在部署应用程序时,保护应用程序的选项很少虚拟服务器根据Gartner最近的一份报告,在同一台物理机器上。
网络防火墙位于支持多个虚拟服务器的物理服务器外部不能过滤流量在虚拟服务器之间,根据报告“有限的选择可用于虚拟化服务器中的网络防火墙。”这意味着虚拟服务器上的应用程序可以与其他虚拟服务器未被发现,或许违反安全政策。
这是因为虚拟机可以在相同的硬件平台中直接彼此通信,使得外部防火墙和入侵防御系统(IPS)没有机会检查甚至监控流量。
高德纳表示,虚拟服务器之间的通信可以从物理框路由到外部防火墙,但这是低效的。可以隔离这些虚拟服务器的防火墙显然是需要的,“然而,很少有供应商提供全功能的解决方案,”报告说。
Gartner表示,Astaro、Blue Lane、Catbird、Enterasys和Reflex Security等厂商的防火墙解决了其中一些问题,而Stonesoft和StillSecure等厂商也计划解决这些问题。
两家主要的防火墙供应商,思科和瞻博网络帮助撰写这份报告的Gartner分析师格雷格•杨(Greg Young)表示,美国企业已经将产品转向基于硬件的防火墙,因此缺乏适合虚拟环境的软件防火墙。
通过物理服务器,企业建立了Web应用程序在隔离的网段中——非军事化区域——由防火墙与数据库分开。杨说,在虚拟环境中,这种分离可能会变得模糊。
报告说,在每个虚拟机上设置防火墙是可能的,但这会消耗虚拟机设计来保存的处理能力。
解决方案是在物理服务器中的虚拟机上设置防火墙,这样这些防火墙就可以监控和过滤其他虚拟机之间的流量,Young说。供应商需要证明这些软件他说,基于虚拟环境的防火墙在虚拟环境中工作,因此客户可以使用一些信心安装它们,以至于它们将是可靠的,他说。
Young说:“客户有高可用性需求,他们不想担心安装不当或补丁无法工作时出现的问题。”
他说,客户也会希望下一代防火墙供应商提供类似的虚拟产品。根据Gartner的定义,这些新的安全产品包括传统防火墙和IPS。客户将希望限制哪些虚拟机可以相互通信,并检测虚拟环境之间何时可能出现恶意软件,Young说。他说,Reflex Security正致力于IPS方面的虚拟服务器保护工作。虚拟安全软件的工具,如配置控制,将是重要的,以便网络管理员可以看到它正在正确地执行其功能。虚拟环境中的失败可能不像硬件-服务器世界中那么明显。
他表示:“你可以将一个防火墙分区从(虚拟防火墙)中移除,这样就可以继续进行通信。”“如果防火墙在现实世界中消失了,就会有人注意到。”
虚拟防火墙还需要组织内的网络和服务器团队重新思考。对于物理服务器,防火墙管理可以由网络安全组负责,但是对于服务器内部的防火墙,需要涉及服务器组,Young说。他说:“这一定是由网络操作主导,服务器操作影响的结果。”
了解更多关于这个主题的信息
虚拟安全几乎消失04/18/07
VMware问题竞争对手的虚拟化策略 安全性涉及云虚拟化部署03/07/07
11/12/07