Gartner分析师尼尔·麦克唐纳德(Neil MacDonald)的专业是安全。他不仅密切关注安全厂商正在做什么,而且还主张随着基本的网络技术的发展而进行改变。虚拟化正在产生巨大影响,提出了有关物理安全设备在虚拟化环境中的任务的问题。麦克唐纳德预测,到2015年,企业数据中心40%的安全控制将是虚拟化的,比2010年的5%有大幅度提高。麦克唐纳德最近接受了《Network World》的采访,谈到了虚拟化领域安全的未来。
《网络世界》:为了适应虚拟化网络,安全厂商推出了专门针对VMware等环境的软件产品。但是,令人感到意外的是听说McAfee将发布最新的杀毒软件MOVE(优化的虚拟环境管理)2.5版。这个软件支持VMware vShield安全技术。这种技术要求无代理方式。人们抱怨称无代理方法是不充分的。McAfee想让VMware改变他们对vShield的无代理方法的看法,并且表示基于代理的方法更好。整个行业现在似乎都对此感到不安。这是怎么回事?
麦克唐纳德:McAfee称,这没有像在虚拟机内部运行一个代理程序那样好。这个事情有一些事实。缓存溢出保护、内存保护等所有这些事情都是在内部完成的,使用无代理程序不能做这些事情。它们缺少行为的启发式分析。它们能够打开和关闭文件。采用MOVE 2.5,McAfee增加了这个无代理的流程。但是,McAfee支持有代理的和无代理的应用。它是不依赖于管理程序的。
问:运行基于代理的杀毒软件和虚拟机有什么问题?
答:这叫作“A/V风暴”。这产生了新的大量的流量。假如它们都设置在中午启动,你可以把它设置为管理员,在12点至2点之间随机启动。这是一个答案,但是,不是最佳答案。我们为什么要一再扫描同一个镜像?这些VMware API(应用程序编程接口)让你扫描一次。卡巴斯基支持这种做法。但是,赛门铁克还不支持。赛门铁克的端点保护12版使用一种不同的架构。
问:VMware在过去几年里开发这些vShield安全API似乎是一个有争议的过程。VMware现在好像仅与具体的安全厂商合作。你对此有何看法?
答:VMware依靠自己创建了第一套API,没有依赖厂商。但是,他们确实直接与趋势科技合作了。趋势科技和VMware使用自己的模式所做的事情是创新的。对于趋势科技来说,这个事情做的很好。他们签署了许多交易。委员会提出的API一般都不是很好。但是,把重点放在几家厂商,他们就会更成功。对于这种无代理的方法有支持意见和反对意见。有一些新的或者离线的虚拟机保护技术。这些技术改善了资源利用。在反对意见方面,它要求管理程序扩展。如果仅使用VMware的管理程序,就需要许可证。如果是仅使用Windows并且不是真正的“无代理的”,就只有杀毒扫描。你不能做基于主机的入侵防御或者行为监视。
问:vShield API为VMware提供了一个防火墙能力。当一个网络虚拟化的时候,你对于为了安全目的使用物理防火墙和虚拟防火墙有什么看法?
答:目前,人们对于每一个工作量使用单独的接口卡。你信任VMware把内存隔离开,但是,对于网络流量,你要把它单独发送到物理防火墙。下一个合乎逻辑的步骤是,为什么不虚拟化防火墙?VMware防火墙能够做此事。对于基本的隔离来说,它做得很好。Check Point、瞻博网络和思科等公司也有虚拟防火墙。Check Point的防火墙做入侵检测系统的事情。这是VMware不做的事情。VMware将在这方面进行合作。在虚拟化方面,这意味着我已经取得安全控制并且吸收了这个功能。问题是,谁负责这个事情?你必须保持单独的职责。HyTrust也是如此。我们不想让所有的事情都交给一个人手中。网络由安全管理员提供防火墙,其余的由VMware管理员提供。但是,未来是混合的,一些防火墙是虚拟化的,一些是硬件的。让Palo Alto Networks退缩的事情是他们使用许多专有的硬件。Palo Alto Networks的防火墙目前还不是虚拟化的,但是,它将是虚拟化的。(编辑注:Palo Alto Networks证实它将在今年秋季公开发布虚拟化的防火墙)。
