而有些公司則嘗試使用VLAN和防火牆對虛擬機進行物理隔離,以保證虛擬環境的安全,但是這種方式會降低基礎架構靈活性,影響虛擬化的動態特性。
現在許多供應商正通過開發新產品和特性來解決虛擬化安全問題。Juniper收購了虛擬化安全專業公司Altor Networks。思科推出了它的虛擬安全網關軟件。惠普網絡則發布了TippingPoint vController,擴展它的TippingPoint入侵防御系統(IPS)的虛擬化安全功能。這個軟件是安裝在VMware ESX宿主上的,它會強制要求宿主服務器將所有需要檢測的虛擬機流量轉發到一台TippingPoint IPS設備上。
位於達拉斯的住宅抵押貨款公司PrimeLending采用了TippingPoint vController軟件,以便確保它成百上千運行在25台VMware ESX宿主服務器上的虛擬機安全。
John Hernandez是PrimeLending的副總裁和信息安全主管,他說:“vController很強大,它讓我們可以透明且精細地查看虛擬機及宿主之間傳輸的實際流量。它使我們知道威脅結構是什麼,以及我們在部署技術時面臨的潛在風險和問題是什麼。”
隨著PrimeLending將更多的關鍵應用程序部署到虛擬化基礎架構中,Hernandez需要這種專業的虛擬化安全產品。他最近在數據中心部署了一對TippingPoint S660N IPS設備,並在25個ESX宿主上部署了兩個vController實例。
在安裝TippingPoint硬件和軟件之前,Hernandez只能對虛擬化基礎架構進行有限的監控。
他說:“您無法精細地監控傳統虛擬機之間傳輸的流量。在大多數時候,監控流量都是在外部,即從一台主機到另一台主機,或者從一台主機到網絡的另一個節點。實際上,您無法清晰地區分虛擬機之間的事務。”
TippingPoint虛擬化安全屬於分層安全策略
PrimeLending已經將它的TippingPoint技術整合到諸多供應商提供的多層安全技術中。Hernandez說,公司使用思科防火牆保護網絡邊界,並使用了RSA數據丟失預防技術。它還使用RSA enVision安全意外與事物管理(SIEM)處理由防火牆和IPS檢測到的事件。
分層方法最近幫助公司檢測到了一個受攻擊的設備。Hernandez說:“信貸人員把一個文檔帶回家,然後在家裡一台感染了病毒的PC上進行處理。完成工作後,信貸人員將文檔帶回企業,在企業網絡中繼續處理剩余工作。這個中毒的文檔會嘗試訪問 “東部集團”的一些IP地址,以此感染我們的環境。幸好,TippingPoint發現了這個問題,並阻止了這個外部連接, 同時將該問題通知給我們的團隊。從直覺上來看,這並不是虛擬環境能夠做到的,而是TippingPoint所特有的功能。”
使用虛擬化安全工具處理大量流量
在使用TippingPoint虛擬化安全工具時,Hernandez沒有注意到虛擬機之間產生的流量數量。當vController開始將這些事務轉發到網絡及其IPS設備上時,他發現,當虛擬基礎架構增長時,他最終需要升級到更強大的TippingPoint設備。