您现在的位置:融合网首页 > 云计算 >

云计算虚拟化环境下的安全防护(3)

来源:比特网 作者:佚名 责任编辑:admin 发表时间:2012-01-14 20:45 
核心提示:基于虚拟机的安全防护 在虚拟化技术推进的过程中,一些厂商很敏锐的观察到了VM之间直接交换流量无法通过外部防火墙等设备进行检测,因此想通过直接在服务器内部部署虚拟机安全软件,通过对VMware开放的API接口的利

基于虚拟机的安全防护

在虚拟化技术推进的过程中,一些厂商很敏锐的观察到了VM之间直接交换流量无法通过外部防火墙等设备进行检测,因此想通过直接在服务器内部部署虚拟机安全软件,通过对VMware开放的API接口的利用,将所有VM之间的流量交换在进入到vSwitch之前,先引入到虚拟机安全软件进行检查。此时可以根据需求将不同的VM划分到不同的安全域,并配置各种安全域间隔离和互访的策略。同时,一些技术能力强的软件厂商,还考虑在软件中集成IPS深度报文检测技术,判断VM之间的流量交换是否存在漏洞攻击。这种方式的优点是部署比较简单,只需要在服务器上开辟资源并运行虚拟机软件运行即可,但是其不足之处也很明显:

不足一:每个服务器需要有专门的资源来安装该软件,服务器流量越大,开启的功能如IPS深度检测越多,对系统的资源占用就越大,不仅可能影响其它VM的性能,同时也导致服务器投资的增加;以常见的酷睿2双核双CPU服务器【4核】为例,虚拟化情况下服务器的CPU利用率得到有效提升,对外可以提供的应用吞吐量有望达到800Mbps以上;同时根据现有的经验,基于双核CPU处理器的IPS应用其吞吐量维持在300Mbps左右;可以预见:如果利用该服务器进行虚拟化划分并使能安全虚拟机软件的话,至少需要划分出2个核来做安全虚拟机,才可以保证对300M的流量进行深度报文检测,而真正的应用虚拟机将只能利用剩余的2个核,这也意味着整个服务器的吞吐量将下降到300Mbps左右;要达到原定的应用交付性能,用户必须部署更多的服务器才能满足要求。

不足二:由于该防护模型需要安全软件厂商在Hypervisor层进行代码开发,其开发水平的差异将导致Hypervisor出现潜在的安全漏洞,并危及到整个虚拟机的正常运转。可以预见虚拟化厂商将不可能完全开放该API接口,这也意味着只有很少的厂商才能获得虚拟化厂商的许可并进行严格受控的软件集成;目前我们并没有看到具有影响力的安全厂商的成熟的虚拟化产品,整个生态系统未来如何发展将取决于虚拟机厂商对于API的开放程度以及安全软件厂商的成熟的开发能力,这些都存在很大的不确定性。

基于重定向技术的防护模型

既然VM之间的流量交换一直在服务器内部,不利于安全策略的部署,也不利于管理界限的明晰,因此正在进行标准化EVB技术,计划通过VEPA等技术实现将这些流量引入到外部的交换机。在接入交换机转发这些流量之前,可以通过镜像或者重定向等技术,将流量先引入到专业的安全设备进行深度报文检查、安全策略配置或是允许/拒绝其访问。

这种实现方式的优点在于外置硬件安全设备的高性能,在不损失服务器能力的情况下,可以使用数目较少的高端安全设备来实现万兆甚至十万兆的安全检测能力,管理员也可以充分利用先前的经验,很容易实现对这些外置安全设备的管理维护。同时因为该标准的相对开放性,相关的网络安全厂商都可以参与到这个方案当中来,减少了客户对于单一网络安全厂商的依赖。

对于该方式下安全策略跟随VM迁移的问题,在网络管理组件及时感知到VM虚拟机迁移时,通过内部的消息传送,安全管理组件可以及时获取到此次迁移的相关参数如新的接入交换机ID及端口VLAN等属性;此时再比对自身保存的拓扑关系图定位到新的虚拟机迁移位置所对应的安全产品ID,从而实现虚拟机的安全策略profile的迁移,这也是一种简单易行的解决方案。如表1对比了两种方式的差异。

三、 结束语

综上所述,现阶段基于虚拟机的安全软件部署方式,在小型的虚拟化环境中,更容易得到较好的用户体验,但是在大规模高性能的应用环境中,基于高性能的专业硬件设备来搭建安全防护层,更容易满足对性能的要求,在总的投资上也更有优势。未来一段时间内,这两种方式将作为主要的技术方式而存在,用户可以根据自身的实际应用环境进行选择。

(责任编辑:admin)
  • “扫一扫”关注融合网微信号

免责声明:我方仅为合法的第三方企业注册用户所发布的内容提供存储空间,融合网不对其发布的内容提供任何形式的保证:不保证内容满足您的要求,不保证融合网的服务不会中断。因网络状况、通讯线路、第三方网站或管理部门的要求等任何原因而导致您不能正常使用融合网,融合网不承担任何法律责任。

第三方企业注册用户在融合网发布的内容(包含但不限于融合网目前各产品功能里的内容)仅表明其第三方企业注册用户的立场和观点,并不代表融合网的立场或观点。相关各方及作者发布此信息的目的在于传播、分享更多信息,并不代表本网站的观点和立场,更与本站立场无关。相关各方及作者在我方平台上发表、发布的所有资料、言论等仅代表其作者个人观点,与本网站立场无关,不对您构成任何投资、交易等方面的建议。用户应基于自己的独立判断,自行决定并承担相应风险。

根据相关协议内容,第三方企业注册用户已知悉自身作为内容的发布者,需自行对所发表内容(如,字体、图片、文章内容等)负责,因所发表内容(如,字体、图片、文章内容等)等所引发的一切纠纷均由该内容的发布者(即,第三方企业注册用户)承担全部法律及连带责任。融合网不承担任何法律及连带责任。

第三方企业注册用户在融合网相关栏目上所发布的涉嫌侵犯他人知识产权或其他合法权益的内容(如,字体、图片、文章内容等),经相关版权方、权利方等提供初步证据,融合网有权先行予以删除,并保留移交司法机关查处的权利。参照相应司法机关的查处结果,融合网对于第三方企业用户所发布内容的处置具有最终决定权。

个人或单位如认为第三方企业注册用户在融合网上发布的内容(如,字体、图片、文章内容等)存在侵犯自身合法权益的,应准备好具有法律效应的证明材料,及时与融合网取得联系,以便融合网及时协调第三方企业注册用户并迅速做出相应处理工作。

融合网联系方式:(一)、电话:(010)57722280;(二)、电子邮箱:2029555353@qq.com dwrh@dwrh.net

对免责声明的解释、修改及更新权均属于融合网所有。

今日头条

更多>>

热门关键字

关于我们 - 融合文化 - 媒体报道 - 在线咨询 - 网站地图 - TAG标签 - 联系我们
Copyright © 2010-2020 融合网|DWRH.net 版权所有 联系邮箱:dwrh@dwrh.net 京公网安备 11011202002094号 京ICP备11014553号