隨著虛擬環境愈來愈普及,一部主機通過Hypervisor技術,「劏房」成多部虛擬化。Hypervisor可虛擬化硬件,不同作業系統分享同一主機,猶如「多租戶」(Multi-Tenancy);情況跟近期的熱話「劏房」,每位租戶享用同一基建,卻有一定私隱。
可是,一幢大廈從只有一位「住戶」,發展成數十位「住戶」分租,Hypervisor仿如大房東,必須確保住戶安全;尤其一旦失火,如何隔離「住戶」,保障其他「住客」的安全。
Juniper Networks亞太區安全產品經理梁定康說,以往虛擬化多限於測試和開發用途。隨著技術的成熟,更多企業建立私有雲,以虛擬平台,推出正式服務,也就是所謂「關鍵任務」,虛擬平台的保安才漸受重視。
實體防火牆易成瓶頸
「虛擬機器(VM)有如將實體機器「劏房」,每個「劏房」安裝不同作業系統和應用。但一般用於安裝VM的刀鋒服務器,介面的傳輸速度,一般均高達10Gb,為傳統交換器十倍或以上。某部虛擬機器受病毒侵襲,同一平台上VM迅速一齊遭殃。」
梁定康說,以往一貫方法,是利用實體的防火體,監管VM之間數據交換,後果是對防火牆性能要求極高。VM之間的數據,必須先離開Hypervisor經網絡交換,由防火牆按不同準則檢查。
「數據從虛擬機器一出一進,每部實體機器可劃分 VM又多,交換數據速度之高,防火牆馬上成瓶頸,消極的解決方法,是不斷提昇實體防火牆速度,從1Gb到以10Gb計。」然而,實體防火牆硬件投資高昂,即使不斷升級後,仍不敷應付VM增長速度。
軟件防火牆三大優勢
梁定康說,解決虛擬平台保安的長遠方法,只有安裝軟件防火牆,除了提供傳統防火牆功能,也提供防毒和反入侵攻擊服務。軟件防火牆有三大優點,首先是速度效率,遠勝於實體防火牆;其次可提高虛擬平台透明度;最後是不會降低VM性能,節省VM授權費用。
Juniper的vGW虛擬網關,即屬於軟件防火牆,可安裝於VMWare的HyperVisor上, VM之間的數據交換,均毋須離開主機。Juniper的vGW則基於VMWare發佈VMSafe的API開發。VMSafe是VMWare為vSphere開發的保安API,
梁定康說:「vGW有如一度透明防火牆,安裝各VM之間,完全毋須改變VM設定。每次產生新VM,隨即自動加入適當設定。毋須如實體防火牆一般,每次加VM逐次修訂,也不用投資新防火牆。」
vGW可透視VM運作中作業系統,顯示VM內應用和服務,一目瞭然。vGW可檢視Windows,也可透視Linux內運作服務,甚至不同VM之間,有甚麼數據流過,亦無所循形。
減低掃毒系統負荷
「愈來愈多VM用作VDI(Virtual Desktop Infrastructure),取代實體桌面系統。個人電腦必須經常掃毒,vGW即時掃描VM上記憶體,一旦發現受感染,即馬上隔離。」
不少公司的VDI數量極多,用傳統防毒套裝掃描,每日只能掃毒一次。vGW毋須為VM安裝個別的掃毒軟件,也可即時為VM掃毒,一旦發現VM中毒,就馬上分隔(Quarantine),不容許與其他VM溝通。
「如果該部機器是出租予外部,vGW也按時掃描VMDK的靜態檔,以確保其群組內VM的安全。」
「vGW不會在每部 VM內安裝防毒的套裝,直接掃描各部VM的記憶體,因此負荷更低,消耗記憶體更少。舉例說,vGW掃描三十多部VM,約只花70M的記憶;以傳統方式,逐部安裝的話,可耗用數以GB計的記憶體。 此外,vGW防毒也不會大幅拖低VM性能。VM一旦安裝了套裝防毒軟件,運算性能折扣可達二成,相當顯著。」對於VMWare平台,耗用記憶體的數量,限制每部主機可支援VM數量,也直接影響VMWare授權費用。
