WEB开发网
开发学院服务器虚拟化 实战指南:全面监测保障虚拟服务器安全 阅读

实战指南:全面监测保障虚拟服务器安全

 2008-11-11 16:46:06 来源:WEB开发网   
核心提示: 利用VMsafe,除了能够检查网络流量当中可能存在的安全威胁之外,实战指南:全面监测保障虚拟服务器安全(3),资安厂商可以收集到关于虚拟机器的硬件参数,做为安全管理上的参考依据,据了解,某些资安厂商也会随之推出相关的虚拟化安全产品,关于这点,趋势科技技术经理戴燊从资安厂商的角度来看

利用VMsafe,除了能够检查网络流量当中可能存在的安全威胁之外,资安厂商可以收集到关于虚拟机器的硬件参数,做为安全管理上的参考依据。关于这点,趋势科技技术经理戴燊从资安厂商的角度来看,他认为,VMsafe目前所能收集到的信息太过于底层,约略等于透过主机板BIOS所能看到的层级而己,因此很难加以有效运用,其它与VMware合作的资安厂商也应该发现到了这项不足之处,目前趋势正与VMware进行进一步的讨论,希望在未来能够利用这项技术收集到更多的信息。

相关产品已有企业实际导入

目前采用VMsafe技术的资安产品并不多见,许多仍处于开发,或者是测试中的阶段。Check Point所推出的VPN-1 VE(Virtual Edition)防火墙就是最早出现在市面上的产品之一,目的是隔离不必要的网络联机进入虚拟机器内部,造成安全问题。

另外,趋势预计在今年第4季推出一款,同样是整合VMsafe技术的资安产品──Total Discovery Virtual Appliance(TDVA),它是实体设备Total Discovery的虚拟化版本,就功能来说,主要是用来抑制恶意程序在虚拟化的作业平台上活动,产品目前已经开发完毕,等到通过VMware官方的兼容性验证之后就会开始销售。

赛门铁克在今年9月在美国拉斯韦加斯举行的VMworld大会当中,展示了一款采用VMsafe技术所开发的防毒墙原型,它在虚拟机器没有安装防毒软件的情况下,能够检查进出流量当中是否含有恶意程序。

除了上述产品之外,类似的产品还包括了Reflex Security的VSA(Virtual Security Appliance),这是一款可以安装在VMware ESX/ESXi,以及Citrix XenServer平台的IPS产品,早在2005年的时候就已经有产品推出。

从架构上来看,VSA主要是把透过监听流量为主的旁路模式,以及兼具流量过滤、检测的透通模式保护虚拟机器的运作安全。以透通模式来说,探测器(Sensor)必须设置于受到保护的虚拟机器前方才能正常运作。

在ESX的平台之上,至少需要设置两台的虚拟交换器,其中一台连接外部的实体网络,另外一台交换器则放置于后端,提供给虚拟机器联机之用,并与前端的交换器之间形成桥接,探测器就位于两者之间,目的是为了检测来往于两台交换器之间的网络联机是否异常。

唯有经过检测,确认安全无虞的网络流量才能与虚拟机器进行联机,同样地,虚拟机器所发出的流量也必须经过VSA的检查之后,才能经由前端的虚拟交换器传送到实体网络。

Reflex亚太市场暨销售总监黄彦钧表示,目前这款产品在台湾已经有实际的导入案例,一家位于园区的高科技业者,随着去年购买IPS设备的机会,同时也采购了好几套的VSA。

黄彦钧指出,一般企业在建置IPS设备的时候,大多会放置在进出流量必经的网络骨干上,防止来自于外部网络的恶意联机攻击内部主机,不过随着近年来内部攻击事件的大量增加,许多企业也开始在内部放置IPS,主要是用来保护DMZ区的服务器不受来自于内部恶意攻击所影响,而这家不具名的企业就是其中之一。

微软本身也是虚拟化技术的主要供货商之一,随着Hyper-V服务器的推出,据了解,某些资安厂商也会随之推出相关的虚拟化安全产品,同样将整合Hyper-V的Hypervisor提供保护。

实战指南:全面监测保障虚拟服务器安全

上一页  1 2 3 

Tags:实战 指南 全面

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接