虚拟化和云安全极度扰乱着安全市场。当大多数安全性能都部署在设备静态设备周围,而我们还没有办法应对动态的架构。
我们争论的焦点是应该在何处进行安全部署:应该部署在资源虚拟化池外部的应用设备上,或者内置于管理程序中,抑或是运行于虚拟机上?答案是都要,但是真正重要的事情是如何在它们之间进行合理安排和协调管理。当谈及在一个动态环境中协调安全时,答案出乎意料地来自网络访问控制。
虚拟化资源的安全存在两个重大隐患。***,资源可能是动态的,瞬时的。服务器的复制和发布不经安排,它们可能围绕VMWare的VMotion而移动,也可能等量移动。第二,安全要求网络和运算的协调。使用虚拟化的时候,二者不一致:在最接近网络流量的时候,你就会被放在管理程序之中或是虚拟机之中,在这些地方,电脑的运算能力不仅受到限制,而且还要承担真实的工作流。虽然有些设备可以通过集中硬件提供运算能力,但是却将你移出了工作流的输送。
理想情况下,你应当在专用硬件和网络拦截的资源池外,完成大量运算工作,还要控制距离工作流最近的端点以及与管理程序协作的端点。二者在理想条件下可以相互协作,也可以与虚拟化系统协作。
这正是NAC要解决的一系列问题。有NAC,你就具备连接交换机ad-hoc的端点。运行于端点的所有设备之间必须与运行于网络的设备之间保持安全性能上的一致性,继而将策略动态部署到每个端点。
对于NAC方案而言,既有架构讲究的,也有专用的。那些架构比较好的方案颇具启发性,可以重新部署到虚拟空间中。Trusted Computing Group的Trusted Network Connect架构就是个不错的架构方案。PEP推行的安全性能可以部署到端点,接入交换机或网络更深层次的地方。它们都是通过PDP策略编排的方案。通过元数据接入点和IF-MAP协议,可访问元数据和事件,还可通过pub/sub架构对其进行共享。***,可以通过不同的域整合TNC,并将其应用到云环境中。
【编辑推荐】