可是,一幢大廈從只有一位「住戶」,發展成數十位「住戶」分租,Hypervisor仿如大房東,必須確保住戶安全;尤其一旦失火,如何隔離「住戶」,保障其他「住客」的安全。
Juniper Networks亞太區安全產品經理梁定康說,以往虛擬化多限於測試和開發用途。隨著技術的成熟,更多企業建立私有雲,以虛擬平台,推出正式服務,也就是所謂「關鍵任務」,虛擬平台的保安才漸受重視。
實體防火牆易成瓶頸
「虛擬機器(VM)有如將實體機器「劏房」,每個「劏房」安裝不同作業系統和應用。但一般用於安裝VM的刀鋒服務器,介面的傳輸速度,一般均高達10Gb,為傳統交換器十倍或以上。某部虛擬機器受病毒侵襲,同一平台上VM迅速一齊遭殃。」
梁定康說,以往一貫方法,是利用實體的防火體,監管VM之間數據交換,後果是對防火牆性能要求極高。VM之間的數據,必須先離開Hypervisor經網絡交換,由防火牆按不同準則檢查。
「數據從虛擬機器一出一進,每部實體機器可劃分 VM又多,交換數據速度之高,防火牆馬上成瓶頸,消極的解決方法,是不斷提昇實體防火牆速度,從1Gb到以10Gb計。」然而,實體防火牆硬件投資高昂,即使不斷升級後,仍不敷應付VM增長速度。
軟件防火牆三大優勢
梁定康說,解決虛擬平台保安的長遠方法,只有安裝軟件防火牆,除了提供傳統防火牆功能,也提供防毒和反入侵攻擊服務。軟件防火牆有三大優點,首先是速度效率,遠勝於實體防火牆;其次可提高虛擬平台透明度;最後是不會降低VM性能,節省VM授權費用。
Juniper的vGW虛擬網關,即屬於軟件防火牆,可安裝於VMWare的HyperVisor上, VM之間的數據交換,均毋須離開主機。Juniper的vGW則基於VMWare發佈VMSafe的API開發。VMSafe是VMWare為vSphere開發的保安API,
梁定康說:「vGW有如一度透明防火牆,安裝各VM之間,完全毋須改變VM設定。每次產生新VM,隨即自動加入適當設定。毋須如實體防火牆一般,每次加VM逐次修訂,也不用投資新防火牆。」
vGW可透視VM運作中作業系統,顯示VM內應用和服務,一目瞭然。vGW可檢視Windows,也可透視Linux內運作服務,甚至不同VM之間,有甚麼數據流過,亦無所循形。
減低掃毒系統負荷
「愈來愈多VM用作VDI(Virtual Desktop Infrastructure),取代實體桌面系統。個人電腦必須經常掃毒,vGW即時掃描VM上記憶體,一旦發現受感染,即馬上隔離。」
不少公司的VDI數量極多,用傳統防毒套裝掃描,每日只能掃毒一次。vGW毋須為VM安裝個別的掃毒軟件,也可即時為VM掃毒,一旦發現VM中毒,就馬上分隔(Quarantine),不容許與其他VM溝通。
「如果該部機器是出租予外部,vGW也按時掃描VMDK的靜態檔,以確保其群組內VM的安全。」
「vGW不會在每部 VM內安裝防毒的套裝,直接掃描各部VM的記憶體,因此負荷更低,消耗記憶體更少。舉例說,vGW掃描三十多部VM,約只花70M的記憶;以傳統方式,逐部安裝的話,可耗用數以GB計的記憶體。 此外,vGW防毒也不會大幅拖低VM性能。VM一旦安裝了套裝防毒軟件,運算性能折扣可達二成,相當顯著。」對於VMWare平台,耗用記憶體的數量,限制每部主機可支援VM數量,也直接影響VMWare授權費用。
沒有留言:
發佈留言