虛擬化已經(jīng)給IT部門帶來了很多禮物���。它讓不可能不僅成為可能���,更成為普遍����。從服務器整合到云計算�,虛擬化是目前世界范圍內占主導地位的計算平臺�。
除了擴展計算能力,虛擬化也被認為是增加網(wǎng)絡安全性的一種方法���。VMware運營和銷售發(fā)展總監(jiān)Rod Stuhlmuller認為��,在網(wǎng)絡虛擬化中可以通過四種方式改善安全性���。
網(wǎng)絡虛擬化如何提高安全性
在云數(shù)據(jù)中心,應用程序工作負載隨意配置��,遷移和下線�,云管理軟件按需分配計算、存儲和網(wǎng)絡容量����。
添加網(wǎng)絡虛擬化到動態(tài)環(huán)境,徹底改變網(wǎng)絡的運作模式。這樣的深刻變化往往使安全人員緊張�。但實際上,網(wǎng)絡虛擬化包括了幾個內置的網(wǎng)絡安全優(yōu)勢��。這些優(yōu)勢包括隔離和多租戶;網(wǎng)絡分段;分布式防火墻���,以及服務插入和鏈接����。網(wǎng)絡虛擬化平臺可以將這些功能與其他安全功能結合��,在軟件定義的數(shù)據(jù)中心簡化安全運營�����。
隔離和多租戶
網(wǎng)絡虛擬化的一個核心功能是隔離(isolation) - 這是大多數(shù)網(wǎng)絡安全的基礎�,無論是合規(guī)性,安全殼���,或只為不讓開發(fā)����,測試和生產(chǎn)環(huán)境相互影響��。在默認情況下,虛擬網(wǎng)絡與其他的虛擬網(wǎng)絡從底層物理網(wǎng)絡隔離�,提供最低權限的安全原則。啟用此隔離需要無物理子網(wǎng)�,VLAN ,ACL��,或防火墻規(guī)則���。
任何隔離的虛擬網(wǎng)絡,可以由分布在數(shù)據(jù)中心任何地方的工作負載組成�。相同的虛擬網(wǎng)絡中的工作負載,可以駐留在相同的或不同的虛擬機監(jiān)控程序��。在多個相互隔離的虛擬網(wǎng)絡工作負載可以駐留在同一個虛擬機管理程序����。虛擬網(wǎng)絡之間的隔離允許重疊的IP地址,從而可以有獨立開發(fā)����,測試和生產(chǎn)虛擬網(wǎng)絡 - 每個虛擬網(wǎng)絡有不同的應用程序版本,但具有相同的IP地址��,并且所有的操作在相同的時間相同的底層物理基礎設施���。
虛擬網(wǎng)絡也隔離于底層物理基礎設施���。由于虛擬機管理程序之間的流量被封裝�,物理網(wǎng)絡設備運行在一個完全不同的地址空間�����,而不是連接到虛擬網(wǎng)絡的工作負載�。例如,一個虛擬網(wǎng)絡可以在IPv4物理網(wǎng)絡之上支持IPv6的應用工作負載���。這種隔離��,可以防止由任何虛擬網(wǎng)絡工作負載可能發(fā)起的任何攻擊影響底層物理基礎設施�。
分段簡化配置
網(wǎng)絡分段(network segmentation)與隔離相關���,但應用在一個多層虛擬網(wǎng)絡中�。傳統(tǒng)上����,網(wǎng)絡分段是物理防火墻或路由器的一個功能,為允許或拒絕網(wǎng)絡段或層之間的通信而設計����。定義和配置分段的傳統(tǒng)處理方式���,耗時且容易出現(xiàn)人為錯誤,導致很大比例的安全漏洞�����。此外�,實施還需要在設備配置語法,網(wǎng)絡地址�,應用端口和協(xié)議等方面具備深厚的專業(yè)知識。
像隔離一樣�����,網(wǎng)絡分段也是網(wǎng)絡虛擬化的核心能力��。一個虛擬網(wǎng)絡可以支持多層網(wǎng)絡環(huán)境�����,即多個L2分段和L3分段或單個L2段上的微分段(microsegmentation)使用分布式防火墻規(guī)則�。這可能是一個 Web層�����,應用層和數(shù)據(jù)庫層。物理防火墻和訪問控制列表提供一個成熟的分段功能����,通過網(wǎng)絡安全團隊和法規(guī)遵從審計的信任。但是��,云數(shù)據(jù)中心對這種方法的信心已經(jīng)動搖��,越來越多的攻擊��,破壞和停機時間都被歸因于人為錯誤����,過時的手工配置網(wǎng)絡安全,以及改變管理流程���。
在一個虛擬的網(wǎng)絡中����,與工作負載配置的網(wǎng)絡服務��,以編程方式創(chuàng)建并分發(fā)到hypervisor vSwitch�����。網(wǎng)絡服務,包括L3分段和防火墻�����,強制在虛擬接口執(zhí)行�。虛擬網(wǎng)絡內部的通信不會離開虛擬環(huán)境,因此消除了為網(wǎng)絡分段進行配置和維護物理網(wǎng)絡或防火墻的要求���。
先進的安全服務插入�����,鏈接和轉向
網(wǎng)絡虛擬化平臺提供了基礎的防火墻功能���,在虛擬網(wǎng)絡內交付分段���。但是���,在某些環(huán)境中,你需要更先進的網(wǎng)絡安全功能��。這時,客戶可以利用網(wǎng)絡虛擬化平臺來分發(fā)���、啟用和實施虛擬網(wǎng)絡環(huán)境中先進的網(wǎng)絡安全服務����。
網(wǎng)絡虛擬化平臺分發(fā)網(wǎng)絡服務到vSwitch上��,形成適用于虛擬網(wǎng)絡流量的服務邏輯管道�����。第三方網(wǎng)絡服務可以被插入到該邏輯管道��,允許物理的或虛擬的服務在邏輯管道被消耗�����。
網(wǎng)絡虛擬化方法的一個強大優(yōu)勢在于它有能力構建策略���,充分利用服務插入�����,鏈接和轉向以驅動邏輯服務管道中的服務執(zhí)行���,使協(xié)調來自多個供應商的完全不相關的網(wǎng)絡安全服務成為可能���。
跨物理和虛擬基礎架構的一致的安全模型
網(wǎng)絡虛擬化提供了一個平臺,允許跨虛擬和物理安全平臺的自動配置和上下文共享�����。傳統(tǒng)部署在物理網(wǎng)絡環(huán)境中的服務��,在虛擬的網(wǎng)絡環(huán)境中很容易配置和執(zhí)行��,因為它提供了可視性和安全性一致的模型����,無論應用程序在物理或虛擬工作負載。
