目前市場(chǎng)上的安全虛擬化方案可謂琳瑯滿目，廠商中既充斥老牌勁旅也不乏后起之秀。瞻博網(wǎng)絡(luò)拿出的是其vGW(即vGateway)系列虛擬方案，思科公司則擁有Nexus 1000v虛擬交換機(jī)外加ASA 1000v虛擬防火墻，5Nine Security Manager旨在為微軟的Hyper-V環(huán)境提供反惡意軟件及流量訪問控制服務(wù)。大多數(shù)IDS/IPS廠商同樣擁有虛擬型產(chǎn)品，其中包括Sourcefire、McAfee、TippingPoint等等，如何選擇CSO要擦亮眼睛。

在本文中，我們將共同探討網(wǎng)絡(luò)安全虛擬化產(chǎn)品評(píng)估工作中必要考慮的幾大關(guān)鍵性因素。

評(píng)估流程中最重要的一步在于確定哪些虛擬化產(chǎn)品真正適合企業(yè)的實(shí)際需求。以下幾項(xiàng)具體內(nèi)容可以作為大家進(jìn)行判斷的衡量標(biāo)準(zhǔn)：

•成本。成本在評(píng)估是否有必要將現(xiàn)有網(wǎng)絡(luò)安全技術(shù)(可能在功能性方面存在局限、不具備虛擬化安全能力或者更新機(jī)制)更換為新型虛擬技術(shù)的重要依據(jù)。很多產(chǎn)品供應(yīng)商會(huì)根據(jù)管理程序數(shù)量、虛擬機(jī)系統(tǒng)數(shù)量或者CPU使用數(shù)量等作為虛擬平臺(tái)的授權(quán)許可計(jì)費(fèi)標(biāo)準(zhǔn)。計(jì)費(fèi)方面的差異不僅直接影響到更新項(xiàng)目的前期資金投入量，同時(shí)也會(huì)隨時(shí)間推移、設(shè)施規(guī)模擴(kuò)大而產(chǎn)生后續(xù)成本。

•供應(yīng)商實(shí)力。無論最終選擇哪家供應(yīng)商，大家都要在簽訂合約前做足功課。某些供應(yīng)商比其它競(jìng)爭(zhēng)對(duì)手更具實(shí)力，大家應(yīng)當(dāng)與這些廠商的現(xiàn)有客戶進(jìn)行交流，了解使用者對(duì)于產(chǎn)品及合作關(guān)系的看法。明智的客戶還應(yīng)該認(rèn)真閱讀頭條新聞，掌握與廠商有關(guān)的任何重要消息，包括行政領(lǐng)導(dǎo)層變動(dòng)、資金持有量公告以及收購(gòu)傳聞等等。

•與管理程序平臺(tái)的本地集成效果。從技術(shù)角度出發(fā)，大多數(shù)虛擬安全產(chǎn)品供應(yīng)商都會(huì)認(rèn)真關(guān)注市場(chǎng)領(lǐng)導(dǎo)者VMware的最新動(dòng)態(tài);不過也有不少技術(shù)企業(yè)支持微軟Hyper-V、思杰、KVM及其它主流平臺(tái)。如果您所在的機(jī)構(gòu)只選擇了某一家虛擬化平臺(tái)供應(yīng)商，那么對(duì)安全廠商的評(píng)估過程也會(huì)變得更加輕松;如果當(dāng)前使用的虛擬化平臺(tái)數(shù)量多種多樣，那么安全方案就必須具備多平臺(tái)支持能力。

•管理能力。思考虛擬網(wǎng)絡(luò)設(shè)備是否易于管理(無論其是否集成在現(xiàn)有安全控制臺(tái)當(dāng)中)、支持哪些類型的遠(yuǎn)程訪問機(jī)制(例如SSH)以及系統(tǒng)能否提供以角色為基礎(chǔ)的細(xì)化訪問控制方案。

•性能影響與可擴(kuò)展性。虛擬網(wǎng)絡(luò)設(shè)備需要使用多大內(nèi)存及其它資源?使用狀態(tài)下的平均資源峰值是多少?供應(yīng)商應(yīng)該有能力明確地回答這些問題。

•架構(gòu)靈活性。虛擬防火墻能夠支持多少虛擬網(wǎng)卡/端口?產(chǎn)品支持哪些規(guī)則及協(xié)議?

•特殊虛擬化功能。客戶能夠利用哪些功能實(shí)現(xiàn)虛擬資產(chǎn)(從管理程序到虛擬機(jī)系統(tǒng))的控制與保護(hù)?

說到功能，大家需要優(yōu)先關(guān)注的重點(diǎn)相當(dāng)之多，具體取決于您打算使用的虛擬防火墻、交換機(jī)或者網(wǎng)關(guān)的實(shí)際類型。其中最重要的幾條包括API可擴(kuò)展性、是否允許與業(yè)務(wù)流程平臺(tái)相集成、環(huán)境能否實(shí)現(xiàn)自動(dòng)化以及與其它供應(yīng)商產(chǎn)品進(jìn)行比較。當(dāng)下的多數(shù)虛擬防火墻都能提供狀態(tài)檢測(cè)、入侵檢測(cè)、反惡意軟件、配置與補(bǔ)丁評(píng)估以及虛擬基礎(chǔ)設(shè)施監(jiān)控等功能。請(qǐng)確保自己選擇的平臺(tái)有能力對(duì)虛擬機(jī)內(nèi)部(管理程序內(nèi)部流程)以及虛擬機(jī)之外(虛擬機(jī)與外部網(wǎng)絡(luò)之間)進(jìn)行監(jiān)控與過濾。最好能從內(nèi)核層面將安全方案與管理程序環(huán)境加以深度整合，這將有效提升性能表現(xiàn)并降低使用成本。在選擇具體解決方案時(shí)，對(duì)特定虛擬化流量及動(dòng)態(tài)虛擬機(jī)遷移操作(例如vMotion)的識(shí)別、監(jiān)管與控制能力也非常關(guān)鍵。