企业安全的虚拟化漏洞越来越严重。虚拟防火墙可能是一种解决方法,但是还有许多因素需要考虑。
什么是虚拟防火墙?
虚拟防火墙是虚拟设备,它复制了物理防火墙的功能,运行在与所保护工作负载相同的虚拟环境中。因为它位于虚拟环境之中,所以它可以对通过物理网络的流量应用安全策略,实现安全性而又不影响虚拟化的灵活性。虚拟防火墙不管虚拟机(VM)是否在数据中心内,还是飘到基础架构即服务(IaaS)的云环境中。
为什么需要虚拟防火墙?
目前,97%以上的公司采用虚拟化服务器,而且数据中心内有53%的工作负载运行在虚拟服务器上。在从物理环境转移到虚拟环境的过程中,物理网络中服务器之间的安全结构也要么被丢弃,要么仍然作为物理系统进行维护。
当使用物理防火墙处理虚拟流量时,这种流量必须先路由离开虚拟环境,通过物理安全基础架构,然后再返回虚拟环境。这种发夹式回路让网络更复杂、更脆弱,还降低了工作负载转移能力。而且,随着企业将业务扩展到IaaS环境,情况变得更为复杂。目前,有17%的公司使用了IaaS,越来越多的IT部门使用它处理客户业务。
因此,显然IT必须同时保证内部虚拟环境和外部网络环境的安全性。虚拟防火墙则可支持这两种环境。如果考虑在IaaS或其他共享云环境中使用虚拟防火墙,那么一定要保证所选择的云提供商平台支持公司内部使用的虚拟设备。如果虚拟设备只能运行在VMware中,而又需要在基于Xen或KVM的IaaS环境中运行,那么问题就很难解决。
为什么要为物理和虚拟防火墙应用统一的策略环境?
最好将虚拟和物理防火墙整合到同一个策略环境中,而且最好使用一个工具来支持两种环境。单一环境意味着业务用户能够保证在整个数据流中使用相同的访问控制机制。单一环境也意味着IT不需要:
- 维护和同步并行环境的活动;
- 保留多种人员技能集;
- 继续保持策略平等的跨平台验证;
- 管理多个供应商和支持关系。
在一个理想的虚拟防火墙场景中,可以由一个防火墙供应商提供虚拟平台在你需要的虚拟机管理程序下运行,并提供同时管理虚拟和物理设备的工具。
支持同时管理一个供应商的虚拟与物理设备的产品有:Cisco的Secure Policy Manager、McAfee的Firewall Enterprise Control Center和StoneSoft的StoneGate Management Center。虽然多供应商环境并不理想,但是有一些工具能够管理多个供应商的防火墙解决方案。这些供应商包括FireMon和Tufin。
虚拟防火墙与IaaS是潜在问题
在开始解决IaaS的这些问题之前,首先要考虑IaaS的虚拟设备是否符合您的规范或安全架构。在IaaS环境中使用虚拟防火墙,即使是您所选择的虚拟设备,都表示需要信任所选择的云提供商,因为该环境的控制者能够查看到虚拟机之间传输的流量。
如果不能确定对云平台的信任,那么您必须使用基于主机的防火墙或VPN解决方案,过滤进出虚拟机的流量。但这样会消耗更多的虚拟设备资源,因为比如一个数据包在一个设备上丢失,那么该设备之后所有服务器可能都会丢失它。然而,这些基于主机的防火墙或VPN解决方案不需要信任云提供商。
打破IT孤岛 实施虚拟防火墙
最后,有一个非常实用的方面:系统、安全性和网络人员不能孤立地部署虚拟防火墙。这三个团队共同参与制定虚拟防火墙指南,确定虚拟防火墙实现的时间、方式和原因。这三个团队都必须参与规划和管理,并且共同监控虚拟防火墙基础架构。如果不合作,这三个团队是是会给彼此带来麻烦。