一些企业试图利用VLAN和防火墙对虚拟机进行物理隔离,以保证虚拟环境的安全,但这种方式会降低基础设施的灵活性,
影响虚拟化的动态特性。
许多厂商正在开发新产品和新的
功能来
解决虚拟化安全问题。Juniper收购Altor
网络,虚拟化安全专业company.cisco已经推出了自己的虚拟安全
网关软件。惠普网络发布TippingPoint vController延长其TippingPoint入侵防御
系统(IPS)的虚拟化安全功能。该软件
安装在VMware ESX主机。这将迫使主机
服务器将所有虚拟机的流量需要被
检测到TippingPoint IPS设备。
PrimeLending,达拉斯的住宅抵押贷款
公司,使用TippingPoint vController软件以确保它
运行虚拟机VMware ESX主机服务器安全25运行成千上万。
John Hernandez是PrimeLending副总裁和信息安全主管。他说:vController是非常强大的,它让我们看到了虚拟机和主机之间
传输的透明和准确的实际流量。它使我们知道威胁的结构是什么,什么是潜在的风险,我们面临的问题时,Rdquo部署技术;
更关键的
应用程序部署为PrimeLending的虚拟化基础设施,埃尔南德斯需要专业的虚拟化安全产品。他最近部署了对这s660n IPS设备在数据中心部署两vController实例对25个ESX主机上。
在安装TippingPoint的
硬件和软件,埃尔南德斯只能有有限的虚拟化基础设施监控。
他说:你不能仔细监控传统虚拟机之间的流量,大多数
情况下,监控流量是从一个主机到另一个主机,或者从一个主机到另一个主机,实际上,你不能清楚地区分虚拟机之间的交易。Rdquo说;
TippingPoint的安全的虚拟化属于一种分层的
安全策略 PrimeLending has integrated its TippingPoint technology into multi-layer security technologies provided by many vendors.Hernandez says the company uses CISCO firewalls to protect network boundaries and uses RSA data loss prevention technology.It also uses the RSA enVision security accident and thing management (SIEM) to handle events detected by the firewall and IPS.
分层
方法最近帮助公司检测设备攻击。埃尔南德斯说:信贷人员把一个
文件家和加工在国内感染
病毒的
电脑,
工作完成后,信贷人员把文件送回企业继续应对企业网络剩下的工作。
中毒文件将尝试访问东方集团为了某些IP
地址来感染我们的环境。幸运的是,这问题的
发现和防止外部
连接和通知的问题,我们的团队。直观地说,这不是一个虚拟的环境,是可以做到的,但这一特点是Rdquo独特的引爆点;
使用虚拟化安全
工具处理大量的流量
利用TippingPoint虚拟化安全工具的时候,埃尔南德斯没有注意到虚拟机之间产生的交通量。当vController开始了这些交易的网络及其IPS设备,他发现当虚拟基础设施的增长,他最终要
升级到更强大的TippingPoint设备。
Ldquo;我们开始采用中端TippingPoint的装置。我们将使用其中的一个来处理网络流量,而另一个是致力于将虚拟机的流量。两个设备能够正常工作,但是考虑到我们的业务
目标是规模,在接下来的两个组织扩大两到三次的三年,我们显然需要考虑更多的带宽较大的设备采用。