我们要如何应对虚拟化安全

  • A+
所属分类:未分类

并列防火墙自动保护虚拟机的概念似乎是完美的,但是由于DVFilterAPI的构架原因,它只能运行在虚拟机管理程序中,所以它也有一些潜在的缺点。

虚拟机防火墙的缺点

每一个物理服务器都必须运行一个防火墙VM.防火墙设备只能保护运行在同一台物理服务器上的虚拟机。如果希望保护所有物理位置的虚拟机,那么你必须在每一台物理服务器上部署防火墙VM.

所有流量都会被检测。你可能将DVFilterAPI只应用到特定的vNIC上,只保护其中一些虚拟机,但是vShield产品并不支持这个功能。部署这些产品之后,所有通过虚拟机管理程序的流量都会被检测到,这增加了CPU使用率,降低了网络性能。

防火墙崩溃会影响到VM.防火墙VM的另一个问题是它会影响DVFilterAPI.受到影响的物理服务器上所有虚拟机网络都会中断。然而,物理服务器仍然可以运行,并且连到网络;因此,高可用特性无法将受影响的VM迁移到其他物理服务器上。

相同流量流会执行多次检测。DVFilterAPI在vNIC上检测流量。因此,即使虚拟机之间传输的流量属于同一个安全域,它们也会被检测两次,而传统防火墙则不会出现这种情况。

虚拟交换机在虚拟化安全中的作用

虚拟化安全设备制造商也可以选择vPathAPI,它可用于实现自定义虚拟交换机。思科系统最近发布了虚拟安全网关(VirtualSecurityGateway,VSG)产品,该产品可能整合传统(非DVFilter)虚拟防火墙方法和流量流优化技术。思科宣布VSG只进行初始流量检测,并将卸载流量转发到虚拟以太网模块(VirtualEthernetModules,VEM:虚拟机管理程序中改良的虚拟交换机),从而防止出现流量长号和性能问题。如果这一切是真的,那么VSG可能是工程师部署安全云服务的最理想工具。

本文出自:亿恩科技【www.enkj.com】

河南亿恩科技股份有限公司(www.enkj.com)始创于2000年,专注服务器托管19年,是国家工信部认定的综合电信服务运营商。亿恩为近五十万的用户提供服务器托管、服务器租用、机柜租用、云服务器、网站建设等网络基础服务,另有网总管、名片侠网络推广服务,使得客户不断的获得更大的收益。 服务热线:400-723-6868 服务器/云主机 24小时售后服务电话:0371-60135900 虚拟主机/智能建站 24小时售后服务电话:0371-55621053
广告也精彩
avatar

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: