虛擬化已經(jīng)給IT部門帶來了很多禮物。它讓不可能不僅成為可能�,更成為普遍�。從服務(wù)器整合到云計(jì)算,虛擬化是目前世界范圍內(nèi)占主導(dǎo)地位的計(jì)算平臺(tái)�。
除了擴(kuò)展計(jì)算能力���,虛擬化也被認(rèn)為是增加網(wǎng)絡(luò)安全性的一種方法。VMware運(yùn)營和銷售發(fā)展總監(jiān)Rod Stuhlmuller認(rèn)為���,在網(wǎng)絡(luò)虛擬化中可以通過四種方式改善安全性。
網(wǎng)絡(luò)虛擬化如何提高安全性
在云數(shù)據(jù)中心�����,應(yīng)用程序工作負(fù)載隨意配置����,遷移和下線,云管理軟件按需分配計(jì)算����、存儲(chǔ)和網(wǎng)絡(luò)容量。
添加網(wǎng)絡(luò)虛擬化到動(dòng)態(tài)環(huán)境����,徹底改變網(wǎng)絡(luò)的運(yùn)作模式。這樣的深刻變化往往使安全人員緊張����。但實(shí)際上�,網(wǎng)絡(luò)虛擬化包括了幾個(gè)內(nèi)置的網(wǎng)絡(luò)安全優(yōu)勢(shì)��。這些優(yōu)勢(shì)包括隔離和多租戶;網(wǎng)絡(luò)分段;分布式防火墻��,以及服務(wù)插入和鏈接�����。網(wǎng)絡(luò)虛擬化平臺(tái)可以將這些功能與其他安全功能結(jié)合��,在軟件定義的數(shù)據(jù)中心簡(jiǎn)化安全運(yùn)營��。
隔離和多租戶
網(wǎng)絡(luò)虛擬化的一個(gè)核心功能是隔離(isolation) - 這是大多數(shù)網(wǎng)絡(luò)安全的基礎(chǔ)�����,無論是合規(guī)性���,安全殼���,或只為不讓開發(fā),測(cè)試和生產(chǎn)環(huán)境相互影響�。在默認(rèn)情況下,虛擬網(wǎng)絡(luò)與其他的虛擬網(wǎng)絡(luò)從底層物理網(wǎng)絡(luò)隔離�����,提供最低權(quán)限的安全原則。啟用此隔離需要無物理子網(wǎng)���,VLAN ����,ACL����,或防火墻規(guī)則�����。
任何隔離的虛擬網(wǎng)絡(luò)�����,可以由分布在數(shù)據(jù)中心任何地方的工作負(fù)載組成��。相同的虛擬網(wǎng)絡(luò)中的工作負(fù)載�,可以駐留在相同的或不同的虛擬機(jī)監(jiān)控程序。在多個(gè)相互隔離的虛擬網(wǎng)絡(luò)工作負(fù)載可以駐留在同一個(gè)虛擬機(jī)管理程序��。虛擬網(wǎng)絡(luò)之間的隔離允許重疊的IP地址,從而可以有獨(dú)立開發(fā)����,測(cè)試和生產(chǎn)虛擬網(wǎng)絡(luò) - 每個(gè)虛擬網(wǎng)絡(luò)有不同的應(yīng)用程序版本,但具有相同的IP地址�,并且所有的操作在相同的時(shí)間相同的底層物理基礎(chǔ)設(shè)施。
虛擬網(wǎng)絡(luò)也隔離于底層物理基礎(chǔ)設(shè)施����。由于虛擬機(jī)管理程序之間的流量被封裝,物理網(wǎng)絡(luò)設(shè)備運(yùn)行在一個(gè)完全不同的地址空間��,而不是連接到虛擬網(wǎng)絡(luò)的工作負(fù)載�。例如,一個(gè)虛擬網(wǎng)絡(luò)可以在IPv4物理網(wǎng)絡(luò)之上支持IPv6的應(yīng)用工作負(fù)載�����。這種隔離���,可以防止由任何虛擬網(wǎng)絡(luò)工作負(fù)載可能發(fā)起的任何攻擊影響底層物理基礎(chǔ)設(shè)施�。
分段簡(jiǎn)化配置
網(wǎng)絡(luò)分段(network segmentation)與隔離相關(guān)����,但應(yīng)用在一個(gè)多層虛擬網(wǎng)絡(luò)中����。傳統(tǒng)上���,網(wǎng)絡(luò)分段是物理防火墻或路由器的一個(gè)功能���,為允許或拒絕網(wǎng)絡(luò)段或?qū)又g的通信而設(shè)計(jì)。定義和配置分段的傳統(tǒng)處理方式����,耗時(shí)且容易出現(xiàn)人為錯(cuò)誤,導(dǎo)致很大比例的安全漏洞���。此外,實(shí)施還需要在設(shè)備配置語法�,網(wǎng)絡(luò)地址,應(yīng)用端口和協(xié)議等方面具備深厚的專業(yè)知識(shí)�。
像隔離一樣,網(wǎng)絡(luò)分段也是網(wǎng)絡(luò)虛擬化的核心能力�����。一個(gè)虛擬網(wǎng)絡(luò)可以支持多層網(wǎng)絡(luò)環(huán)境��,即多個(gè)L2分段和L3分段或單個(gè)L2段上的微分段(microsegmentation)使用分布式防火墻規(guī)則。這可能是一個(gè) Web層��,應(yīng)用層和數(shù)據(jù)庫層����。物理防火墻和訪問控制列表提供一個(gè)成熟的分段功能,通過網(wǎng)絡(luò)安全團(tuán)隊(duì)和法規(guī)遵從審計(jì)的信任����。但是,云數(shù)據(jù)中心對(duì)這種方法的信心已經(jīng)動(dòng)搖��,越來越多的攻擊��,破壞和停機(jī)時(shí)間都被歸因于人為錯(cuò)誤���,過時(shí)的手工配置網(wǎng)絡(luò)安全�,以及改變管理流程����。
在一個(gè)虛擬的網(wǎng)絡(luò)中,與工作負(fù)載配置的網(wǎng)絡(luò)服務(wù)��,以編程方式創(chuàng)建并分發(fā)到hypervisor vSwitch。網(wǎng)絡(luò)服務(wù)�����,包括L3分段和防火墻���,強(qiáng)制在虛擬接口執(zhí)行��。虛擬網(wǎng)絡(luò)內(nèi)部的通信不會(huì)離開虛擬環(huán)境�����,因此消除了為網(wǎng)絡(luò)分段進(jìn)行配置和維護(hù)物理網(wǎng)絡(luò)或防火墻的要求���。
先進(jìn)的安全服務(wù)插入,鏈接和轉(zhuǎn)向
網(wǎng)絡(luò)虛擬化平臺(tái)提供了基礎(chǔ)的防火墻功能���,在虛擬網(wǎng)絡(luò)內(nèi)交付分段。但是�����,在某些環(huán)境中����,你需要更先進(jìn)的網(wǎng)絡(luò)安全功能�����。這時(shí)��,客戶可以利用網(wǎng)絡(luò)虛擬化平臺(tái)來分發(fā)����、啟用和實(shí)施虛擬網(wǎng)絡(luò)環(huán)境中先進(jìn)的網(wǎng)絡(luò)安全服務(wù)�����。
網(wǎng)絡(luò)虛擬化平臺(tái)分發(fā)網(wǎng)絡(luò)服務(wù)到vSwitch上���,形成適用于虛擬網(wǎng)絡(luò)流量的服務(wù)邏輯管道���。第三方網(wǎng)絡(luò)服務(wù)可以被插入到該邏輯管道,允許物理的或虛擬的服務(wù)在邏輯管道被消耗��。
網(wǎng)絡(luò)虛擬化方法的一個(gè)強(qiáng)大優(yōu)勢(shì)在于它有能力構(gòu)建策略���,充分利用服務(wù)插入���,鏈接和轉(zhuǎn)向以驅(qū)動(dòng)邏輯服務(wù)管道中的服務(wù)執(zhí)行���,使協(xié)調(diào)來自多個(gè)供應(yīng)商的完全不相關(guān)的網(wǎng)絡(luò)安全服務(wù)成為可能。
跨物理和虛擬基礎(chǔ)架構(gòu)的一致的安全模型
網(wǎng)絡(luò)虛擬化提供了一個(gè)平臺(tái)�����,允許跨虛擬和物理安全平臺(tái)的自動(dòng)配置和上下文共享��。傳統(tǒng)部署在物理網(wǎng)絡(luò)環(huán)境中的服務(wù)�����,在虛擬的網(wǎng)絡(luò)環(huán)境中很容易配置和執(zhí)行����,因?yàn)樗峁┝丝梢曅院桶踩砸恢碌哪P停瑹o論應(yīng)用程序在物理或虛擬工作負(fù)載���。
