怎样解决五花八门的虚似化安全性难题?

怎样解决五花八门的虚似化安全性难题? 理想化状况下,服务器应当充足平稳,可以抗御互联网技术的全部进攻,互联网出示最佳的端到端传送。

我国IDC圈8月6日报导:理想化状况下,服务器应当充足平稳,可以抗御互联网技术的全部进攻,互联网出示最佳的端到端传送。但实际状况是,互联网一直根据嵌入的防火墙完成关键的安全性维护来降低暴力行为进攻导致的回绝服务,对入站总流量非常少实行TCP端口号过虑。

应用防火墙来维护数据信息管理中心互联网的物理学服务器早已很难了,把它用于维护虚似服务器,或独享云自然环境,那末难度会更大。终究,虚似服务器会常常转移,因此防火墙不必须务必坐落于服务器物理学界限内。有几种对策能够为虚似自然环境出示防火墙维护。

虚似互联网安全性

传统式数据信息管理中心构架的互联网安全性设计方案大家都知道:假如服务器的物理学界限属于同1个安全性域,那末防火墙一般坐落于汇聚层。当你刚开始完成服务器虚似化,应用VMware的vMotion和遍布式資源生产调度(Distributed Resource Scheduler)布署虚似机挪动和全自动负载派发时,物理学定界的方法就丧失功效。在这类状况下,服务器与剩下的互联网之间的总流量依然务必根据防火墙,这样就会导致比较严重的总流量长号,而且会提升数据信息管理中心的內部负载。

虚似互联网机器设备可以让你在互联网中任何地区迅速布署防火墙、路由器器或负载平衡器。但当你刚开始布署这样的虚似互联网机器设备时,上述难题会愈来愈比较严重。这些虚似化机器设备能够在物理学服务器之间随意挪动,其結果便是导致更为繁杂的总流量流。VMware的vCloud Director就遇到这样的设计方案难题。

应用DVFilter和虚似防火墙

几年前,VMware开发设计了1个虚似机管理方法程序流程DVFilter API,它容许第3方手机软件查验互联网和储存并列虚似机的总流量。有1些防火墙和入侵防御系统系统软件 (IDS)供货商很快观念到它的潜伏销售市场,刚开始公布不容易出現过多个人行为的虚似防火墙。VMware上年公布了vShield Zones和vShield App,同样成为这类供货商的1员。

根据DVFilter的互联网安全性机器设备的工作中方法与典型的防火墙不一样。它不逼迫总流量务必根据根据IP路由器标准的机器设备,而是确立地将防火墙插进到虚似机的网卡(vNIC)和虚似互换机(vSwitch)之间。这样,不必须在虚似机、虚似互换机或物理学互联网勤奋行任何配备,防火墙就可以够检验全部出入vNIC的总流量。vShield根据1个非常的配备层进1步扩充这个定义:你能够在数据信息管理中心、群集和端口号组(安全性域)等不一样级別上配备防火墙标准,在建立每一个vNIC的对策时防火墙会运用相应的标准。

并列防火墙全自动维护虚似机的定义好像是完善的,可是因为DVFilter API的架构缘故,它只能运作在虚似机管理方法程序流程中,因此它也是有1些潜伏的缺陷。

虚似机防火墙的缺陷:

每个物理学服务器都务必运作1个防火墙VM.防火墙机器设备只能维护运作在同1台物理学服务器上的虚似机。假如期待维护全部物理学部位的虚似机,那末你务必在每台物理学服务器上布署防火墙VM.

全部总流量都会被检验。你将会将DVFilter API只运用到特殊的vNIC上,只维护在其中1些虚似机,可是vShield商品其实不适用这个作用。布署这些商品以后,全部根据虚似机管理方法程序流程的总流量都会被检验到,这提升了CPU应用率,减少了互联网特性。

防火墙奔溃会危害到VM.防火墙VM的另外一个难题是它会危害DVFilter API.遭受危害的物理学服务器上全部虚似机互联网都会终断。但是,物理学服务器依然能够运作,而且连到互联网;因而,高能用特点没法将受危害的VM转移到别的物理学服务器上。

同样总流量流会实行数次检验。DVFilter API在vNIC上检验总流量。因而,即便虚似机之间传送的总流量属于同1个安全性域,它们也会被检验两次,而传统式防火墙则不容易出現这类状况。

虚似互换机在虚似化安全性中的功效

虚似化安全性机器设备生产制造商还可以挑选vPath API,它能用于完成自定虚似互换机。思科系统软件近期公布了虚似安全性网关(Virtual Security Gateway ,VSG)商品,该商品将会整合传统式(非DVFilter)虚似防火墙方式和总流量流提升技术性。思科公布VSG只开展原始总流量检验,并将卸载总流量转发到虚似以太网控制模块(Virtual Ether Modules,VEM:虚似机管理方法程序流程中改进的虚似互换机),从而避免出現总流量长号和特性难题。假如这1切是真的,那末VSG将会是工程项目师布署安全性的最理想化专用工具。

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:http://zmzzwxb.com/ganhuo/4021.html