【TechTarget中国原创】网络安全尤其是网络准入控制(NAC)可以说是服务器虚拟化的死穴。随着虚拟服务器在数据中心的广泛应用,传统的接入控制很难再继续顺利实施。尤其当企业需要遵守严格的数据控制标准时,这将更具挑战性。这些企业包括一些信用卡企业(PCI)、医疗保健(HIPAA)企业和其他需要遵从塞班斯法案的企业。
虚拟化架构为NAC创造了特别的挑战。物理安全系统无法看到虚拟LAN中流量的运行情况,这些流量会随着虚拟机在物理机中运行而改变。再者,由于虚拟机的安装是如此的容易,当部署新的服务器或恢复旧服务器时员工会违反审计需求。
IT管理规范中非常强调数据的保护,但当配置更多的虚拟服务器时就已经开始干扰到数据保护。指出如何利用需要的技术以确保在虚拟世界中的法规遵从是件棘手的事情。
法规遵从的核心是一系列实用的方法,围绕着如何从程序错误中保护数据安全。如果有企业改变了游戏规则,他们需要一定的控制手段来保证由审计人员来采取必要的手段对数据进行保护,只有特定人员可以接触到敏感数据,还要进行审计跟踪。
NAC倍受关注的原因是它预测到如果违反政策就会无法获得网络上的应用。而当装置虚拟化后就很难做到这一点。
Forrester研究机构首席分析师Robert Whiteley说:“从某种程度上看,这些法规遵从的核心就如同是保险。当出现错误时可以利用他们来减小损害。当部署虚拟化时,需要升级保障策略来保证所做的假设是正确的。如果在法规遵从方面搞砸,现在则实行一级问责制。”
象Reflex Security和Altor Networks这样的厂商已经推出了虚拟化安全解决方案来解决这些事情。Whiteley说:“毫无疑问,传统的防火墙厂商还做不了这样的事情。”
缺乏可视化
虚拟化会使端点混乱,当虚拟机上有流量时,防火墙或者网络入侵装置不一定会监测到虚拟机。可以监测到从物理机上来的流量,但无法检测到从虚拟机上来的流量。
在网络领域中,安全的前提是理解端点在哪里被IP地址定位。Whiteley说:“一台物理机上可以拥有几十或上百的虚拟机。”
当企业部署了许多虚拟架构时,他们会发现网络架构通常会成为安全的障碍,因为网络没有被正确的分布。结果是企业花费大笔资金用于数据和应用的解决方案。需要防火墙来保护动态后端架构。
而且虚拟环境也是动态的。这些服务器由于负载而移动。在一个物理网络中,只有在将服务器换掉或维修时才移动服务器。而在虚拟世界里则是基于商业和服务需要来挪动服务器的。
Reflex Security 的CTO Hezi Moore说:“当在虚拟环境内部移动网络的一部分时,无法通过物理防火墙或IPS来控制流量。”
传统的防火墙厂商如Cisco、Juniper和Checkpoint关注网络层级。应用防火墙厂商如Imperva、Citrix和F5关注应用防火墙。
然而,这些技术看不到虚拟环境的内部。Altor Networks 商业发展经理Poornima DeBolle 说道:“通常来说,当服务器或端点连接到网络时,NAC需要一个地位评估决定。当前的NAC解决方案缺乏与交换机的一体兼容性,没有配置虚拟交换机的能力,无法将NAC配置到虚拟环境中。当虚拟机在虚拟网络中广泛应用的时候,没有准入控制强制他们与虚拟交换机的连接。”
虽然应用防火墙可以保护应用,但对网络层涉及不多,这对于与审计相关的严格的NAC需求来说是一个挑战。DeBolle解释说:“软件IPS或防火墙会有性能挑战,也需要与虚拟架构连接并且重新配置交换机来控制或加强网络连接。”
Reflex Security公司 虚拟安全图