虛擬化和云安全極度擾亂著安全市場。當大多數(shù)安全性能都部署在設備靜態(tài)設備周圍，而我們還沒有辦法應對動態(tài)的架構。

我們爭論的焦點是應該在何處進行安全部署：應該部署在資源虛擬化池外部的應用設備上，或者內置于管理程序中，抑或是運行于虛擬機上?答案是都要，但是真正重要的事情是如何在它們之間進行合理安排和協(xié)調管理。當談及在一個動態(tài)環(huán)境中協(xié)調安全時，答案出乎意料地來自網(wǎng)絡訪問控制。

虛擬化資源的安全存在兩個重大隱患。第一，資源可能是動態(tài)的，瞬時的。服務器的復制和發(fā)布不經(jīng)安排，它們可能圍繞VMWare的VMotion而移動，也可能等量移動。第二，安全要求網(wǎng)絡和運算的協(xié)調。使用虛擬化的時候，二者不一致：在最接近網(wǎng)絡流量的時候，你就會被放在管理程序之中或是虛擬機之中，在這些地方，電腦的運算能力不僅受到限制，而且還要承擔真實的工作流。雖然有些設備可以通過集中硬件提供運算能力，但是卻將你移出了工作流的輸送。

理想情況下，你應當在專用硬件和網(wǎng)絡攔截的資源池外，完成大量運算工作，還要控制距離工作流最近的端點以及與管理程序協(xié)作的端點。二者在理想條件下可以相互協(xié)作，也可以與虛擬化系統(tǒng)協(xié)作。

這正是NAC要解決的一系列問題。有NAC，你就具備連接交換機ad-hoc的端點。運行于端點的所有設備之間必須與運行于網(wǎng)絡的設備之間保持安全性能上的一致性，繼而將策略動態(tài)部署到每個端點。

對于NAC方案而言，既有架構講究的，也有專用的。那些架構比較好的方案頗具啟發(fā)性，可以重新部署到虛擬空間中。Trusted Computing Group的Trusted Network Connect架構就是個不錯的架構方案。PEP推行的安全性能可以部署到端點，接入交換機或網(wǎng)絡更深層次的地方。它們都是通過PDP策略編排的方案。通過元數(shù)據(jù)接入點和IF-MAP協(xié)議，可訪問元數(shù)據(jù)和事件，還可通過pub/sub架構對其進行共享。最后，可以通過不同的域整合TNC，并將其應用到云環(huán)境中。
 

【編輯推薦】

1. 存儲虛擬化技術解決數(shù)據(jù)中心難題
2. 多核時代促進虛擬化技術廣泛應用
3. 服務器虛擬化3.0載入平衡分析