由于虚拟基础架构缺少可见性,许多企业的安全敏感应用程序都避免使用虚拟化技术。而有些公司则尝试使用VLAN和防火墙对虚拟机进行物理隔离,以保证虚拟环境的安全,但是这种方式会降低基础架构灵活性,影响虚拟化的动态特性。
现在许多供应商正通过开发新产品和特性来解决虚拟化安全问题。Juniper收购了虚拟化安全专业公司Altor Networks。思科推出了它的虚拟安全网关软件。惠普网络则发布了TippingPoint vController,扩展它的TippingPoint入侵防御系统(IPS)的虚拟化安全功能。这个软件是安装在VMware ESX宿主上的,它会强制要求宿主服务器将所有需要检测的虚拟机流量转发到一台TippingPoint IPS设备上。
位于达拉斯的住宅抵押货款公司PrimeLending采用了TippingPoint vController软件,以便确保它成百上千运行在25台VMware ESX宿主服务器上的虚拟机安全。
John Hernandez是PrimeLending的副总裁和信息安全主管,他说:“vController很强大,它让我们可以透明且精细地查看虚拟机及宿主之间传输的实际流量。它使我们知道威胁结构是什么,以及我们在部署技术时面临的潜在风险和问题是什么。”
随着PrimeLending将更多的关键应用程序部署到虚拟化基础架构中,Hernandez需要这种专业的虚拟化安全产品。他最近在数据中心部署了一对TippingPoint S660N IPS设备,并在25个ESX宿主上部署了两个vController实例。
在安装TippingPoint硬件和软件之前,Hernandez只能对虚拟化基础架构进行有限的监控。
他说:“您无法精细地监控传统虚拟机之间传输的流量。在大多数时候,监控流量都是在外部,即从一台主机到另一台主机,或者从一台主机到网络的另一个节点。实际上,您无法清晰地区分虚拟机之间的事务。”
TippingPoint虚拟化安全属于分层安全策略
PrimeLending已经将它的TippingPoint技术整合到诸多供应商提供的多层安全技术中。Hernandez说,公司使用思科防火墙保护网络边界,并使用了RSA数据丢失预防技术。它还使用RSA enVision安全意外与事物管理(SIEM)处理由防火墙和IPS检测到的事件。
分层方法最近帮助公司检测到了一个受攻击的设备。Hernandez说:“信贷人员把一个文档带回家,然后在家里一台感染了病毒的PC上进行处理。完成工作后,信贷人员将文档带回企业,在企业网络中继续处理剩余工作。这个中毒的文档会尝试访问 “东部集团”的一些IP地址,以此感染我们的环境。幸好,TippingPoint发现了这个问题,并阻止了这个外部连接, 同时将该问题通知给我们的团队。从直觉上来看,这并不是虚拟环境能够做到的,而是TippingPoint所特有的功能。”
使用虚拟化安全工具处理大量流量
在使用TippingPoint虚拟化安全工具时,Hernandez没有注意到虚拟机之间产生的流量数量。当vController开始将这些事务转发到网络及其IPS设备上时,他发现,当虚拟基础架构增长时,他最终需要升级到更强大的TippingPoint设备。
“我们开始采用中端TippingPoint设备,我们将其中一台专门用来处理网络流量,而另一台专门用来传输虚拟机流量。这两台设备都能够正常工作,但是考虑到我们的企业目标是在未来两至三年实现组织规模扩大二至三倍,我们显然需要考虑采用更大型的设备,以获得更多的带宽。”