在A中,流量是從應(yīng)用走向數(shù)據(jù)庫�,例如����,微軟SharePoint到SQL服務(wù)器��,而且每個應(yīng)用層級都位于自己的VLAN中�����。流量可通過虛擬交換機(jī)通向外部交換網(wǎng)絡(luò)和外部防火墻����。
同樣的選擇可以應(yīng)用到B中,但是卻并不是這一情境最理想的選擇�。大多數(shù)B情境的流量都是橫向的,迫使流量縱向通過物理防火墻是低效且昂貴的�����,因為這樣操作會增加為虛擬機(jī)流量提供服務(wù)的物理端口數(shù)量����。虛擬服務(wù)器中的每個應(yīng)用都需要在自己的VLAN中保護(hù)從應(yīng)用VM到數(shù)據(jù)庫VM的數(shù)據(jù)。因此��,一個虛擬的防火墻應(yīng)該比物理防火墻更適合用于內(nèi)部托管檢測����,如C情境所示。
盡管如此����,對于虛擬防火墻的一些考量也很重要。一個虛擬防火墻如果不能夠從硬件加速中獲益�,就不能與物理防火墻媲美的性能。但是�,軟件架構(gòu)是差異所在,所以對于配備了軟件架構(gòu)可優(yōu)化性能和減少延時的虛擬化防火墻要認(rèn)真考慮����。
還需要了解在自己的環(huán)境中虛擬防火墻支持的性能有哪些。在過去兩年里����,虛擬化的網(wǎng)絡(luò)安全產(chǎn)品激增。許多供應(yīng)商都努力要與“虛擬化和云”沾上邊���,但卻只是給物理防火墻加點虛擬要素的包裝而已�,卻忽略了而對虛擬化環(huán)境中實際情況的考量。特別是安全策略應(yīng)該對虛擬機(jī)的創(chuàng)建或動向進(jìn)行跟蹤��,而且應(yīng)該將目前需要手動執(zhí)行的策略更改變成自動化操作�。
你的虛擬平臺供應(yīng)商有虛擬安全裝置,可以了解環(huán)境的動態(tài)屬性����,但是不能提供合適的安全功能。對于網(wǎng)絡(luò)的安全威脅不會因為你改用虛擬化的環(huán)境就消失����。攻擊者正在使用新型,定向的����,復(fù)雜的技巧,如漏洞挖掘����,惡意軟件和間諜軟件,侵犯你的網(wǎng)絡(luò)���。你的應(yīng)用程序員正在部署應(yīng)用����,并利用防火墻上的開放端口繞過安全策略�。合作伙伴,承包商和移動用戶需要隨時隨地訪問你的應(yīng)用����。所以虛擬防火墻更需要了解端口,協(xié)議之外的應(yīng)用�����,支持基于用戶的策略����,并將完整的威脅架構(gòu)納入策略中對抗現(xiàn)在的安全威脅。
如何對兩者同時進(jìn)行優(yōu)化呢?你需要對下一代防火墻進(jìn)行虛擬化操作����,下一代防火墻已經(jīng)解決了安全應(yīng)用的挑戰(zhàn),而且可以動態(tài)了解虛擬機(jī)的動向���,還可以與管理編排軟件進(jìn)行融合����。
虛擬防火墻會取代物理防火墻嗎?
就數(shù)據(jù)中心而言����,虛擬防火墻會取代物理防火墻的地位嗎?答案是否定的����。因為數(shù)據(jù)中心的性能要求很苛刻���,所以物理防火墻不會消失����。在某些環(huán)境中��,他們或許是唯一的選擇����。而在其他環(huán)境中,則可能因傳輸量的需求而被用于邊緣數(shù)據(jù)中心過濾���。在大多數(shù)混合的環(huán)境中�,則是將物理防火墻與虛擬防火墻結(jié)合使用�。物理防火墻與虛擬服務(wù)器交錯,所以用戶正開始訪問虛擬服務(wù)器�。同時,虛擬化的防火墻還在服務(wù)器中提供了分區(qū)����,如圖二所示�����。
這種架構(gòu)的另一優(yōu)點是物理防火墻既可以保護(hù)虛擬服務(wù)器又可以防御hypervisor漏洞。防御hypervisor攻擊需要虛擬供應(yīng)商保障hypervisor的完整性和軟件加固�����。但是�����,對hypervisor提供合適訪問以及檢測虛擬平臺漏洞的補(bǔ)充性安全策略也很重要���。這些無法在服務(wù)器里通過防火墻實現(xiàn)�。畢竟��,如果你已經(jīng)通過一次攻擊訪問過Hypervisor���,你就可以控制整個服務(wù)器���。
結(jié)語
數(shù)據(jù)中心環(huán)境正走向自動化的�,動態(tài)的�����,按需服務(wù)�。安全架構(gòu)必須與這些要求并駕齊驅(qū),但是也還要解決安全保護(hù)和安全應(yīng)用的實際問題�。簡而言之,虛擬數(shù)據(jù)中心和云環(huán)境的網(wǎng)絡(luò)安全應(yīng)該:
• 提供應(yīng)有的安全特性(安全應(yīng)用啟用���,威脅保護(hù)���,靈活的網(wǎng)絡(luò)整合)
• 動態(tài)化:安全策略必須追蹤VM示例和動向;安全策略應(yīng)經(jīng)過精心安排。
• 為數(shù)據(jù)中心的所有安全裝置提供持續(xù)的���,集中的管理���。
原文地址:http://www.securityweek.com/when-my-data-center-goes-virtual-do-i-use-physical-or-virtualized-firewall
