此文章主要講述de是正確看待虛擬化安全,四問虛擬防火墻,本文主要分析了虛擬化存在de安全威脅,并介紹了虛擬防火墻產生de主要原因,以及與其他防火墻de區別,以及如何部署,以下de文章將會給你提供相關de知識。
虛擬化存在安全威脅
服務器虛擬化給人一種勢不可擋de感覺。需要注意de是,虛擬技術可能成黑客de幫手。如果企業一味擴大虛擬化產品,而對虛擬機與物理服務器de本質區別熟視無睹de話,那么他們遲早會給入侵者開辟新de方便之門,使之順利進入到數據中心。業界目前還無法精準地確定這類威脅de本質,因為它們尚未切實發生過。
一位安全高手表示:虛擬化技術存在安全漏洞,這在VMware和AMD公司de產品中都曾出現過。另外,黑客還可以利用虛擬化技術來隱藏病毒、特洛伊木馬及其他各種惡意軟件de蹤跡。
有專家表示:在虛擬化de新一代數據中心基礎設施中,每款虛擬設備及其系統和網段都必須根據最佳實踐進行管理和控制。這些實踐應包括:
1、為所有虛擬機及各類型虛擬機上運行de所有應有程序建立黃金標準,應用安全及版本和補丁管理控制。
2、通過虛擬防火墻、防惡意軟件和虛擬設備管理功能強制實施所定策略。
3、依據虛擬機類型進行適當de邏輯和物理隔離。例如:應將虛擬Web服務器與虛擬數據庫服務器進行隔離。
4、適當調整網絡入侵檢測系統或是監控器來監視非法de及惡意de虛擬機流量。
虛擬防火墻護安全
監控虛擬系統里de應用系統de虛擬防火墻是一個新生事物,其產品在國內還沒有出現。為了對其有更多de了解,記者就以下問題詢問了Stonesoft中國區經理張研。
一、虛擬防火墻產生de原因是什么?
張研向記者介紹,有三個原因促使虛擬防火墻de出現。
1、由于在虛擬系統里面需要部署很多de應用系統,需要對各個應用系統之間de虛擬化安全進行防護和訪問控制,同時,需要監控和限制各個應用系統之間de流量。
2、由于IDC或者MSSP(管理安全服務提供商)等服務商需要部署虛擬防火墻給不同de用戶來使用,同時可以實現對用戶de防火墻進行統一集中管理。
3、每個物理防火墻de投資成本比較高,而且維護費用高。
二、虛擬防火墻和傳統防火墻de區別
傳統防火墻是一個物理de實體,而虛擬防火墻是在這個物理實體里面可以劃分多個虛擬de防火墻。虛擬防火墻de某些功能甚至比傳統防火墻做de還要好。比如StoneGatede虛擬防火墻可以監控部署在虛擬系統中de各個應用系統之間de流量,實施訪問控制。
三、虛擬防火墻部署在什么位置?
1、可以部署在核心交換機和主要服務器群de位置。
2、可以部署在物理網絡和虛擬網絡之間。
3、可以部署在兩個虛擬網絡之間。
四、軟件虛擬防火墻和硬件虛擬防火墻有什么區別,應用環境和要求有什么不同?
硬件虛擬防火墻主要是指可以將一臺傳統防火墻在邏輯上劃分成多臺虛擬de防火墻,每個虛擬防火墻系統都可以被看成是一臺完全獨立de防火墻設備,可擁有獨立de系統資源、管理員、虛擬化安全策略、用戶認證數據庫等(學電腦技術,計算機基礎知識到)。
由于虛擬防火墻功能可將資源分別獨立分配給各個虛擬de系統,彼此之間互不干擾,因此當一個虛擬系統因抵御黑客攻擊耗費大量資源de時候,另一個虛擬系統de資源卻不受任何影響,從而有效保證網絡其他應用de正常運行。
軟件虛擬防火墻支持de應用環境可以更靈活,像StoneGate軟件虛擬防火墻目前主要支持VMware系統、VM Workstation和VM ESX Server。軟件虛擬防火墻最主要de環境要求還是看硬件系統是否足夠強大,包括:CPU、內存、硬盤等等。
