业务部门和IT运营部门正在缓慢推动数据中心服务器和组件的虚拟化,这给安全专家提出了新的难题:如何在虚拟环境中保持足够的控制。所幸的是,现在出现了很多解决虚拟化挑战的新的成熟的网络安全方案,这些解决方案具有强大的功能,足以与对应的物理产品相媲美。那么,我们应该如何在这些产品中做出选择呢?在这篇文章中,我们将讨论在评估网络安全虚拟化产品时需要考虑的关键因素。
在评估过程中,第一步(可以说是最重要的一步)是确定哪些安全虚拟化产品最适合你和你的企业。下面几个因素可以帮助你确定这个问题:
• 成本。在考虑是否要使用新虚拟技术来取代现有网络安全技术(可能没有或者只有有限的虚拟化安全功能)或者加强现有技术时,成本是主要的考虑因素。很多供应商的虚拟平台的定价模式是根据每个管理程序、每特定数量的虚拟机或者每CPU来收取许可费用。这种定价模式可能导致企业需要使用完全不同的公式来计算产品的成本,并且随着时间的推移,虚拟化使用的增加,还可能产生额外的费用。
• 供应商的可靠性。对于任何供应商,请确保你事先做了足够的功课。一些供应商比其他供应商更可靠,为了验证供应商的可靠性,你需要与现有的客户交谈,看看他们对产品以及与供应商的关系的看法。另外,企业还可以查看与供应商相关的各种新闻,包括行政领导变动、筹资公告或者收购传闻等。
• 与管理程序平台的本地集成。在技术考虑因素方面,大多数虚拟安全供应商都簇拥在市场领导者Vmware周围,但更多技术公司支持微软Hyper-V、Citrix、KVM等其他平台。如果你的企业选择了单一的虚拟化平台供应商,那么,安全供应商评估过程会更简单;而如果你的企业存在几个不同的虚拟化平台,那么,你必须要有多平台支持。
• 管理功能。需要考虑的问题包括:虚拟网络设备是否易于管理、它是否能整合到现有安全控制台、哪种远程访问(例如SSH)可用以及该系统是否提供基于角色的细粒度访问。
• 性能影响和可扩展性。虚拟网络设备需要多少RAM和其他资源?一般的峰值使用用例是什么?供应商应该能够提供这些信息。
• 架构灵活性。虚拟防火墙可以支持多少个虚拟NIC/端口?支持哪些类型的规则以及在哪些协议栈层?
• 虚拟化特定功能。哪些功能可以帮助企业控制和保护虚拟资产,从管理程序到虚拟机?
说到功能,企业应该去确定一些数据,这取决于你所感兴趣的虚拟防火墙、交换机或网关的类型。其中最重要的数据是API可扩展性,它允许与业务流程平台、自动化环境和其他供应商的产品整合。现在很多虚拟化防火墙为虚拟基础设施提供状态检测、入侵检测功能、反恶意软件功能,以及配置和补丁评估和检测。企业应该确保平台可以同时执行跨VM(管理程序上的内部流量)以及VM间(虚拟机和外部网络间)的监控和过滤。另外,与管理程序环境的深度整合(最好是在内核级别)能够提高性能和降低开销。同时,在选择这些解决方案时,识别、监视和控制虚拟流量和动态VM迁移操作(例如vMotion)的功能也应该作为优先考虑因素。
现在有很多安全虚拟化方案,既有知名厂商的产品,也有初创公司的产品。例如,瞻博网络提供vGW(vGateway)系列虚拟设备,思科提供Nexus 1000v虚拟交换机和ASA 1000v虚拟防火墙,而5Nine Security Manager for Hyper-V则提供针对微软环境的反恶意和流量访问控制。大多数IDS/IPS供应商都提供虚拟模型,包括Sourcefire、McAfee、TippingPoint等供应商。