网络通信 频道

虚拟网络安全产品比较

  虚拟数据中心有许多优点——节约成本、提高灵活性和可扩展性,但是它也存在相应的安全问题。随着服务器虚拟化的成熟,IT部门发现他们需要采用新的方法来保护系统,防御来自内部网络(如管理员)和外部网络的威胁。当然,供应商们也为虚拟网络安全产品这个新市场做好了准备。

  Forrester Research副总裁和首席分析师Chenxi Wang说:“无论在虚拟数据中心内部署什么应用程序,安全策略都应该能够保证应用程序的数据与运行在物理基础架构时是完全相同的。因此,为这些应用程序部署的所有安全措施(防火墙规则、网络分片、反病毒程序和数据控制)都必须复制到虚拟化基础架构。”

  但是,网络安全控制和网络管理员在物理基础架构中使用的方法不能应用于虚拟数据中心。Wang解释说,例如在物理基础架构中,管理员可以使用防火墙分隔服务器,但是它在虚拟环境中是不可行的。可能有一台Web服务器连接外部网络,另一台服务器则在内部网络中,当我们将这两台服务器转移到虚拟基础架构时,它们就不再运行在两个独立的硬件上,而可能是运行在同一台服务器的两台虚拟机上,但是它们仍然需要隔离。

  Wang说:“除了VMware之外,现在的虚拟技术本身都不支持控制,所以您需要第三方技术,或者手工保证它们是分隔的。”

  对于更复杂的问题,供应商解决数据中心网络安全问题的方法则略有不同。Wang说,有一些供应商出品了部署在物理服务器上的虚拟网络安全软件,还有一些则是直接部署在数据中心的硬件上。

  目前,只有少数供应商提供数据中心虚拟网络安全产品。其中大型供应商包括思科、惠普、Juniper和VMware,小型供应商则有HyTrust、Vyatta和Catbird。

  思科虚拟安全网关和ASA 1000V

  思科的虚拟安全架构由虚拟安全网关和自适应安全设备 (Adaptive Security Appliance,ASA) 1000V 云防火墙组成。这两个产品都整合了Cisco Nexus 1000v分布式虚拟交换机,能作为虚拟设备运行在ESX或Cisco Nexus 1010 虚拟服务设备上,这让思科的产品只能够运行在思科的环境中。然而,Nexus 1000V支持多个虚拟机管理程序(VMware和未来即将支持的Microsoft Hyper-V),因此对于这些IT部门而言,优点是他们能够实现一个运行多虚拟管理程序的数据中心。

  虚拟安全网关(VSG)是基于域的防火墙,保护特定租赁者的虚拟机内部通信。它支持虚拟机之间的访问控制。VSG与ASA 1000V整合,ASA 1000V是思科物理安全基础架构防火墙:思科自适应安全设备(ASA)的云版本。Cisco ASA 1000V云防火墙能够保证租赁者边界的安全。

  HP TippingPoint保证虚拟安全

  惠普推出了虚拟网络安全产品Secure Virtualization Framework,它由HP虚拟控制器(vController)、虚拟防火墙(VFW)、虚拟管理中心 (VMC)和HP TippingPoint N Series IPS组成。VFW 能够创建可信域,在虚拟机、集群和应用程序分组中执行分片。vController和VFW位于各个虚拟机管理程序中,可对虚拟机间的流量应用安全策略。它们共同控制虚拟机之间的通信。vController还能够将流量发送给入侵防御系统(IPS)。TippingPoint N Series IPS可以检测流量,并根据VMC设置的策略将流量发送回虚拟集群,或者丢弃该流量。

  Juniper vGW

  Juniper vGW是一个运行在虚拟机管理程序内部的防火墙,能够在内核中执行安全处理。它只兼容VMware。它与VMware vCenter整合,通过管理控制台和vGW安全策略进行管理。除了有状态防火墙功能,vGW还包括合规性、反病毒及监控与报告功能。它是基于Juniper 2010年末收购的虚拟网络安全公司Altor的技术。

  VMware vShield

  VMware vShield产品线包括vShield App、vShield Edge和vShield Endpoint。VShield Edge是一个网络和安全网关,它能够保护虚拟数据中心边界。VShield App支持虚拟机内部通信分片,它能够将应用程序锁定到某些特定端口和必要服务。VShield Endpoint可以将反病毒功能转移到一个专用的虚拟设备上,从而减少虚拟机中的反病毒客户端。这三个软件产品可以在VMware基础架构中独单独部署或一起部署。

  Vyatta OS

  这家公司的虚拟路由器软件Vyatta OS包含了的传统网络安全功能——例如,状态防火墙、基于IPsec与SSL的VPN、网络入侵防御、Web过滤和动态路由,它可以用作预打包虚拟机。这个软件运行在虚拟机管理程序中,兼容VMware、Xen、XenServer和Red Hat KVM。Vyatta OS通过命令行、Vyatta的Web GUI或第三方管理系统进行管理。

  HyTrust

  HyTrust是一个部署在VMware基础架构的虚拟硬件。这个软件能够拦截VMware管理工具的管理请求,根据定义好的策略允许或拒绝请求。HyTrust支持用户身份验证,能够防止对虚拟基础架构的未授权访问。例如,如果网络管理员准备将一个虚拟机连接到错误的网段,那么HyTrust 将会阻止这个请求。HyTrust可以与VMware vShield一起使用。

  Catbird vSecurity

  Catbird vSecurity由一个部署在各个虚拟主机内的虚拟设备和管理控制台Catbird 控制中心组成。这个虚拟设备包含四个组件:VCompliance监控和保证合规性。Hypervisor Shield负责监控服务器和网络,保护虚拟机管理程序不出现未授权访问、错误配置和连接公共网络。VMshield保护虚拟机本身。如果虚拟机配置不符合策略,那么未修正之前,它会与其余网络隔离。最后,TrustZones负责保证任意位置的主机安全,它还可用于执行网络分片。Catbird vSecurity支持VMware和XenServer环境。

0
相关文章