中小型企业开始发现,虚拟网络安全并不像他们想象的那样不同于物理网络安全。这使得采用云计算更加简单,但也带来了独特的挑战。
从表面上看,保护虚拟网络资源似乎有点奇怪,但这项任务并不一定那么复杂。它甚至可能有一个熟悉的铃声。
在dinCloud这家总部位于洛杉矶的云服务提供商提供托管虚拟桌面、服务器和云存储,为中小客户提供安全保障被证明是一项相当简单的任务。
[也:你应该尝试的15个免费安全工具]
dinCloud的CTO Barry Weber谈到虚拟化安全时说:“我只是认为这是阻碍和解决问题。”“我不认为虚拟化本身会造成重大的安全问题。它只增加了一层复杂性;还有其他潜在的漏洞。但另一方面,仍然有大量的物理设备,而物理设备和虚拟设备可以通过非常标准的方式得到保护,这些方式经过了时间的检验。”
考虑到这一点,dinCloud部署了虚拟防火墙Vyatta(现在是Broacde通信系统公司)。当客户订购了第一台服务器,这是创建私有云的第一步,dinCloud就创建了一个虚拟防火墙。然后,客户可以按照自己的意愿分割他们的私有IP地址空间。
的虚拟防火墙也有助于连接虚拟和物理资源。“我们的大多数客户都是混合型客户,”韦伯解释道。“它们不仅需要云环境,还需要连接到一个或多个本地位置。”
韦伯说,Vyatta帮助dinCloud基于客户所期望的安全级别和防火墙参数,提供不同的IPsec隧道选项。客户在虚拟端使用与本地防火墙相同的参数。虚拟防火墙还允许在私有云中分割多个局域网,他说。
小贴士:值得关注的4个虚拟化安全基础知识
韦伯说,隧道技术保护传输中的数据,而dinCloud则对静止在物理量层的数据进行加密。最终用户身份验证提供了另一层保护。
韦伯在经营了一家云咨询公司后,于今年1月加入了dinCloud。他说,虚拟云的安全性堪比企业在本地所能做的事情。“我在很多公司工作过,他们都在为安全问题而挣扎。最终,他们将在云计算中获得比他们为自己实现的更好的安全性。”
虚拟安全作为物理技术的“临时替代”
安全顾问建议dinCloud处理虚拟网络安全的相对轻松可能证明规则而不是例外。
Paul Hill是马萨诸塞州萨德伯里的高级顾问都他说,企业在虚拟环境中面临的问题与在实体环境中几乎相同。他说,在物理世界中使用的安全控制可以在虚拟环境中工作,几乎不需要进行调整:“这通常是一种直接的转换。”
因此,虚拟网络安全供应商(如Vyatta)可以提供破坏最小的技术。希尔指出:“他们的目标是替代这些物理等效物。”
除了Vyatta,许多供应商现在都提供了虚拟网络的安全软件。猫鹊网络例如,该公司提供vSecurity,这是一款保护虚拟化和私有云数据中心的产品。雷竞技电脑网站该公司去年年底获得了Medina Capital的投资。当时,Medina在一份声明中表示,在未来五年内,数据中心的“软件定义的安全将在很大程度上取代物理设备”。雷竞技电脑网站
分析:Check Point, Juniper, Stonesoft Shine低端网络防火墙测试相关:检查点:现在您可以在一个网关上运行多达250个虚拟安全系统
其他在这个市场运作的供应商包括思科系统、惠普、海信、瞻博网络和VMware。今年2月,思科推出了Nexus 1000V InterCloud产品,该公司称该产品可以将虚拟网络从公司数据中心安全地扩展到云服务提供商。雷竞技电脑网站
供应商提供诸如虚拟防火墙之类的解决方案,但是他们也在软件定义的安全性的保护伞下提供集成的产品,或者更广泛地说,软件定义网络(SDN)。然而,新兴的SDN技术还没有得到广泛的市场接受。
