基于虚拟机的安全防护
在虚拟化技术推进的过程中,一些厂商很敏锐的观察到了VM之间直接交换流量无法通过外部防火墙等设备进行检测,因此想通过直接在服务器内部部署虚拟机安全软件,通过对VMware开放的API接口的利用,将所有VM之间的流量交换在进入到vSwitch之前,先引入到虚拟机安全软件进行检查。此时可以根据需求将不同的VM划分到不同的安全域,并配置各种安全域间隔离和互访的策略。同时,一些技术能力强的软件厂商,还考虑在软件中集成IPS深度报文检测技术,判断VM之间的流量交换是否存在漏洞攻击。这种方式的优点是部署比较简单,只需要在服务器上开辟资源并运行虚拟机软件运行即可,但是其不足之处也很明显:
不足一:每个服务器需要有专门的资源来安装该软件,服务器流量越大,开启的功能如IPS深度检测越多,对系统的资源占用就越大,不仅可能影响其它VM的性能,同时也导致服务器投资的增加;以常见的酷睿2双核双CPU服务器【4核】为例,虚拟化情况下服务器的CPU利用率得到有效提升,对外可以提供的应用吞吐量有望达到800Mbps以上;同时根据现有的经验,基于双核CPU处理器的IPS应用其吞吐量维持在300Mbps左右;可以预见:如果利用该服务器进行虚拟化划分并使能安全虚拟机软件的话,至少需要划分出2个核来做安全虚拟机,才可以保证对300M的流量进行深度报文检测,而真正的应用虚拟机将只能利用剩余的2个核,这也意味着整个服务器的吞吐量将下降到300Mbps左右;要达到原定的应用交付性能,用户必须部署更多的服务器才能满足要求。
不足二:由于该防护模型需要安全软件厂商在Hypervisor层进行代码开发,其开发水平的差异将导致Hypervisor出现潜在的安全漏洞,并危及到整个虚拟机的正常运转。可以预见虚拟化厂商将不可能完全开放该API接口,这也意味着只有很少的厂商才能获得虚拟化厂商的许可并进行严格受控的软件集成;目前我们并没有看到具有影响力的安全厂商的成熟的虚拟化产品,整个生态系统未来如何发展将取决于虚拟机厂商对于API的开放程度以及安全软件厂商的成熟的开发能力,这些都存在很大的不确定性。
