在2010年,VMware把vShield重新定位为用于ESX和ESXi的安全保护套件。该VMware系列的第一部分涵盖vShield Manager、Zones and App。主要针对vShield Edge和Endpoint的功能以及vShield的许可费用问题。
vShield Edge
VMware vShield Zones和App保障的是虚拟系统内的安全性,而vShield Edge的作用范围在外围网络上。它通过安全和网关服务实现对虚拟机的隔离,提供控制区、外网VPN和参数保护等功能实现对多租户云应用环境的支持。
vShield Edge服务包含如下内容:
- 网络地址转换(NAT)。NAT服务保护内部的私有网络跟公网隔离。NAT规则可以设定为只允许拥有私有地址的虚拟机访问。
- 动态主机配置协议(DHCP)。该功能支持IP地址池和一对一的静态IP地址分配。静态IP地址的捆绑可以基于请求终端的vCenter管理对象ID或接口ID进行。
- 站点间VPN。Edge支持在Edge和远程站点间的IPsec(Internet Protocol security)VPN连接。同时也可以支持共享密钥模式,IP地址单向传播而不是采用在vShield Edge和远程VPN路由器之间的动态路由方式。在每个远程VPN路由器之下,您还可以设置多个子网络通过IPSec通道连接到vShield Edge保护下的内网。
- Web负载均衡。vShield Edge提供了HTTP流量的负载均衡功能。负载均衡(包括第七层协议的支持)功能允许Web应用可以自动扩展。您可以把外部(或公网)IP地址映射到一组内部服务器上实现负载均衡。负载均衡器可以接受外部IP地址的HTTP请求并决定使用哪台内部服务器。
- 端口组隔离。该服务在受Edge保护的虚拟机和外部网络之间设置了隔断。端口组隔离和vLAN具有相同的效果,但是不需要交换机链路聚合带来的复杂连接和端口映射规则。
- vShield Edge可以支持各种vSphere的vSwitch模式,标准的、分布式的vSwitch包括Cisco Nexus 1000V都可以。
vShield Endpoint
代替传统的在每台虚拟机内安装极其消耗资源的反病毒/反恶意软件代理程序的方式,vShield Endpoint把反病毒(AV)软件功能卸载到一台专用的虚拟安全设备上。vShield Endpoint驱动在子OS内被加载并链接到某台运行于被保护vSwitch上的专用安全强化虚拟机,通过位于虚拟化管理层上的vShield Endpoint的可加载内核模块(LVM)。
通过这种机制,该专用于安全保障的虚拟机可以透过Endpoint驱动对虚拟机进行病毒和恶意软件监控(目前还不能支持虚拟机内存扫描。)同时,防病毒引擎和签名的升级只需在供应商的AV设备上进行一次就可以,不再需要对运行于每台虚拟机上的AV代理端进行操作。另外,通过AV设备可以进行集中策略管理,这样Endpoint瘦代理端就可很快决定如何处理客户端OS内的恶意文件。
VMware提供了知识库和API,方便安全厂商把自己的产品集成到vShield Endpoint中。现在趋势科技的Deep Security是唯一的可以支持vShield Endpoint的产品,它提供了无客户端保护,不会在客户端虚拟机内留下任何痕迹。不过其他的厂商,如McAfee和Symantec已经宣布不久他们也将推出Endpoint兼容产品。
vShield Endpoint现在仅支持运行于虚拟机上的32位和64位Windows操作系统。
vShield授权
vShield Manager和原始的vShield Zones产品在vSphere Advanced、Enterprise 和Enterprise Plus版本中都有包含,其中Zones是基于每台宿主机进行授权的。
同时,vShield Endpoint、Edge和App需要单独授权,以25台虚拟机为一个授权包。每个vShield产品都已经包含在vShield的下载中,只不过额外的这些产品需要在vCenter Server中使用授权码来激活才可用。
vCloud Director产品中包含了vShield Edge,vCloud Director授权码可用于激活vShield Edge的相关功能。在VMware View Premier版中也含有一个vShield Endpoint授权码。在vShield系列的下一部分,我们将关注vShield的部署以及配置和管理技巧。