保护虚拟化的网络资源的安全也许有些特殊。但是,这个任务并非那样复杂。这个任务甚至有点似曾相识。dinCloud是一家位于洛杉矶的云服务提供商,提供托管的虚拟桌面、服务器和云存储。这家公司向其中小企业用户提供安全保护已经证明是一项非常简单的任务。
dinCloud首席技术官巴里·韦伯(Barry Weber)在谈到虚拟化安全时表示,我认为这只是封锁和处理的事情。虚拟化本身不会产生重大的安全问题。虚拟化增加的唯一的东西是一层复杂性,那里可能有额外的安全漏洞。但是,这个不利的方面是仍然有许多的物理设备。而且物理设备和虚拟设备都能利用经过时间检验的非常标准的方式进行保护。
考虑到这个问题,dinCloud部署了Vyatta公司的防火墙。当用户订购其第一台服务器的时候,dinCloud创建一个私有云的最初步骤是建立一个虚拟防火墙。然后,用户可以根据自己的希望划分自己的专用IP地址。
今年1月加入dinCloud公司的韦伯说,虚拟云中的安全与企业在内部应用的安全技术是一样的。我去过许多遇到安全难题的企业。这些企业最终都在云中得到了更好的安全,比他们自己以前应用的安全技术都要好。
虚拟化安全是物理技术的“简单替代者”
安全顾问们表示,dinCloud使用比较简单的技术处理虚拟化的网络安全也许会证明这个规则,没有例外。
SystemExperts公司高级顾问保罗·希尔(Paul Hill)说,机构在虚拟设置中遇到的问题与在物理设置中遇到的问题非常相似。物理世界使用的安全控制在虚拟环境中也可以工作,不需要适应:这通常是一个直接的转换。
因此,Vyatta等虚拟化的网络安全厂商能够提供把断网故障降到最低程序的技术。希尔指出,这些技术的目标是成为对应的物理设备的简单的替代者。
这个市场中的其它厂商包括思科、惠普、HyTrust、Juniper Networks和VMware。思科今年2月推出了Nexus 1000V InterCloud产品。许多公司说,这个产品把虚拟网络从公司的数据中心安全地扩展到了云服务提供商。
韦伯说,软件定义网络是一个好主意。但是,他补充说,软件定义网络技术还不适合在商业性的云环境中应用。软件定义网络要达到高级程度和吸引早期应用者以外的大量的购买者还需要五年时间。
虚拟化安全的商业影响:更简单的云应用
虚拟化网络安全的应用能够支撑一家公司的商业模式。例如,dinCloud把目标对准中小企业,其目的是简化包括安全考虑在内的云应用。韦伯表示,已经缩小规模的企业也许行没有专门从事安全工作的人员。不管怎样,保护网络都不是他们核心的业务。
中小企业都有很大的安全需求。韦伯说,一个dinCloud客户需要500个通过其防火墙的点对点的隧道。我们为他们管理那些隧道。我们的目标是尽可能地使这个技术更简单。
Vyatta产品管理和营销高级经理Dan Tuchler说,虚拟化网络安全还能够为用户提供更高级的云应用。一家拥有在云中的虚拟机的企业通常有一个大的子网。这种情况使用户很难像过去那样制作应用。
例如,一家公司也许适应创建一个包括网站服务器、商业逻辑和数据库层的面向网站的应用,每一层都在自己的子网中分段。路由器连接这些子网,防火墙保护这些层。在虚拟环境中复制这个设置需要用户在云中建立单独的子网。通讯流量会通过路由器从一个云子网流到数据中心,然后再流到其它的云子网。
另一方面,企业能够把虚拟路由器和防火墙放在云中,避免无效的路由流量通过数据中心。
虚拟安全的挑战:管理虚拟机 避免资源限制
信息保障和网络安全公司EmeSec的首席执行官玛丽亚·霍顿(Maria Horton)说,虽然虚拟化安全不是一个沉重的负担,但是,它包含的复杂性是多种多样的。每一种情况都不同。
霍顿称,虚拟安全中的一个挑战是不断地标记虚拟机和虚拟应用在服务器之间和数据中心之间的迁移。如果用户不知道他们的应用程序和数据的确切位置,用户要监视设置以及这些设置正在发生的变化过程是很困难的。
希尔补充说,我们发现一些公司没有按时对其物理安全设备使用补丁。当一台物理机器托管许多虚拟机的时候,这个安全问题会更严重。