虚拟化安全： 创新何在？

     虚拟化现在成了标准作业程序。它同时也打破了传统的防御机制，因为阻碍了可见性和控制性，带来了新的攻击途径，增加了复杂性，而且使网络团队与服务器团队之间的管理角色模糊起来。《信息周刊》杂志在2012年调查了数据中心的现状，结果显示，没有回头路可走，哪怕我们想走回头路：到明年年底之前，256名调查对象中有一半会将生产环境中至少50%的服务器进行虚拟化处理;26%的调查对象会将75%或更多比例的服务器进行虚拟化处理。所以，虚拟化安全市场的创新停滞不前颇让人遗憾。阻碍体现在两个方面：首先，虚拟机管理程序还没有遇到重大的安全事件，这让IT人士洋洋自得。其次，厂商们不愿意与VMware较量;VMware拥有市场的大部分份额，还控制着API(应用编程接口)，鉴于企业界很少采用与之竞争的服务器虚拟机管理程序，VMware称得上是巨无霸。 


这样一来，摆在我们面前的确保虚拟机管理程序网络安全的主要产品数量有限。其中两个产品：VMware自己的vShield和瞻博网络的vGW(虚拟网关，从Altor收购而来)使用由VMware的VMsafe安全计划提供的API。作为这个市场的另一个大佬，思杰的技术立足于专有的Nexus 1000V虚拟交换机，虽然该交换机是思科与VMware合作开发出来的，但是并不依赖VMsafe。思科还没有完全加入VMware的行列;它暗示，这项技术可以与其他虚拟机管理程序协同使用。 


如果你运行非VMware虚拟机管理程序，就应该考虑Vyatta公司的Network OS产品，这款产品与思杰XenServer和红帽KVM兼容，而且与VMware的vShield Edge一样，包括NAT和DHCP服务器。Vyatta还增添了一种复杂的路由引擎，可支持IPv4和IPv6动态路由协议，比如BGP(边界路由协议)、OSPF(开放最短路径优先)和RIP(路由信息协议)。 


诚然，眼下非VMware虚拟机管理程序阵营很小：对最近接受《信息周刊》杂志虚拟化管理调查的对象当中90%的人来说，某个版本的VMware是主要的虚拟机管理程序平台。但是一旦像OpenStack(采用KVM)和CloudStack(采用Xen)这些开源云系统日益流行起来，这个市场会变得更有活力，变数更大。微软已经对Hyper-V作了存储和迁移方面的一些改进，目的是为了吸引企业，但是在网络安全方面还无法与VMsafe抗衡，不过第三方正在开始填补这方面的不足。另外别忽视了像前Xen架构师Simon Crosby领导的Bromium这些新兴企业，它们致力于虚拟化和云安全。一种全新的平台可能会使得安全虚拟化成为一项最低要求的功能，从而提高竞争门槛。Crosby暗示Bromium大有机会，他表示他认为五年后，大多数IT工作负载将放在云端——无论是公共云还是私有云;而虚拟机管理程序“唯一的价值将体现在安全上。” 


不过眼下，VMware的vShield系列为虚拟机安全市场确立了标准。更重要的是，它实际上界定了与逻辑网络和虚拟机边界相对应的三个部分：虚拟机内部(第2层，虚拟交换机里面)、虚拟机之间(第3层，私有云中的物理主机之间)以及访客操作系统(虚拟机里面的应用程序控制导)。我们会深入探讨每一层，但这种结构是IT团队规划安全战略的良好基础。 


现在靠你自己 


高效的安全需要专门的技术专长，因而很少有人认为开源项目本身会为KVM或Xen提供尚可接受的安全性。虽然微软拥有为Hyper-V开发像vShield这种技术所需要的资源和人才，但它还没有这么做。瞻博网络公司的首席安全架构师Christofer Hoff说：“微软承认自己不是网络专家。”他补充说，他预计雷德蒙(注：微软总部所在地)会围绕Hyper-V精心打造一个安全生态系统，就像VMware依托VMsafe合作伙伴计划建立联盟那样。 

所有虚拟安全软件存在的一个问题是，几乎不可能把一家公司自己的安全策略扩展到公共云。对采用VMware技术的公司来说，最容易的办法就是采用VMware的云管理服务：vCloud，这是VMware眼里的一种战略性优势。不过，对使用亚马逊或Rackspace云服务的公司来说，你进入到公共云后，你的虚拟化安全策略就被抛到了窗外。Hoff认为，开发一套支持多种平台和多家提供商的一致的高级安全API是虚拟化安全领域面临的下一大挑战。不过他承认，行业想就这样一套标准化的、可以互换的安全协议达成共识，还有很长一段路要走。

来源于：赛狄恩 www.seeadn.com