虚拟化安全并非负担

　　在很多网络管理员看来，保证虚拟化网络资源安全的方法同常规做法是有所区别的。但是实际上，虚拟化安全的实施与传统的方式并没有太多不同。甚至于，虚拟化安全的操作会让人有一种似曾相识的感觉。

　　dinCloud是一家总部位于洛杉矶的云服务供应商，其向用户提供主机托管的虚拟桌面、服务器和云存储服务。这家公司的首席技术官Barry Weber认为，为中小企业客户提供虚拟化环境下的数据安全保障，实际上是一项相当简单的任务。

　　Weber在谈到虚拟化安全时说：“我认为这与以往一样，仍涉及基本面的操作。虚拟化本身并没有重大的安全问题，而只是增添了一层复杂性，只不过其有可能带来一些潜在的安全漏洞。另一方面，目前仍有大量的物理设备和虚拟设备可通过久经考验的标准方式来加以保护。”

　　有鉴于此，dinCloud部署了Vyatta公司（已经被网络厂商博科收购）的虚拟防火墙。当有用户订购服务器服务时，dinCloud就会为其开启虚拟防火墙。然后，用户就可以按自己希望的方式划分专用的IP地址空间。

　　虚拟防火墙有还有助于连接虚拟资源和物理资源。Weber对此解释道：“我们的用户所拥有的IT环境大多数是混合式的。他们不仅需要云环境的互联，而且也需要将多个企业终端串接起来。”

　　Weber表示，Vyatta可以帮助dinCloud根据客户预期的安全级别和防火墙参数，提供IPSec隧道机制方面的不同选项。虚拟防火墙端的参数设定与传统防火墙并没有什么不同。他表示，虚拟防火墙还可以对私有云里面的多个局域网进行分段。Weber介绍说，隧道机制保护了传输中的数据，而dinCloud会在物理存储层面对静态数据进行加密。最终用户身份验证则提供了另一层保护。

　　Weber在加入dinCloud之前曾开过一家云咨询公司。他表示，虚拟云安全的重要性不亚于企业内网防护。“我去过多家曾经在信息安全方面遇到难题的公司。最后到头来，这些公司在云环境安全性方面的投入甚至超过了其过往在物理设备方面花费的资金。”

　　虚拟化安全部署并不难

　　安全顾问们表示，像dinCloud这样有实力的云服务提供商，目前已经可以比较轻松地处理虚拟化网络安全方面的问题了。换句话说，在虚拟化环境下做好数据保护并不是天方夜谭。

　　马萨诸塞州SystemExperts公司的高级顾问Paul Hill表示，企业在虚拟环境中所面临的问题与物理环境下基本相同。他表示，物理环境中所用的安全控制措施都适用于虚拟化环境，基本上不需要什么改动：“通常情况下安全策略都可以直接拿来使用。”

　　目前，Vyatta等虚拟化网络安全厂商已经可以提供对现有的IT环境干扰极小的技术。Hill强调说：“厂商的目的是，将虚拟化安全解决方案直接替代掉物理安全技术。”

　　除了Vyatta外，现在许多厂商都开始提供面向虚拟网络的安全产品。比如说，Catbird Networks提供的vSecurity这款产品就宣称，其能够保障虚拟化和私有云数据中心的信息安全。去年年底，这家公司获得了来自Medina Capital的注资。当时，Medina在声明中称，在未来五年内“软件定义的安全解决方案将基本上取代数据中心里面的物理设备。”

　　苦心经营这个市场的其他厂商包括思科、惠普、HyTrust、瞻博和VMware。思科今年2月推出了Nexus 1000V InterCloud产品。思科方面认为，这款产品将虚拟网络从公司数据中心安全地扩展到云服务提供商。

　　需要强调的是，厂商们不仅提供了虚拟防火墙等单点解决方案，而且还同时提供集成解决方案。集成的解决方案归属于软件定义的安全解决方案这个范畴，同时也隶属于更宽泛的软件定义网络（SDN）领域。不过，新兴的SDN技术还没有得到市场的广泛接受。

