预览
VMware vShield App是 VMware vShield产品家族的一员,可用于保护虚拟数据中心中的应用或资源池免受来自内部和外部的网络威胁。虚拟数据中心( vDC)是一个新的虚拟化基础架构部署方式,它可以帮助服务商更好地向用户提供按需的基础架构服务,在共享基础架构上确保资源的隔离、安全与灵活。本文旨在帮助管理员理解如何在虚拟数据中心中使用 VMware vShield App。首先,我会简单介绍一下从烟囱式的物理基础架构转变为整合的虚拟基础架构的历史。接下来讨论安全设计的最佳实践,这些最佳实践被很多大公司用来保护它们的资产。最后,会介绍两个供用户参考的设计模型,它们可以帮助用户在虚拟架构上有效应用 vShield App产品。
九十年代后期,IT人员将每一套应用都部署在单独的物理基础架构(Encalve)之上,每个Encalve都有一套服务器,存储和网络组件。这种架构通常存在较大的资源浪费,因为我们必须按照峰值时的性能要求来配置资源,但是大部分时间这些资源的利用率都很低。在2000年初,VMware推出了x86服务器虚拟化技术,IT人员开始实施服务器虚拟化,从而对现有的基础架构进行整合,以提高利用率。有了服务器虚拟化,多个应用程序可以运行在一台物理服务器之上,以充分利用多核处理器的处理能力。但是服务器整合却在安全方面带来了挑战,需要合适的方法来隔离那些运行在同一物理架构上的不同应用。
先让我们来看一看传统的安全设计方法。
图1:安全部署方式的演变
在不同的时期,网络与安全管理员采用不同的方法为IT基础架构提供安全性保障,包括物理分段,或是利用VLAN实现逻辑分段。并引入不同的安全设备以控制流量。图1显示的是安全部署方式的进化史,从最初的物理隔离方式(Air Gap)发展到基于VLAN逻辑隔离的混合信任区域,采用VLAN的方式需要管理员维护复杂的网络与安全配置。这些方法限制了云的部署,呆板的物理基础架构不能够灵活地按需移动资源,基于VLAN的逻辑隔离则对虚拟机之间的流量缺乏可见性和控制力。基于vShield App的虚拟Enclaves来划分信任区域是较好的方法,从根本上解决了传统安全部署方式所存在的问题。表1在部署和管理复杂度等方面对几种安全设计进行了比较。
表 1 安全部署比较
指标 | 物理隔离 | 采用独立网络的混合信任域 | 采用VLAN的混合信任域 | 采用虚拟Enclaves的混合信任域 |
资源利用率 | 服务器和网络资源的利用率不高 | 服务器利用率得到提升,网络资源利用率不高 | 服务器与网络资源利用率高 | 服务器、网络与安全资源利用率高 |
整合 | 无整合 | 仅服务器整合 | 最佳整合 | 最佳整合 |
物理设备的数量 | 高 | 高 | 中 | 低 |
采购与运维成本 | 最高的采购与运维成本 | 较高的采购与运维成本 | 较高运维成本 | 较低的采购与运维成本 |
复杂性 | 低 | 中 | 高 | 低 |
部署与管理所面对挑战 | 需管理多个设备 | 需要服务器配置多块网卡(刀片服务器无法提供足够多的端口)线缆管理复杂,需管理多个网络与安全设备 | VLAN,防火墙规则,防火墙阻塞点配置复杂,安全区域较大 | 部署安全性的新方法,非常容易部署与管理 |
安全设计与分区
对于任何一家公司而言,安全设计的目标都是为了满足业务需求,在保护资产的同时让授权用户可以正常访问。不同的部门有不同的安全需求,安全管理员首先要定义安全区域,将公司的资产根据风险分析结果指定到不同的安全区域。这些区域可以帮助安全管理员根据资产的重要程度创建安全策略。如图2所示,对于大多数公司来说,主要有两类区域。
· 物理隔离(Air Gap)为每个部门或组织部署独立的虚拟基础架构,类似于为不同的应用提供不同的物理服务器。在安全防护方面的主要影响是资源利用率较低。这种架构下,安全防护容易实现,但是采购与维护成本都较高。
· 抵御内部攻击的能力(从位于同一台物理主机的一台虚拟机向另一台虚拟机发起攻击)
2) 支持可以随虚拟机移动的动态安全策略(自适应)
5) 需要为不同的区域配置基于IP地址的防火墙规则
- 当虚拟机在不同的物理主机之间漂移时,必须手工调整安全策略。
图5:基于VLAN的混合信任域