Weber称SDN是“一个非常好的想法”,但补充说这项技术还没有为商业云环境做好准备。他表示,SDN至少需要5年时间才能达到成熟程度和临界规模,从而吸引最初一批尝采者之外的买家。
希尔说,例如,在思科基础设施上投入了大量资金的企业,就没有迅速实现防火墙和网络安全的虚拟化。他补充称:“我们的客户很少朝这个方向发展。”他指出,尽管如此,客户还是对这项技术表现出了兴趣。
虚拟化安全性的业务影响:采用更简单的云
也就是说,采用虚拟网络安全可以支持公司的商业模式。
例如,dinCloud以中小企业为目标,并旨在简化它们云计算采用,其中包括安全考虑事项。韦伯说,已经裁员的公司可能没有足够的人员来致力于安全。无论如何,保护网络都不是他们的核心业务。
尽管如此,SMB客户可能有相当高的安全性要求。韦伯说dinCloud的一位客户想要500条通过防火墙的点对点隧道。“我们正在为他们管理,”他说。“我们的目标是让它尽可能简单。”
Vyatta的产品管理和营销高级总监Dan Tuchler说,虚拟化网络安全还可以为客户提供更复杂的云选择。在云中拥有虚拟机的公司通常驻留在一个单独的大型子网中。他指出,这种情况使得客户很难像过去那样构建应用程序。
例如,一个公司可能习惯于创建一个面向Web的应用程序,它由Web服务器层、业务逻辑和数据库层组成,每个层在其自己的子网上分段。路由器连接子网和防火墙保护层。在虚拟环境中复制该设置可能需要客户在云中建立独立的子网。流量将从一个云子网通过路由器流到数据中心,然后返回到另一个云子网。雷竞技电脑网站
但另一方面,该公司可以在云中定位虚拟路由器和防火墙,避免通过数据中心路由流量的低效率。雷竞技电脑网站“这是我们看到了很多兴趣的地方,”Tuchler说。
虚拟化安全性的挑战:管理虚拟机,避免资源约束
虽然虚拟化安全性不一定是一种繁重的负担,但所涉及的复杂性会有所不同。“这取决于每个单独的场景,”Maria Horton说EmeSec这是一家总部位于弗吉尼亚州雷斯顿的信息保障和网络安全公司。
霍顿说,虚拟安全方面的一个特别挑战是密切关注虚拟机和虚拟应用程序在服务器或数据中心之间的迁移。雷竞技电脑网站她说,如果客户不知道自己的应用程序和数据的确切位置,他们就会发现监控配置以及这些设置的持续更改非常困难。
相关:新的安全工具保护虚拟机
“配置管理是一个大问题,所以我们可以监视并看到我们在哪里,”Horton说。“如果我们不知道数据在哪里,我们怎么知道它是否被泄露了?”
希尔指出了另一个问题:在虚拟环境中,软件补丁的问题有所增加。他说,一个虚拟机上的一个虚拟主机会导致两种操作系统,需要打补丁和更新。
“这只是稍微增加了一点复杂性,”Hill补充道,“但是我们已经发现,一些组织没有及时地为他们所有的物理安全设备应用补丁。当许多虚拟机托管在一台物理机器上时,问题可能会加剧。”
因此,他对确保虚拟网络安全的组织的建议是,将新旧网络结合起来。“我对物理部署也有同样的建议:保持简单以使其更易于管理——并且要注意虚拟环境中涉及的一些额外的奇怪情况。”
约翰·摩尔写商业和技术的文章已经超过20年了。他关注的领域包括移动应用程序开发、健康IT、云计算、政府IT和分销渠道。在Twitter上关注CIO.com上的一切@CIOonline,脸谱网,谷歌+和LinkedIn。
阅读更多关于网络安全的内容在CIO的网络安全深入研究中。
“虚拟化安全带来了挑战(但没有您想象的那么多)”这篇文章最初由首席信息官 。