基于重定向技术的防护模型
既然VM之间的流量交换一直在服务器内部,不利于安全策略的部署,也不利于管理界限的明晰,因此正在进行标准化EVB技术,计划通过VEPA等技术实现将这些流量引入到外部的交换机。在接入交换机转发这些流量之前,可以通过镜像或者重定向等技术,将流量先引入到专业的安全设备进行深度报文检查、安全策略配置或是允许/拒绝其访问。
这种实现方式的优点在于外置硬件安全设备的高性能,在不损失服务器能力的情况下,可以使用数目较少的高端安全设备来实现万兆甚至十万兆的安全检测能力,管理员也可以充分利用先前的经验,很容易实现对这些外置安全设备的管理维护。同时因为该标准的相对开放性,相关的网络安全厂商都可以参与到这个方案当中来,减少了客户对于单一网络安全厂商的依赖。
对于该方式下安全策略跟随VM迁移的问题,在网络管理组件及时感知到VM虚拟机迁移时,通过内部的消息传送,安全管理组件可以及时获取到此次迁移的相关参数如新的接入交换机ID及端口VLAN等属性;此时再比对自身保存的拓扑关系图定位到新的虚拟机迁移位置所对应的安全产品ID,从而实现虚拟机的安全策略profile的迁移,这也是一种简单易行的解决方案。如表1对比了两种方式的差异。
表1. 两种方式的对比
三、 结束语
综上所述,现阶段基于虚拟机的安全软件部署方式,在小型的虚拟化环境中,更容易得到较好的用户体验,但是在大规模高性能的应用环境中,基于高性能的专业硬件设备来搭建安全防护层,更容易满足对性能的要求,在总的投资上也更有优势。未来一段时间内,这两种方式将作为主要的技术方式而存在,用户可以根据自身的实际应用环境进行选择。
