虛擬化和云安全極度擾亂著安全市場(chǎng)。當(dāng)大多數(shù)安全性能都部署在設(shè)備靜態(tài)設(shè)備周圍，而我們還沒有辦法應(yīng)對(duì)動(dòng)態(tài)的架構(gòu)。

我們爭(zhēng)論的焦點(diǎn)是應(yīng)該在何處進(jìn)行安全部署：應(yīng)該部署在資源虛擬化池外部的應(yīng)用設(shè)備上，或者內(nèi)置于管理程序中，抑或是運(yùn)行于虛擬機(jī)上?答案是都要，但是真正重要的事情是如何在它們之間進(jìn)行合理安排和協(xié)調(diào)管理。當(dāng)談及在一個(gè)動(dòng)態(tài)環(huán)境中協(xié)調(diào)安全時(shí)，答案出乎意料地來自網(wǎng)絡(luò)訪問控制。

[[10637]]

虛擬化資源的安全存在兩個(gè)重大隱患。***，資源可能是動(dòng)態(tài)的，瞬時(shí)的。服務(wù)器的復(fù)制和發(fā)布不經(jīng)安排，它們可能圍繞VMWare的VMotion而移動(dòng)，也可能等量移動(dòng)。第二，安全要求網(wǎng)絡(luò)和運(yùn)算的協(xié)調(diào)。使用虛擬化的時(shí)候，二者不一致：在最接近網(wǎng)絡(luò)流量的時(shí)候，你就會(huì)被放在管理程序之中或是虛擬機(jī)之中，在這些地方，電腦的運(yùn)算能力不僅受到限制，而且還要承擔(dān)真實(shí)的工作流。雖然有些設(shè)備可以通過集中硬件提供運(yùn)算能力，但是卻將你移出了工作流的輸送。

理想情況下，你應(yīng)當(dāng)在專用硬件和網(wǎng)絡(luò)攔截的資源池外，完成大量運(yùn)算工作，還要控制距離工作流最近的端點(diǎn)以及與管理程序協(xié)作的端點(diǎn)。二者在理想條件下可以相互協(xié)作，也可以與虛擬化系統(tǒng)協(xié)作。

這正是NAC要解決的一系列問題。有NAC，你就具備連接交換機(jī)ad-hoc的端點(diǎn)。運(yùn)行于端點(diǎn)的所有設(shè)備之間必須與運(yùn)行于網(wǎng)絡(luò)的設(shè)備之間保持安全性能上的一致性，繼而將策略動(dòng)態(tài)部署到每個(gè)端點(diǎn)。

對(duì)于NAC方案而言，既有架構(gòu)講究的，也有專用的。那些架構(gòu)比較好的方案頗具啟發(fā)性，可以重新部署到虛擬空間中。Trusted Computing Group的Trusted Network Connect架構(gòu)就是個(gè)不錯(cuò)的架構(gòu)方案。PEP推行的安全性能可以部署到端點(diǎn)，接入交換機(jī)或網(wǎng)絡(luò)更深層次的地方。它們都是通過PDP策略編排的方案。通過元數(shù)據(jù)接入點(diǎn)和IF-MAP協(xié)議，可訪問元數(shù)據(jù)和事件，還可通過pub/sub架構(gòu)對(duì)其進(jìn)行共享。***，可以通過不同的域整合TNC，并將其應(yīng)用到云環(huán)境中。

【編輯推薦】

1. 網(wǎng)絡(luò)訪問控制（NAC）是否現(xiàn)在就該部署
2. 新型內(nèi)網(wǎng)安全方案擴(kuò)展NAC外延