虛擬數(shù)據(jù)中心有許多優(yōu)點——節(jié)約成本、靈活性和可擴展性，但是它也存在相應的安全問題。隨著服務器虛擬化的成熟，IT部門發(fā)現(xiàn)他們需要采用新的方法來保護系統(tǒng)，防御來自內(nèi)部網(wǎng)絡（如管理員）和外部網(wǎng)絡的威脅。當然，供應商們也為虛擬網(wǎng)絡安全產(chǎn)品這個新市場做好了準備。

Forrester Research副總裁和首席分析師Chenxi Wang說：“無論在虛擬數(shù)據(jù)中心內(nèi)部署什么應用程序，安全策略都應該能夠保證應用程序的數(shù)據(jù)與運行在物理基礎架構時是完全相同的。因此，為這些應用程序部署的所有安全措施（防火墻規(guī)則、網(wǎng)絡分片、反病毒程序和數(shù)據(jù)控制）都必須復制到虛擬化基礎架構。”

但是，網(wǎng)絡安全控制和網(wǎng)絡管理員在物理基礎架構中使用的方法不能應用于虛擬數(shù)據(jù)中心。Wang解釋說，例如在物理基礎架構中，管理員可以使用防火墻分隔服務器，但是它在虛擬環(huán)境中是不可行的?？赡苡幸慌_Web服務器連接外部網(wǎng)絡，另一臺服務器則在內(nèi)部網(wǎng)絡中，當我們將這兩臺服務器轉移到虛擬基礎架構時，它們就不再運行在兩個獨立的硬件上，而可能是運行在同一臺服務器的兩臺虛擬機上，但是它們?nèi)匀恍枰綦x。

Wang說：“除了VMware之外，現(xiàn)在的虛擬技術本身都不支持控制，所以您需要第三方技術，或者手工保證它們是分隔的。”

對于更復雜的問題，供應商解決數(shù)據(jù)中心網(wǎng)絡安全問題的方法則略有不同。Wang說，有一些供應商出品了部署在物理服務器上的虛擬網(wǎng)絡安全軟件，還有一些則是直接部署在數(shù)據(jù)中心的硬件上。

目前，只有少數(shù)供應商提供數(shù)據(jù)中心虛擬網(wǎng)絡安全產(chǎn)品。其中大型供應商包括思科、惠普、Juniper和VMware，小型供應商則有HyTrust、Vyatta和Catbird。

思科虛擬安全網(wǎng)關和ASA 1000V

思科的虛擬安全架構由虛擬安全網(wǎng)關和自適應安全設備 (Adaptive Security Appliance，ASA) 1000V 云防火墻組成。這兩個產(chǎn)品都整合了Cisco Nexus 1000v分布式虛擬交換機，能作為虛擬設備運行在ESX或Cisco Nexus 1010 虛擬服務設備上，這讓思科的產(chǎn)品只能夠運行在思科的環(huán)境中。然而，Nexus 1000V支持多個虛擬機管理程序（VMware和未來即將支持的Microsoft Hyper-V），因此對于這些IT部門而言，優(yōu)點是他們能夠實現(xiàn)一個運行多虛擬管理程序的數(shù)據(jù)中心。

虛擬安全網(wǎng)關(VSG)是基于域的防火墻，保護特定租賃者的虛擬機內(nèi)部通信。它支持虛擬機之間的訪問控制。VSG與ASA 1000V整合，ASA 1000V是思科物理安全基礎架構防火墻：思科自適應安全設備(ASA)的云版本。Cisco ASA 1000V云防火墻能夠保證租賃者邊界的安全。

