用户和供应商解决的独特问题和机会,涉及虚拟服务器具有类似nac的功能和ips防火墙设备,这些设备来自于ConSentry Networks、Reflex Security和VMware等供应商。
在一个数据中心中,将物理服务器彼此隔离是非常困难的。雷竞技电脑网站试图将运行在单个硬件机上的虚拟服务器隔离开来甚至更加复杂。
巴尔的摩的Mercy医疗中心在部署网络访问控制(NAC)设备时遇到了问题ConSentry网络.作为这一举措的一部分,该公司删除了运行多个应用程序的硬件服务器,用虚拟服务器取而代之,每个虚拟服务器运行一个应用程序。虽然这使得NAC实现更以应用程序为中心,而不是以服务器为中心,但它引入了安全复杂性。
该中心高级IT主管马克•雷小山(Mark Rein)表示:“没有多少方法可以阻止虚拟服务器之间的通信。”它们可以通过管理程序进行通信,而不需要离开物理机器——当虚拟服务器在刀片服务器上运行时,这个问题会增加好几倍。
如果考虑到良好的服务器到服务器防火墙的先决条件——特别是对速度和入侵防御系统(IPS)支持的需求——在虚拟环境中部署安全性可能更有意义。一些供应商在那里找到了一个利基市场。反射的安全,它提供了一个虚拟防火墙ips设备,打包成虚拟机,用于控制和保护虚拟服务器之间的通信。因为服务器和防火墙在盒子内通信,它们不需要支付外部交换机的开销。降低IPS性能命中率。
阅读相关故事:四家虚拟化安全公司值得关注
此外,由于这些特性是在虚拟机上的软件中提供的,因此部署这些特性的成本低于基于硬件的防火墙- ips。该公司高级产品总监Nand Mulchandani表示:“你不必每次想要保护不同的服务器时都要移动电线。VMware.“这一切都是用软件完成的,而且成本低得多。”
其他公司,如蓝色巷技术,也使基于虚拟机的安全设备,甚至防火墙坚固检查软件表示不排除建立自己的虚拟防火墙ips设备的想法。
虚拟安全设备是朝正确方向迈出的一步,但一些用户表示,其性能仍无法接受。“我们一直在与Reflex和其他设备合作,但它们似乎无法足够快地传递数据包,”Rein说。他说,真正需要的是“在hypervisor本身的某个地方”运行的安全性。
为此,VMware正在通过一个名为VMsafe的新程序向可信的安全合作伙伴开放虚拟机监控程序。VMware表示,安全厂商将获得与虚拟机管理程序相同的对虚拟机操作的可见性,包括内存、CPU、磁盘和I/O系统。通过这种方式,他们可以识别并消除恶意软件,如病毒、木马和键盘记录程序,防止它们伤害电脑或窃取数据。
了解更多关于这个主题的信息
清除选择测试:一体化防火墙11/12/07
帕洛阿尔托推出下一代防火墙06/20/07
下一代防火墙将需要多种特性09/14/07