虛擬化已經給IT部門帶來了很多禮物。它讓不可能不僅成為可能,更成為普遍。從服務器整合到雲計算,虛擬化是目前世界范圍內占主導地位的計算平台。
除了擴展計算能力,虛擬化也被認為是增加網絡安全性的一種方法。VMware運營和銷售發展總監Rod Stuhlmuller認為,在網絡虛擬化中可以通過四種方式改善安全性。
網絡虛擬化如何提高安全性
在雲數據中心,應用程序工作負載隨意配置,遷移和下線,雲管理軟件按需分配計算、存儲和網絡容量。
添加網絡虛擬化到動態環境,徹底改變網絡的運作模式。這樣的深刻變化往往使安全人員緊張。但實際上,網絡虛擬化包括了幾個內置的網絡安全優勢。這些優勢包括隔離和多租戶;網絡分段;分布式防火牆,以及服務插入和鏈接。網絡虛擬化平台可以將這些功能與其他安全功能結合,在軟件定義的數據中心簡化安全運營。
隔離和多租戶
網絡虛擬化的一個核心功能是隔離(isolation) - 這是大多數網絡安全的基礎,無論是合規性,安全殼,或只為不讓開發,測試和生產環境相互影響。在默認情況下,虛擬網絡與其他的虛擬網絡從底層物理網絡隔離,提供最低權限的安全原則。啟用此隔離需要無物理子網,VLAN ,ACL,或防火牆規則。
任何隔離的虛擬網絡,可以由分布在數據中心任何地方的工作負載組成。相同的虛擬網絡中的工作負載,可以駐留在相同的或不同的虛擬機監控程序。在多個相互隔離的虛擬網絡工作負載可以駐留在同一個虛擬機管理程序。虛擬網絡之間的隔離允許重疊的IP地址,從而可以有獨立開發,測試和生產虛擬網絡 - 每個虛擬網絡有不同的應用程序版本,但具有相同的IP地址,並且所有的操作在相同的時間相同的底層物理基礎設施。
虛擬網絡也隔離於底層物理基礎設施。由於虛擬機管理程序之間的流量被封裝,物理網絡設備運行在一個完全不同的地址空間,而不是連接到虛擬網絡的工作負載。例如,一個虛擬網絡可以在IPv4物理網絡之上支持IPv6的應用工作負載。這種隔離,可以防止由任何虛擬網絡工作負載可能發起的任何攻擊影響底層物理基礎設施。
分段簡化配置
網絡分段(network segmentation)與隔離相關,但應用在一個多層虛擬網絡中。傳統上,網絡分段是物理防火牆或路由器的一個功能,為允許或拒絕網絡段或層之間的通信而設計。定義和配置分段的傳統處理方式,耗時且容易出現人為錯誤,導致很大比例的安全漏洞。此外,實施還需要在設備配置語法,網絡地址,應用端口和協議等方面具備深厚的專業知識。
像隔離一樣,網絡分段也是網絡虛擬化的核心能力。一個虛擬網絡可以支持多層網絡環境,即多個L2分段和L3分段或單個L2段上的微分段(microsegmentation)使用分布式防火牆規則。這可能是一個 Web層,應用層和數據庫層。物理防火牆和訪問控制列表提供一個成熟的分段功能,通過網絡安全團隊和法規遵從審計的信任。但是,雲數據中心對這種方法的信心已經動搖,越來越多的攻擊,破壞和停機時間都被歸因於人為錯誤,過時的手工配置網絡安全,以及改變管理流程。
在一個虛擬的網絡中,與工作負載配置的網絡服務,以編程方式創建並分發到hypervisor vSwitch。網絡服務,包括L3分段和防火牆,強制在虛擬接口執行。虛擬網絡內部的通信不會離開虛擬環境,因此消除了為網絡分段進行配置和維護物理網絡或防火牆的要求。
先進的安全服務插入,鏈接和轉向
網絡虛擬化平台提供了基礎的防火牆功能,在虛擬網絡內交付分段。但是,在某些環境中,你需要更先進的網絡安全功能。這時,客戶可以利用網絡虛擬化平台來分發、啟用和實施虛擬網絡環境中先進的網絡安全服務。
網絡虛擬化平台分發網絡服務到vSwitch上,形成適用於虛擬網絡流量的服務邏輯管道。第三方網絡服務可以被插入到該邏輯管道,允許物理的或虛擬的服務在邏輯管道被消耗。
網絡虛擬化方法的一個強大優勢在於它有能力構建策略,充分利用服務插入,鏈接和轉向以驅動邏輯服務管道中的服務執行,使協調來自多個供應商的完全不相關的網絡安全服務成為可能。
跨物理和虛擬基礎架構的一致的安全模型
網絡虛擬化提供了一個平台,允許跨虛擬和物理安全平台的自動配置和上下文共享。傳統部署在物理網絡環境中的服務,在虛擬的網絡環境中很容易配置和執行,因為它提供了可視性和安全性一致的模型,無論應用程序在物理或虛擬工作負載。
傳統上,這一層級的網絡安全將迫使網絡和安全團隊在性能和功能之間進行抉擇利用網絡虛擬化平台的能力分發和執行先進的功能集於應用程序的虛擬接口,能夠同時交付最好的性能與功能。
基礎設施維護的政策,允許工作負載在數據中心的任何地方放置和移動,無需人工干預。預先核准的應用程序的安全策略,可以通過編程方式應用,實現網絡安全服務的自助服務部署,即使是復雜的網絡安全服務。