　　Weber认为SDN“确实是个好主意”，但他补充说，这项技术目前还不够成熟，并不适用于商用云环境。他表示，至少再过五年，SDN才会达到能够吸引大批顾客的成熟程度和部署规模。

　　Hill表示，在他所接触到的用户中，有些企业花费重金购置了大量来自思科的网络基础设施，但是在网络安全方面，用户却显得有些吝啬，更没有对采用虚拟化防火墙产品。“我们的用户很少考虑这个方面的问题。”他表示。不过Hill补充说，随着IT环境的改变，已经有用户对虚拟化安全技术表示出了兴趣。

　　使云部署更简单

　　对于用户来说，选择虚拟化网络安全产品能够更好地支持企业的商业模式。

　　dinCloud目前正在将产品受众瞄向中小企业，帮助它们简化云部署流程。在dinCloud所提供的服务之中就包括了安全方面的功能。Weber表示，很多公司可能都没有专门从事安全工作的员工，而且这些公司也不会将精力都花在网络安全方面。

　　“中小企业客户仍然有着相当高的安全需求。”Weber表示。曾经有一名dinCloud的用户提出，其需要500条能够穿越其防火墙的点对点隧道，dinCloud很快响应了用户的需求。Weber说：“我们为用户管理那些隧道。我们的目标是尽可能让用户的网络维护工作简单化。”

　　Vyatta产品管理和市场营销高级主管Dan Tuchler表示，虚拟化网络安全能够为客户带来更高级的云选项。在云环境中部署了虚拟机的企业，通常会部署出一个很大的子网。而这样一来，企业用户就不得在部署新应用时有所顾忌，而很难去做到随心所欲。

　　比如说，某家企业擅长开发面向Web的应用程序，包含网站服务器、业务逻辑和数据库等应用，而每一个应用都要求要拥有独立的子网。通常情况下的做法是，用户会用路由器连接这些子网，并同时在每个子网单独部署防火墙。想要在这种情况下部署虚拟化，用户就需要在每个应用的云环境中建立起单独的子网。流量将通过路由器从一个云环境子网传送到数据中心，然后再回传到其他云子网。

　　毫无疑问，这种做法极大地占用了网络资源。其实，用户完全可以将虚拟路由器和防火墙放在云中，从而避免通过数据中心传送流量这种低效做法。Tuchler表示说：“我们看到用户在这方面有着浓厚的兴趣。”

　　虚拟化安全的挑战

　　虽然虚拟化安全对于用户来说未必是个沉重的负担，但其可能依然会为企业的IT部署带来一些复杂性。信息保障和网络安全公司EmeSec首席执行官Maria Horton认为，虚拟化安全的复杂性取决于每家企业的具体情形。

　　Horton表示，虚拟化安全实施方面比较大的挑战在于，用户需要密切关注虚拟机和应用程序在服务器或数据中心之间的迁移。她表示，如果需要经常改动配置数据，但是却不知道其应用程序和数据的确切位置，同时用户又需要监控配置的变动情况，那么就会发觉监控迁移这个过程很困难。“配置管理是很重要的内容，这样用户才能监控到自己所处的网络状态。如果我们不知道数据在哪里的话，又怎么知道数据是不是受到了威胁？”

　　除此之外，Hill认为，在虚拟环境下，给软件打补丁将会变得有写复杂。他表示，这意味着用户需要同时更新物理机应用以及物理机上运行的虚拟主机应用。

　　Hill补充说：“这导致用户的操作复杂性略有增加。我们已经发现，一些企业没有及时地给其所有的物理安全设备打补丁。要是许多虚拟机都放在一个物理机上运行的话，这种不及时更新的问题可能会更突出。”

　　他向有志于部署虚拟化环境的用户提出的建议是，应该将新老环境结合起来管理。“同物理环境一样，针对虚拟化环境企业应该力求简单，这会使得用户的IT资产管理起来更容易。”（本文编译自CIO.com网站）

　　John Moore