保護虛擬化的網(wǎng)絡(luò)資源的安全也許有些特殊。但是,這個任務并非那樣復雜。這個任務甚至有點似曾相識。dinCloud是一家位于洛杉磯的云服務提供商,提供托管的虛擬桌面、服務器和云存儲。這家公司向其中小企業(yè)用戶提供安全保護已經(jīng)證明是一項非常簡單的任務。
dinCloud首席技術(shù)官巴里·韋伯(Barry Weber)在談到虛擬化安全時表示,我認為這只是封鎖和處理的事情。虛擬化本身不會產(chǎn)生重大的安全問題。虛擬化增加的唯一的東西是一層復雜性,那里可能有額外的安全漏洞。但是,這個不利的方面是仍然有許多的物理設(shè)備。而且物理設(shè)備和虛擬設(shè)備都能利用經(jīng)過時間檢驗的非常標準的方式進行保護。
考慮到這個問題,dinCloud部署了Vyatta公司的防火墻。當用戶訂購其第一臺服務器的時候,dinCloud創(chuàng)建一個私有云的最初步驟是建立一個虛擬防火墻。然后,用戶可以根據(jù)自己的希望劃分自己的專用IP地址。
今年1月加入dinCloud公司的韋伯說,虛擬云中的安全與企業(yè)在內(nèi)部應用的安全技術(shù)是一樣的。我去過許多遇到安全難題的企業(yè)。這些企業(yè)最終都在云中得到了更好的安全,比他們自己以前應用的安全技術(shù)都要好。
虛擬化安全是物理技術(shù)的“簡單替代者”
安全顧問們表示,dinCloud使用比較簡單的技術(shù)處理虛擬化的網(wǎng)絡(luò)安全也許會證明這個規(guī)則,沒有例外。
SystemExperts公司高級顧問保羅·希爾(Paul Hill)說,機構(gòu)在虛擬設(shè)置中遇到的問題與在物理設(shè)置中遇到的問題非常相似。物理世界使用的安全控制在虛擬環(huán)境中也可以工作,不需要適應:這通常是一個直接的轉(zhuǎn)換。
因此,Vyatta等虛擬化的網(wǎng)絡(luò)安全廠商能夠提供把斷網(wǎng)故障降到最低程序的技術(shù)。希爾指出,這些技術(shù)的目標是成為對應的物理設(shè)備的簡單的替代者。
這個市場中的其它廠商包括思科、惠普、HyTrust、Juniper Networks和VMware。思科今年2月推出了Nexus 1000V InterCloud產(chǎn)品。許多公司說,這個產(chǎn)品把虛擬網(wǎng)絡(luò)從公司的數(shù)據(jù)中心安全地擴展到了云服務提供商。
韋伯說,軟件定義網(wǎng)絡(luò)是一個好主意。但是,他補充說,軟件定義網(wǎng)絡(luò)技術(shù)還不適合在商業(yè)性的云環(huán)境中應用。軟件定義網(wǎng)絡(luò)要達到高級程度和吸引早期應用者以外的大量的購買者還需要五年時間。
虛擬化安全的商業(yè)影響:更簡單的云應用
虛擬化網(wǎng)絡(luò)安全的應用能夠支撐一家公司的商業(yè)模式。例如,dinCloud把目標對準中小企業(yè),其目的是簡化包括安全考慮在內(nèi)的云應用。韋伯表示,已經(jīng)縮小規(guī)模的企業(yè)也許行沒有專門從事安全工作的人員。不管怎樣,保護網(wǎng)絡(luò)都不是他們核心的業(yè)務。
中小企業(yè)都有很大的安全需求。韋伯說,一個dinCloud客戶需要500個通過其防火墻的點對點的隧道。我們?yōu)樗麄児芾砟切┧淼馈N覀兊哪繕耸潜M可能地使這個技術(shù)更簡單。
Vyatta產(chǎn)品管理和營銷高級經(jīng)理Dan Tuchler說,虛擬化網(wǎng)絡(luò)安全還能夠為用戶提供更高級的云應用。一家擁有在云中的虛擬機的企業(yè)通常有一個大的子網(wǎng)。這種情況使用戶很難像過去那樣制作應用。
例如,一家公司也許適應創(chuàng)建一個包括網(wǎng)站服務器、商業(yè)邏輯和數(shù)據(jù)庫層的面向網(wǎng)站的應用,每一層都在自己的子網(wǎng)中分段。路由器連接這些子網(wǎng),防火墻保護這些層。在虛擬環(huán)境中復制這個設(shè)置需要用戶在云中建立單獨的子網(wǎng)。通訊流量會通過路由器從一個云子網(wǎng)流到數(shù)據(jù)中心,然后再流到其它的云子網(wǎng)。
另一方面,企業(yè)能夠把虛擬路由器和防火墻放在云中,避免無效的路由流量通過數(shù)據(jù)中心。
虛擬安全的挑戰(zhàn):管理虛擬機 避免資源限制
信息保障和網(wǎng)絡(luò)安全公司EmeSec的首席執(zhí)行官瑪麗亞·霍頓(Maria Horton)說,雖然虛擬化安全不是一個沉重的負擔,但是,它包含的復雜性是多種多樣的。每一種情況都不同。
霍頓稱,虛擬安全中的一個挑戰(zhàn)是不斷地標記虛擬機和虛擬應用在服務器之間和數(shù)據(jù)中心之間的遷移。如果用戶不知道他們的應用程序和數(shù)據(jù)的確切位置,用戶要監(jiān)視設(shè)置以及這些設(shè)置正在發(fā)生的變化過程是很困難的。
希爾補充說,我們發(fā)現(xiàn)一些公司沒有按時對其物理安全設(shè)備使用補丁。當一臺物理機器托管許多虛擬機的時候,這個安全問題會更嚴重。