企业虚拟化过程中,为了提升效率、减少资源浪费,会将过去实体服务器与操作系统、应用程式一对一关系,改为实体服务器划分出多个虚拟机器,运作多个操作系统与应用程式,也因此衍生出一些安全防御上的盲点。
IBM GTS企业安全服务经理陈俊昌表示,目前企业安全防御工作偏重操作系统与应用程式方面,虚拟化后虚拟机器、应用资料的保护变得更重要,另外,虚拟机器移转时为了保持一样的安全防护,管理者需要花费较多时间维护。IBM ISS的虚拟化安全防御服务则可解决虚拟化的安全需求。
ISS虚拟化安全服务分为三种,提供较基础安全防御的Virtual Environment Ready;还有利用Proventia虚拟化网路安全平台提升虚拟化保护的Virtual Appliance;以及更进一步防护虚拟服务器、储存与网路的Virtual Infrastructure Protection。
Virtual Environment Ready是运用现有IBM ISS安全方案提供虚拟环境安全防护,包括与安全设备厂商合作,在企业虚拟化环境中利用IPS入侵防护系统、网路邮件安全设备、DLP等等提供安全防御。而Virtual Appliance则以虚拟机器方式执行网路安全防护功能的安全设备,好处在于不需更动硬体设备,以及服务器影像、虚拟机器配置与应用程式就可提供防护。
至于Virtual Infrastructure Protection则进一步整合进企业的虚拟化架构中,利用整合进虚拟架构保护虚拟环境,透过VMware的VMsafe,当虚拟机器上线时就开启自动防护,监控虚拟机器间的流量,并以自动化方式管理。由于使用VMware的虚拟技术提供虚拟机器安全保护,不需重设虚拟网路组态、也不占用客端操作系统。
Virtual Infrastructure Protection预计12月才会推出,且目前只支持VMware的虚拟环境,无法支持Citrix等其他虚拟技术。陈俊昌表示,未来ISS会再视市场状况,不排除支持其他虚拟化环境。可见,虚拟机安全是越来越受重视了。另外,像国内安全厂商天融信近期推出的IPS产品,也正在对这类虚拟设备防护、多域管理需求提供很好的支持。
【编辑推荐】
