虚拟化已经给IT部门带来了很多礼物。它让不可能不仅成为可能,更成为普遍。从服务器整合到云计算,虚拟化是目前世界范围内占主导地位的计算平台。
除了扩展计算能力,虚拟化也被认为是增加网络安全性的一种方法。VMware运营和销售发展总监Rod Stuhlmuller认为,在网络虚拟化中可以通过四种方式改善安全性。
网络虚拟化如何提高安全性
在云数据中心,应用程序工作负载随意配置,迁移和下线,云管理软件按需分配计算、存储和网络容量。
添加网络虚拟化到动态环境,彻底改变网络的运作模式。这样的深刻变化往往使安全人员紧张。但实际上,网络虚拟化包括了几个内置的网络安全优势。这些优势包括隔离和多租户;网络分段;分布式防火墙,以及服务插入和链接。网络虚拟化平台可以将这些功能与其他安全功能结合,在软件定义的数据中心简化安全运营。
隔离和多租户
网络虚拟化的一个核心功能是隔离(isolation) - 这是大多数网络安全的基础,无论是合规性,安全壳,或只为不让开发,测试和生产环境相互影响。在默认情况下,虚拟网络与其他的虚拟网络从底层物理网络隔离,提供最低权限的安全原则。启用此隔离需要无物理子网,VLAN ,ACL,或防火墙规则。
任何隔离的虚拟网络,可以由分布在数据中心任何地方的工作负载组成。相同的虚拟网络中的工作负载,可以驻留在相同的或不同的虚拟机监控程序。在多个相互隔离的虚拟网络工作负载可以驻留在同一个虚拟机管理程序。虚拟网络之间的隔离允许重叠的IP地址,从而可以有独立开发,测试和生产虚拟网络 - 每个虚拟网络有不同的应用程序版本,但具有相同的IP地址,并且所有的操作在相同的时间相同的底层物理基础设施。
虚拟网络也隔离于底层物理基础设施。由于虚拟机管理程序之间的流量被封装,物理网络设备运行在一个完全不同的地址空间,而不是连接到虚拟网络的工作负载。例如,一个虚拟网络可以在IPv4物理网络之上支持IPv6的应用工作负载。这种隔离,可以防止由任何虚拟网络工作负载可能发起的任何攻击影响底层物理基础设施。
分段简化配置
网络分段(network segmentation)与隔离相关,但应用在一个多层虚拟网络中。传统上,网络分段是物理防火墙或路由器的一个功能,为允许或拒绝网络段或层之间的通信而设计。定义和配置分段的传统处理方式,耗时且容易出现人为错误,导致很大比例的安全漏洞。此外,实施还需要在设备配置语法,网络地址,应用端口和协议等方面具备深厚的专业知识。
像隔离一样,网络分段也是网络虚拟化的核心能力。一个虚拟网络可以支持多层网络环境,即多个L2分段和L3分段或单个L2段上的微分段(microsegmentation)使用分布式防火墙规则。这可能是一个 Web层,应用层和数据库层。物理防火墙和访问控制列表提供一个成熟的分段功能,通过网络安全团队和法规遵从审计的信任。但是,云数据中心对这种方法的信心已经动摇,越来越多的攻击,破坏和停机时间都被归因于人为错误,过时的手工配置网络安全,以及改变管理流程。
在一个虚拟的网络中,与工作负载配置的网络服务,以编程方式创建并分发到hypervisor vSwitch。网络服务,包括L3分段和防火墙,强制在虚拟接口执行。虚拟网络内部的通信不会离开虚拟环境,因此消除了为网络分段进行配置和维护物理网络或防火墙的要求。先进的安全服务插入,链接和转向
网络虚拟化平台提供了基础的防火墙功能,在虚拟网络内交付分段。但是,在某些环境中,你需要更先进的网络安全功能。这时,客户可以利用网络虚拟化平台来分发、启用和实施虚拟网络环境中先进的网络安全服务。
网络虚拟化平台分发网络服务到vSwitch上,形成适用于虚拟网络流量的服务逻辑管道。第三方网络服务可以被插入到该逻辑管道,允许物理的或虚拟的服务在逻辑管道被消耗。
网络虚拟化方法的一个强大优势在于它有能力构建策略,充分利用服务插入,链接和转向以驱动逻辑服务管道中的服务执行,使协调来自多个供应商的完全不相关的网络安全服务成为可能。
跨物理和虚拟基础架构的一致的安全模型
网络虚拟化提供了一个平台,允许跨虚拟和物理安全平台的自动配置和上下文共享。传统部署在物理网络环境中的服务,在虚拟的网络环境中很容易配置和执行,因为它提供了可视性和安全性一致的模型,无论应用程序在物理或虚拟工作负载。
传统上,这一层级的网络安全将迫使网络和安全团队在性能和功能之间进行抉择利用网络虚拟化平台的能力分发和执行先进的功能集于应用程序的虚拟接口,能够同时交付最好的性能与功能。
基础设施维护的政策,允许工作负载在数据中心的任何地方放置和移动,无需人工干预。预先核准的应用程序的安全策略,可以通过编程方式应用,实现网络安全服务的自助服务部署,即使是复杂的网络安全服务。