HP TippingPoint保證虛擬安全

惠普推出了虛擬網(wǎng)絡安全產(chǎn)品Secure Virtualization Framework，它由HP虛擬控制器(vController)、虛擬防火墻(VFW)、虛擬管理中心 (VMC)和HP TippingPoint N Series IPS組成。VFW 能夠創(chuàng)建可信域，在虛擬機、集群和應用程序分組中執(zhí)行分片。vController和VFW位于各個虛擬機管理程序中，可對虛擬機間的流量應用安全策略。它們共同控制虛擬機之間的通信。vController還能夠將流量發(fā)送給入侵防御系統(tǒng)（IPS）。TippingPoint N Series IPS可以檢測流量，并根據(jù)VMC設置的策略將流量發(fā)送回虛擬集群，或者丟棄該流量。

Juniper vGW

Juniper vGW是一個運行在虛擬機管理程序內(nèi)部的防火墻，能夠在內(nèi)核中執(zhí)行安全處理。它只兼容VMware。它與VMware vCenter整合，通過管理控制臺和vGW安全策略進行管理。除了有狀態(tài)防火墻功能，vGW還包括合規(guī)性、反病毒及監(jiān)控與報告功能。它是基于Juniper 2010年末收購的虛擬網(wǎng)絡安全公司Altor的技術。

VMware vShield

VMware vShield產(chǎn)品線包括vShield App、vShield Edge和vShield Endpoint。VShield Edge是一個網(wǎng)絡和安全網(wǎng)關，它能夠保護虛擬數(shù)據(jù)中心邊界。VShield App支持虛擬機內(nèi)部通信分片，它能夠將應用程序鎖定到某些特定端口和必要服務。VShield Endpoint可以將反病毒功能轉移到一個專用的虛擬設備上，從而減少虛擬機中的反病毒客戶端。這三個軟件產(chǎn)品可以在VMware基礎架構中獨單獨部署或一起部署。

Vyatta OS

這家公司的虛擬路由器軟件Vyatta OS包含了的傳統(tǒng)網(wǎng)絡安全功能——例如，狀態(tài)防火墻、基于IPsec與SSL的VPN、網(wǎng)絡入侵防御、Web過濾和動態(tài)路由，它可以用作預打包虛擬機。這個軟件運行在虛擬機管理程序中，兼容VMware、Xen、XenServer和Red Hat KVM。Vyatta OS通過命令行、Vyatta的Web GUI或第三方管理系統(tǒng)進行管理。

HyTrust

HyTrust是一個部署在VMware基礎架構的虛擬硬件。這個軟件能夠攔截VMware管理工具的管理請求，根據(jù)定義好的策略允許或拒絕請求。HyTrust支持用戶身份驗證，能夠防止對虛擬基礎架構的未授權訪問。例如，如果網(wǎng)絡管理員準備將一個虛擬機連接到錯誤的網(wǎng)段，那么HyTrust 將會阻止這個請求。HyTrust可以與VMware vShield一起使用。

Catbird vSecurity

Catbird vSecurity由一個部署在各個虛擬宿主內(nèi)的虛擬設備和管理控制臺Catbird 控制中心組成。這個虛擬設備包含四個組件：VCompliance監(jiān)控和保證合規(guī)性。Hypervisor Shield負責監(jiān)控服務器和網(wǎng)絡，保護虛擬機管理程序不出現(xiàn)未授權訪問、錯誤配置和連接公共網(wǎng)絡。VMshield保護虛擬機本身。如果虛擬機配置不符合策略，那么未修正之前，它會與其余網(wǎng)絡隔離。最后，TrustZones負責保證任意位置的主機安全，它還可用于執(zhí)行網(wǎng)絡分片。Catbird vSecurity支持VMware和XenServer環(huán)境。

【編輯推薦】

1. 虛擬安全技巧：安全規(guī)則
2. 用跨平臺虛擬安全工具強化虛擬安全
3. 虛擬安全技巧：易受攻擊的點
4. 賽門鐵克發(fā)布《2011中小企業(yè)虛擬化調(diào)查報告》
5. 巧用三大技巧加強虛擬環(huán)境的網(wǎng)絡安全