloud Networking and Security Data Security是一個易于使用、圖形用戶界面驅動的數據丟失保護(DLP)軟件，它可針對敏感數據提供掃描和報警服務。該產品部分基于RSA DLP技術，并包含了來自于全球(包括北美、EMEA、亞太等地區)的80個法規模板——例如個人身份信息、PCI DSS持卡人數據和受保護健康信息等。該產品可輕松實現客戶虛擬機下的數據分類，并能針對用戶數據提供完整的可見性。

最后的思考

VMware的vCloud Networking and Security在筑牢數據中心安全性籬笆方面還有很長的一段路要走，而且請記住它在第七層所提供的保護是非常有限的。但是，如同其他大多數安全產品一樣，它并不是靈丹仙藥;用戶仍然需要采取額外的保護措施以便于配合vCloud Networking and Security的部署，同時還要有一個縱深防御的戰略。

用戶仍需面對的風險包括：SQL注入、跨站點偽造請求(CSRF)攻擊，所以用戶應在完成VMware防火墻技術技術部署之后還應對當前威脅環境中各類事件的應對預案做好規劃。SQL注入風險可能是最有可能通過利用好內置功能來解決的(例如Apache包括可針對一般攻擊提供保護的Mod安全應用程序防火墻，其中就包括了SQL注入)。CSRF攻擊則可通過使用Apache Tomcat CSRF預防過濾器來減輕。