security_20150714

隨著技術演變,現時網絡技術可謂日新月異,例如最常見的就是企業在考慮虛擬環境中的網絡安全問題時,或者使
用虛擬化來提供安全服務時,可以選擇物理設備模式、虛擬設備模式或者組合模式。IT 團隊的工作往往是圍繞網絡、存儲和安全維護和支援工作,這些團隊所擁有的專業知識漸漸已轉變成業務、建築和工程的一個重要角色。

這些組織結構是分層的,也是標準化和流程驅動的,在環境變得高度虛擬化時,它不能與所需要的敏捷方法相契合。當一個系統管理員要負責所有虛擬化功能時,技術就顯得綜合而且抽像。儘管這些結構和 IT 類整合令全新的營運模式出現,而我們保護虛擬環境的方法並沒有和新的營運模式一起進化。

保護工作負載的最新模式

當團隊考慮虛擬環境中企業網絡安全時,或者使用虛擬化來提供安全服務時,可以選擇物理設備模式、虛擬設備模式或者組合模式:

物理設備強化安全:網絡管理員可使用虛擬 LANs 和 IP 網路由來管理物理網絡,將其進行邏輯分段。這就可以使用路由器或防火牆將物理空氣間隙和界面或基於區域的隔離結合起來。在這種情況下,會有一個專門的團隊維護獨立虛擬交換,網絡拓撲來管理虛擬主機。在同一個區域內 (物理或虛擬),一般不存在專門應用於工作負載安全方面的技術。如果工作負載企圖跨越區域邊界,通信必須經過虛擬基礎設施之外的一個物理防火牆/路由器。這就是經典的安全設計模式。

虛擬設備安全:談到虛擬設備安全時,系統管理員使用邏輯虛擬「邊緣」安全設備和放置在邏輯區域的前端工作負載集合的路由設備。這些虛擬設備 (虛擬機工作負載) 取代了物理設備,但是和所保護的工作負載更接近。當流量需要跨越區域邊界,跨越相對應工作負載的位置,在靠近一個虛擬設備的同時決定如何轉發和怎樣確保安全。在物理網絡中進行邏輯分段很方便,但是因為在虛擬網絡中很多的流量是東西走向,物理防火牆從來沒有遇到過這麼多的網絡流量。這種架構意味著這些政策僅僅只是在網絡底部的物理分離或分段中的松散組合。

物理和虛擬設備:只需結合這兩種模型,就可以提供帶有虛擬主機的工作負荷集群的邏輯分段和區域物理隔離。這種方法提供了虛擬工作負載的優化本地分割和轉發,隨著虛擬化集群被他們所提供的服務所限制,往往意味著更少的最佳虛擬化計算率。然而,這種模式獲得合規,審計和風險團隊的認可。

超級管理器中帶有安全強制的基於工作負載隔離,超級管理器和虛擬設備的組合。計劃木以後,將其附加在工作負載上,和工作負載一起穿越虛擬化結構本身,並且在超級管理器或超級管理器和集成虛擬設備的組合中執行。由於虛擬環境和虛擬化平台的集成,這種方法提供了非常高的性能,而且不管在物理或邏輯網絡中,或流動工作負載中,真正考慮到保護工作負載。

混合模式:這個模式是以上任意一個選項,或全部選項的組合。這個模式能提供一個真正平均方法,這個方法可以提供最靈活的執行能力。但是這種方法的平衡是非常復雜的。混合模式需要跨職能團隊的集成方法,而且依賴於高水平的工作流程自動化。

 


 初探虛擬化下的網絡安全模式

 https://www.facebook.com/hkitblog