網絡虛擬化將導致安全控制變化

    Gartner分析師尼爾·麥克唐納德（Neil MacDonald）的專業是安全。他不僅密切關注安全廠商正在做什麼，而且還主張隨着基本的網絡技術的發展而進行改變。虛擬化正在產生巨大影響，提出了有關物理安全設備在虛擬化環境中的任務的問題。麥克唐納德預測，到2015年，企業數據中心40%的安全控制將是虛擬化的，比2010年的5%有大幅度提高。麥克唐納德最近接受了《Network World》的採訪，談到了虛擬化領域安全的未來。


    《網絡世界》：爲了適應虛擬化網絡，安全廠商推出了專門針對VMware等環境的軟件產品。但是，令人感到意外的是聽說McAfee將發佈最新的殺毒軟件MOVE（優化的虛擬環境管理）2.5版。這個軟件支持VMware vShield安全技術。這種技術要求無代理方式。人們抱怨稱無代理方法是不充分的。McAfee想讓VMware改變他們對vShield的無代理方法的看法，並且表示基於代理的方法更好。整個行業現在似乎都對此感到不安。這是怎麼回事？


    麥克唐納德：McAfee稱，這沒有像在虛擬機內部運行一個代理程序那樣好。這個事情有一些事實。緩存溢出保護、內存保護等所有這些事情都是在內部完成的，使用無代理程序不能做這些事情。它們缺少行爲的啓發式分析。它們能夠打開和關閉文件。採用MOVE 2.5，McAfee增加了這個無代理的流程。但是，McAfee支持有代理的和無代理的應用。它是不依賴於管理程序的。


    問：運行基於代理的殺毒軟件和虛擬機有什麼問題？


    答：這叫作“A/V風暴”。這產生了新的大量的流量。假如它們都設置在中午啓動，你可以把它設置爲管理員，在12點至2點之間隨機啓動。這是一個答案，但是，不是最佳答案。我們爲什麼要一再掃描同一個鏡像？這些VMware API（應用程序編程接口）讓你掃描一次。卡巴斯基支持這種做法。但是，賽門鐵克還不支持。賽門鐵克的端點保護12版使用一種不同的架構。


    問：VMware在過去幾年裏開發這些vShield安全API似乎是一個有爭議的過程。VMware現在好像僅與具體的安全廠商合作。你對此有何看法？


    答：VMware依靠自己創建了第一套API，沒有依賴成都網站推廣廠商。但是，他們確實直接與趨勢科技合作了。趨勢科技和VMware使用自己的模式所做的事情是創新的。對於趨勢科技來說，這個事情做的很好。他們簽署了許多交易。委員會提出的API一般都不是很好。但是，把重點放在幾家廠商，他們就會更成功。對於這種無代理的方法有支持意見和反對意見。有一些新的或者離線的虛擬機保護技術。這些技術改善了資源利用。在反對意見方面，它要求管理程序擴展。如果僅使用VMware的管理程序，就需要許可證。如果是僅使用Windows並且不是真正的“無代理的”，就只有殺毒掃描。你不能做基於主機的入侵防禦或者行爲監視。


    問：vShield API爲VMware提供了一個防火牆能力。當一個網絡虛擬化的時候，你對於爲了安全目的使用物理防火牆和虛擬防火牆有什麼看法？


    答：目前，人們對於每一個工作量使用單獨的接口卡。你信任VMware把內存隔離開，但是，對於網絡流量，你要把它單獨發送到物理防火牆。下一個合乎邏輯的步驟是，爲什麼不虛擬化防火牆？VMware防火牆能夠做此事。對於基本的隔離來說，它做得很好。Check Point、瞻博網絡和思科等公司也有虛擬防火牆。Check Point的防火牆做入侵檢測系統的事情。這是VMware不做的事情。VMware將在這方面進行合作。在虛擬化方面，這意味着我已經取得安全控制並且吸收了這個功能。問題是，誰負責這個事情？你必須保持單獨的職責。HyTrust也是如此。我們不想讓所有的事情都交給一個人手中。網絡由安全管理員提供防火牆，其餘的由VMware管理員提供。但是，未來是混合的，一些防火牆是虛擬化的，一些是硬件的。讓Palo Alto Networks退縮的事情是他們使用許多專有的硬件。Palo Alto Networks的防火牆目前還不是虛擬化的，但是，它將是虛擬化的。